Виявлено шкідливі програми для Windows Subsystem for Linux

Експерти з безпеки виявили шкідливе ПО, яке працює в середовищі Windows Subsystem for Linux (WSL). Бінарний файл під Linux намагається атакувати Windows і завантажити додаткові програмні модулі.

Про проблему повідомили експерти команди Black Lotus Labs в американській телекомунікаційній компанії Lumen Technologies. Вони виявили кілька шкідливих файлів на Python, скомпільованих в бінарний формат ELF (Executable and Linkable Format) для Debian Linux. «Ці файли діяли як завантажувачі, що запускають” корисне навантаження “, яка або була вбудована в сам екземпляр, або надходила з віддаленого сервера, а потім впроваджувалася в робочий процес за допомогою викликів Windows API», – йдеться в повідомленні Black Lotus Labs.

У 2017 році, більш ніж через рік після випуску WSL, дослідники Check Point продемонстрували експериментальну атаку під назвою Bashware, яка дозволяла виробляти шкідливі дії з виконуваних файлів ELF і EXE в середовищі WSL. Але середу WSL за замовчуванням відключена, а Windows 10 поставляється без будь-яких вбудованих Linux-дистрибутивів, тому загроза Bashware не видавалася реалістичною. Однак 4 роки по тому щось подібне було виявлено вже поза лабораторними умовами.

Експерти Black Lotus Labs відзначили, що зразки шкідливого коду показали мінімальний рейтинг на сервісі VirusTotal, а це значить, що більшість антивірусних програм пропустить такі файли. Виявлені фахівцями зразки були написані на Python 3 і скомпільовані в ELF за допомогою PyInstaller. Код звертається до Windows API для завантаження стороннього файлу і запуску його коду в сторонньому процесі, що забезпечує зловмисникові доступ до зараженої машини. Імовірно, для цього потрібно спочатку запустити файл в середовищі WSL.

Були виявлені два варіанти шкідливий. Перший написаний на чистому Python, другий додатково використовував бібліотеку для підключення до Windows API й запуску скрипту PowerShell. У другому випадку, припустили в Black Lotus Labs, модуль ще знаходиться в розробці, тому що сам по собі не працює. У вибірці був також ідентифікована IP-адреса (185.63.90 [.] 137), пов’язаний з цілями в Еквадорі й Франції, звідки заражені машини намагалися вийти на зв’язок по портах з 39000 по 48000 в кінці червня та на початку липня. Передбачається, що власник шкідливий тестував VPN або проксі-сервер.

Джерело