Обнаружено вредоносное ПО для Windows Subsystem for Linux
3dnews.ru
external-link
Эксперты по безопасности обнаружили вредоносное ПО, работающее в среде Windows Subsystem for Linux (WSL).

О проблеме сообщили эксперты команды Black Lotus Labs в американской телекоммуникационной компании Lumen Technologies. Они обнаружили несколько вредоносных файлов на Python, скомпилированных в бинарный формат ELF (Executable and Linkable Format) для Debian Linux. «Эти файлы действовали как загрузчики, запускающие „полезную нагрузку“, которая либо была встроена в сам экземпляр, либо поступала с удалённого сервера, а затем внедрялась в работающий процесс с помощью вызовов Windows API», — говорится в сообщении Black Lotus Labs.

В 2017 году, более чем год спустя после выпуска WSL, исследователи Check Point продемонстрировали экспериментальную атаку под названием Bashware, которая позволяла производить вредоносные действия из исполняемых файлов ELF и EXE в среде WSL. Но среда WSL по умолчанию отключена, а Windows 10 поставляется без каких-либо встроенных Linux-дистрибутивов, поэтому угроза Bashware не представлялась реалистичной. Однако 4 года спустя нечто подобное было обнаружено уже вне лабораторных условий.

Эксперты Black Lotus Labs отметили, что образцы вредоносного кода показали минимальный рейтинг на сервисе VirusTotal, а это значит, что большинство антивирусных программ пропустит такие файлы. Обнаруженные специалистами образцы были написаны на Python 3 и скомпилированы в ELF при помощи PyInstaller. Код обращается к Windows API для загрузки стороннего файла и запуска его кода в стороннем процессе, что обеспечивает злоумышленнику доступ к заражённой машине. Предположительно, для этого нужно сначала запустить файл в среде WSL.

Были обнаружены два варианта вредоноса. Первый написан на чистом Python, второй дополнительно использовал библиотеку для подключения к Windows API и запуска скрипта PowerShell. Во втором случае, предположили в Black Lotus Labs, модуль ещё находится в разработке, потому что сам по себе не работает. В выборке был также идентифицирован IP-адрес (185.63.90 [.] 137), связанный с целями в Эквадоре и Франции, откуда заражённые машины пытались выйти на связь по портам с 39000 по 48000 в конце июня и начале июля. Предполагается, что владелец вредоноса тестировал VPN или прокси-сервер.

Новости GNU/Linux: операционные системы, программное обеспечение, устройства
!linux_news

    Новости GNU/Linux: операционные системы, программное обеспечение, устройства

    • 0 user online
    • 1 user / day
    • 1 user / week
    • 1 user / month
    • 2 user / 6 month
    • 14 subscriber
    • 40 Post
    • 2 Comment
    • Modlog