Новое вредоносное ПО использует подсистему Windows для Linux для скрытых атак

Ошибка системной службы Linux дает root права на все основные дистрибутивы, выпущен эксплойт

Исследователи безопасности обнаружили вредоносные двоичные файлы Linux, созданные для подсистемы Windows для Linux (WSL), что указывает на то, что хакеры пробуют новые методы компрометации компьютеров с Windows.

Этот вывод подчеркивает, что злоумышленники изучают новые методы атак и сосредотачивают свое внимание на WSL, чтобы избежать обнаружения.

Использование WSL во избежание обнаружения

Первые образцы, нацеленные на среду WSL, были обнаружены в начале мая и продолжали появляться каждые две-три недели до 22 августа. Они действуют как загрузчики для среды WSL и имеют очень низкий уровень обнаружения в общедоступных службах сканирования файлов.

В сегодняшнем отчете исследователи безопасности из Lumen’s Black Lotus Labs говорят, что вредоносные файлы либо имеют встроенную полезную нагрузку, либо получают ее с удаленного сервера.

Следующим шагом является внедрение вредоносного ПО в работающий процесс с помощью вызовов Windows API. Этот метод не является ни новым, ни сложным.

Из небольшого числа выявленных образцов только один имел общедоступный маршрутизируемый IP-адрес, что указывает на то, что злоумышленники тестируют использование WSL для установки вредоносного ПО в Windows.

Вредоносные файлы в основном полагаются на Python 3 для выполнения своих задач и упакованы как исполняемый файл ELF для Debian с помощью PyInstaller.

«Как показывает пренебрежимо малая частота обнаружения на VirusTotal, большинство агентов конечных точек, разработанных для систем Windows, не имеют встроенных сигнатур для анализа файлов ELF, хотя они часто обнаруживают не-WSL агентов с аналогичной функциональностью» — Black Lotus Labs

Менее месяца назад один из вредоносных файлов Linux был обнаружен всего одним антивирусным ядром на VirusTotal. Обновление сканирования на другом образце показало, что он полностью не обнаружен модулями службы сканирования.

Python и PowerShell

Один из вариантов, полностью написанный на Python 3, не использует никакого Windows API и кажется первой попыткой загрузчика для WSL. Он использует стандартные библиотеки Python, что делает его совместимым как с Windows, так и с Linux.

Исследователь обнаружил в тестовом образце код, который печатает «Привет, Саня» на русском языке. Все, кроме одного файла, связанные с этим образцом, содержали локальные IP-адреса, в то время как общедоступный IP-адрес указывал на 185.63.90 [.] 137, уже отключенный, когда исследователи пытались захватить полезную нагрузку.

Другой вариант загрузчика «ELF для Windows» полагался на PowerShell для внедрения и выполнения шелл-кода. В одном из этих примеров Python использовался для вызова функций, которые останавливали работающее антивирусное решение, устанавливали постоянство в системе и запускали сценарий PowerShell каждые 20 секунд.

Основываясь на несоответствиях, обнаруженных при анализе нескольких образцов, исследователи полагают, что код все еще находится в разработке, хотя и на завершающей стадии.

Ограниченная видимость с общедоступного IP-адреса указывает на активность, ограниченную целями в Эквадоре и Франции в период с конца июня по начало июля.

Black Lotus Labs оценивает, что загрузчики вредоносных программ WSL — это работа злоумышленника, который тестирует метод через VPN или прокси-узел.

Microsoft представила подсистему Windows для Linux в апреле 2016 года. В сентябре 2017 года, когда WSL только что вышла из стадии бета-тестирования, исследователи Check Point продемонстрировали атаку, которую они назвали Bashware, при которой WSL можно было использовать для сокрытия вредоносного кода от продуктов безопасности.

Отчет от Lumen’s Black Lotus Labs содержит индикаторы компрометации, связанной с обнаруженной кампанией, чтобы помочь защитникам создать правила обнаружения. Для получения хешей файлов и данных о более широкой деятельности этого актера исследователи указывают на страницу компании на GitHub.

Последнее обновление 16.09.2021