Фахівці виявили нове шкідливе пз, яке використовує підсистему windows для linux

32

Нараховано винагороду

Ця новина написана відвідувачем сайту, і за неї нараховано винагороду.

реклама

У четвер black lotus labs повідомила, що виявила нове шкідливе пз, яке використовує підсистему windows для linux (wsl), щоб уникнути виявлення засобами безпеки.

Wsl дебютував у 2016 році разом з ювілейним оновленням windows 10 як спосіб доступу до інструментів gnu і linux без необхідності завантажуватися в іншу операційну систему. Спочатку він не надав справжнього доступу до ядра linux – він використовував сумісне ядро, розроблене microsoft, – але це змінилося, коли wsl 2 з’явився в червні 2019 року.

Цей випуск офіційно представив ядро linux для windows, і хоча це зазвичай добре для людей, які не хочуть возитися з подвійним завантаженням або використанням іншого середовища віртуальної машини, виявляється, що це також становить загрозу безпеці. Black lotus labs заявила, що виявлене шкідливе пз використовувалося для прихованої атаки на цільові комп’ютери.

Дослідники заявили, що шкідлива програма поширювалася через файли виконуваного і зв’язуваного формату (elf), призначені для роботи в популярному дистрибутиві linux debian і його похідних. У деяких випадках ці файли містили корисне навантаження, призначене для цільового пк; в інших вони отримували корисне навантаження від інфраструктури віддаленого управління та контролю.

Black lotus labs виявила кілька версій шкідливих файлів elf. Кажуть, що один був написаний виключно на python з використанням стандартних бібліотек, які дозволили б йому орієнтуватися як на системи linux, так і на windows. Інший використовував powershell, командну оболонку microsoft і мову сценаріїв, для взаємодії з конкретними api-інтерфейсами windows.

Утиліта virustotal, яка перевіряє відправлені файли на наявність шкідливих програм за допомогою понад 70 з гаком антивірусних сканерів, підтвердила це, вказавши, що шкідливих програм не виявлено при написанні звіту black lotus labs.

” наскільки нам відомо, це перший випадок, коли злом відбувається через wsl», – заявили дослідники безпеки black lotus labs. «ми сподіваємося, що, висвітлюючи цей спосіб злому, ми зможемо допомогти поліпшити виявлення і оповіщення, перш ніж його використання стане більш нестримним».