近日,安全專家發現了針對 Windows Subsystem for Linux(WSL)創建的惡意 Linux 安裝文件,表明黑客正在嘗試用新的方法來破壞 Windows 設備。這一發現強調了威脅者正在探索新的攻擊方法,並將注意力集中在 WSL 上以逃避檢測。
![[圖]新惡意程序正利用WSL隱蔽攻擊Windows設備](https://dailyclipper.s3.ap-northeast-1.amazonaws.com/wp-content/uploads/2021/09/20210917_6143f080f20a7.jpg)
![[圖]新惡意程序正利用WSL隱蔽攻擊Windows設備](https://dailyclipper.net/wp-content/themes/justnews/themer/assets/images/lazy.png)
首批針對 WSL 環境的攻擊樣本在今年 5 月初被發現,到 8 月 22 日之前持續每 2-3 周出現一次。在今天的一份報告中,Lumen 公司 Black Lotus Labs 的安全研究人員說,這些惡意文件要麼嵌入了有效載荷,要麼從遠程服務器獲取。
下一步是利用 Windows API 調用將惡意軟件注入一個正在運行的進程,這種技術既不新鮮也不複雜。從發現的少量樣本中,只有一個樣本帶有一個可公開路由的 IP 地址,暗示威脅者正在測試使用 WSL 在 Windows 上安裝惡意軟件。惡意文件主要依靠 Python 3 來執行其任務,並使用 PyInstaller 將其打包成用於 Debian 的 ELF 可執行文件。
Black Lotus Labs 表示:“正如 VirusTotal 上檢測率所表明的那樣,大多數為 Windows 系統設計的終端代理並沒有建立分析 ELF 文件的簽名,儘管它們經常檢測到具有類似功能的非 WSL 代理”。不到一個月前,其中一個惡意的Linux文件僅被VirusTotal上的一個反病毒引擎檢測到。對另一個樣本進行刷新掃描顯示,它完全沒有被掃描服務中的引擎檢測到。
![[圖]新惡意程序正利用WSL隱蔽攻擊Windows設備](https://dailyclipper.s3.ap-northeast-1.amazonaws.com/wp-content/uploads/2021/09/20210917_6143f08211abd.jpg)
![[圖]新惡意程序正利用WSL隱蔽攻擊Windows設備](https://dailyclipper.s3.ap-northeast-1.amazonaws.com/wp-content/uploads/2021/09/20210917_6143f0832563e.jpg)
![[圖]新惡意程序正利用WSL隱蔽攻擊Windows設備](https://dailyclipper.s3.ap-northeast-1.amazonaws.com/wp-content/uploads/2021/09/20210917_6143f0844b3e1.jpg)
![[圖]新惡意程序正利用WSL隱蔽攻擊Windows設備](https://dailyclipper.s3.ap-northeast-1.amazonaws.com/wp-content/uploads/2021/09/20210917_6143f085774d9.jpg)
其中一個變種完全用 Python 3 編寫,不使用任何 Windows API,似乎是對 WSL 的加載器的首次嘗試。它使用標準的 Python 庫,這使得它與 Windows 和 Linux 都兼容。
研究人員在一個測試樣本中發現了用俄語打印“Hello Sanya”的代碼。除了一個與該樣本相關的文件外,其他文件都包含本地 IP 地址,而公共IP則指向185.63.90[.]137,當研究人員試圖抓取有效載荷時,該IP已經離線。
另一個“ELF到Windows”的加載器變體依靠 PowerShell 來注入和執行 shellcode。其中一個樣本使用 Python 調用函數,殺死正在運行的防病毒解決方案,在系統上建立持久性,並每20秒運行一個PowerShell腳本。根據分析幾個樣本時觀察到的不一致之處,研究人員認為,該代碼仍在開發中,儘管處於最後階段。