Обнаружено вредоносное ПО для Windows Subsystem for Linux

Эксперты по безопасности обнаружили вредоносное ПО, работающее в среде Windows Subsystem for Linux (WSL). Бинарный файл под Linux пытается атаковать Windows и загрузить дополнительные программные модули.

Обнаружено вредоносное ПО для Windows Subsystem for Linux

Источник: freepik.com

О проблеме сообщили эксперты команды Black Lotus Labs в американской телекоммуникационной компании Lumen Technologies. Они обнаружили несколько вредоносных файлов на Python, скомпилированных в бинарный формат ELF (Executable and Linkable Format) для Debian Linux. «Эти файлы действовали как загрузчики, запускающие „полезную нагрузку“, которая либо была встроена в сам экземпляр, либо поступала с удалённого сервера, а затем внедрялась в работающий процесс с помощью вызовов Windows API», — говорится в сообщении Black Lotus Labs.

В 2017 году, более чем год спустя после выпуска WSL, исследователи Check Point продемонстрировали экспериментальную атаку под названием Bashware, которая позволяла производить вредоносные действия из исполняемых файлов ELF и EXE в среде WSL. Но среда WSL по умолчанию отключена, а Windows 10 поставляется без каких-либо встроенных Linux-дистрибутивов, поэтому угроза Bashware не представлялась реалистичной. Однако 4 года спустя нечто подобное было обнаружено уже вне лабораторных условий.

Эксперты Black Lotus Labs отметили, что образцы вредоносного кода показали минимальный рейтинг на сервисе VirusTotal, а это значит, что большинство антивирусных программ пропустит такие файлы. Обнаруженные специалистами образцы были написаны на Python 3 и скомпилированы в ELF при помощи PyInstaller. Код обращается к Windows API для загрузки стороннего файла и запуска его кода в стороннем процессе, что обеспечивает злоумышленнику доступ к заражённой машине. Предположительно, для этого нужно сначала запустить файл в среде WSL.

Были обнаружены два варианта вредоноса. Первый написан на чистом Python, второй дополнительно использовал библиотеку для подключения к Windows API и запуска скрипта PowerShell. Во втором случае, предположили в Black Lotus Labs, модуль ещё находится в разработке, потому что сам по себе не работает. В выборке был также идентифицирован IP-адрес (185.63.90 [.] 137), связанный с целями в Эквадоре и Франции, откуда заражённые машины пытались выйти на связь по портам с 39000 по 48000 в конце июня и начале июля. Предполагается, что владелец вредоноса тестировал VPN или прокси-сервер.


Влад Кулиев, Supreme2.Ru

Коды для вставки в блог\форум




Интересные новости
Microsoft запустит портал обратной связи для Windows, Microsoft 365 и EdgeMicrosoft запустит портал обратной связи для Windows, Microsoft 365 и Edge
Вышло первое крупное обновление Windows 11 — оно ещё сильнее замедлило процессоры AMD RyzenВышло первое крупное обновление Windows 11 — оно ещё сильнее замедлило процессоры AMD Ryzen
Блок рекламы


Похожие новости

Вышло первое крупное обновление Windows 11 — оно ещё сильнее замедлило процессоры AMD RyzenВышло первое крупное обновление Windows 11 — оно ещё сильнее замедлило процессоры AMD Ryzen
Microsoft запустит портал обратной связи для Windows, Microsoft 365 и EdgeMicrosoft запустит портал обратной связи для Windows, Microsoft 365 и Edge
Microsoft рассказала, как установить Windows 11 на некоторые неподдерживаемые компьютерыMicrosoft рассказала, как установить Windows 11 на некоторые неподдерживаемые компьютеры
Microsoft выпустил Windows 11Microsoft выпустил Windows 11
Google обновила дизайн Chrome для соответствия стилю Windows 11Google обновила дизайн Chrome для соответствия стилю Windows 11
Недавнее обновление Windows 10 может вызвать проблемы с сетевой печатьюНедавнее обновление Windows 10 может вызвать проблемы с сетевой печатью
Mozilla обошла защиту Windows и теперь сделать Firefox браузером по умолчанию можно в один кликMozilla обошла защиту Windows и теперь сделать Firefox браузером по умолчанию можно в один клик
Хакеры из FIN7 стали рассылать вредоносные файлы Word для кражи данных с Windows-компьютеровХакеры из FIN7 стали рассылать вредоносные файлы Word для кражи данных с Windows-компьютеров
Microsoft выпустила новую версию приложения PC Health Check для проверки совместимости ПК с Windows 11Microsoft выпустила новую версию приложения PC Health Check для проверки совместимости ПК с Windows 11
Microsoft расширила список CPU, совместимых с Windows 11, — поддержки первых Ryzen так и нетMicrosoft расширила список CPU, совместимых с Windows 11, — поддержки первых Ryzen так и нет
Последние новости

Подгружаем последние новости