Обнаружено вредоносное ПО для Windows Subsystem for Linux

Эксперты по безопасности обнаружили вредоносное ПО, работающее в среде Windows Subsystem for Linux (WSL). Бинарный файл под Linux пытается атаковать Windows и загрузить дополнительные программные модули.

Обнаружено вредоносное ПО для Windows Subsystem for Linux

Источник: freepik.com

О проблеме сообщили эксперты команды Black Lotus Labs в американской телекоммуникационной компании Lumen Technologies. Они обнаружили несколько вредоносных файлов на Python, скомпилированных в бинарный формат ELF (Executable and Linkable Format) для Debian Linux. «Эти файлы действовали как загрузчики, запускающие „полезную нагрузку“, которая либо была встроена в сам экземпляр, либо поступала с удалённого сервера, а затем внедрялась в работающий процесс с помощью вызовов Windows API», — говорится в сообщении Black Lotus Labs.

В 2017 году, более чем год спустя после выпуска WSL, исследователи Check Point продемонстрировали экспериментальную атаку под названием Bashware, которая позволяла производить вредоносные действия из исполняемых файлов ELF и EXE в среде WSL. Но среда WSL по умолчанию отключена, а Windows 10 поставляется без каких-либо встроенных Linux-дистрибутивов, поэтому угроза Bashware не представлялась реалистичной. Однако 4 года спустя нечто подобное было обнаружено уже вне лабораторных условий.

Эксперты Black Lotus Labs отметили, что образцы вредоносного кода показали минимальный рейтинг на сервисе VirusTotal, а это значит, что большинство антивирусных программ пропустит такие файлы. Обнаруженные специалистами образцы были написаны на Python 3 и скомпилированы в ELF при помощи PyInstaller. Код обращается к Windows API для загрузки стороннего файла и запуска его кода в стороннем процессе, что обеспечивает злоумышленнику доступ к заражённой машине. Предположительно, для этого нужно сначала запустить файл в среде WSL.

Были обнаружены два варианта вредоноса. Первый написан на чистом Python, второй дополнительно использовал библиотеку для подключения к Windows API и запуска скрипта PowerShell. Во втором случае, предположили в Black Lotus Labs, модуль ещё находится в разработке, потому что сам по себе не работает. В выборке был также идентифицирован IP-адрес (185.63.90 [.] 137), связанный с целями в Эквадоре и Франции, откуда заражённые машины пытались выйти на связь по портам с 39000 по 48000 в конце июня и начале июля. Предполагается, что владелец вредоноса тестировал VPN или прокси-сервер.


Влад Кулиев, Supreme2.Ru





Интересные новости
Незавершенная версия Windows 7 работает лучше Vista
Программист открыл заблокированные возможности Windows 7
Quick Slide Show 2.32: создание flash-презентаций
Покупатели гоняются за старыми компьютерами ради Windows XP
Визуализатор V-Ray 1.5 Service Pack 2 с поддержкой 3ds Max 2009
Блок рекламы


Похожие новости

Microsoft залишила росіян без легальних Windows 10 та Windows 11Microsoft залишила росіян без легальних Windows 10 та Windows 11
Microsoft предупредила о проблеме с удалением файлов при сбросе настроек в Windows 11 и Windows 10Microsoft предупредила о проблеме с удалением файлов при сбросе настроек в Windows 11 и Windows 10
Microsoft добавит в Windows 11 дизайн интерфейса в стиле Windows 7Microsoft добавит в Windows 11 дизайн интерфейса в стиле Windows 7
Steam отметила быстрый рост числа пользователей Windows 11 — уже до конца года их может стать больше, чем у Windows 10Steam отметила быстрый рост числа пользователей Windows 11 — уже до конца года их может стать больше, чем у Windows 10
Microsoft анонсировала изменения в программе предварительной оценки Windows 11Microsoft анонсировала изменения в программе предварительной оценки Windows 11
В приложении «Фотографии» для Windows 11 появился обновлённый редакторВ приложении «Фотографии» для Windows 11 появился обновлённый редактор
Windows 11 стала второй по популярности ОС среди пользователей Steam
В следующем году Microsoft ускорит работу Windows 11
Microsoft отказалась от поддержки эмуляции x64-приложений в Windows 10 для ARM
В Windows 11 перестали работать «Ножницы», экранная клавиатура и панель эмодзи из-за просроченного сертификата
Последние новости

Подгружаем последние новости