新的惡意軟件使用Linux的Windows子系統(tǒng)進(jìn)行秘密攻擊

黑客正在嘗試新方法來破壞Windows機(jī)器，安全研究人員最近發(fā)現(xiàn)了為Linux的Windows子系統(tǒng)(WSL)創(chuàng)建的惡意Linux二進(jìn)制文件，這一發(fā)現(xiàn)表明，威脅行為者正在不斷探索新的攻擊方法，并將注意力集中在WSL上以逃避檢測。

使用WSL避免檢測

在5月初發(fā)現(xiàn)了第一個(gè)針對WSL環(huán)境的樣本，直到8月22日持續(xù)每兩到三周出現(xiàn)一次。它們充當(dāng)WSL環(huán)境的加載器，對公共文件掃描服務(wù)的檢測非常低。

在一份報(bào)告中，Lumen黑蓮花實(shí)驗(yàn)室的安全研究人員表示，惡意文件要么嵌入了有效載荷，要么從遠(yuǎn)程服務(wù)器獲取。

下一步是使用Windows API調(diào)用將惡意軟件注入一個(gè)正在運(yùn)行的進(jìn)程，這項(xiàng)技術(shù)既不新鮮也不復(fù)雜。

從確定的少量樣本中，只有一個(gè)帶有公開可路由的IP地址，這表明威脅行為者正在測試使用WSL在Windows上安裝惡意軟件。

惡意文件主要依賴Python 3來執(zhí)行其任務(wù)，并使用PyInstaller打包為Debian的ELF可執(zhí)行文件。

黑蓮花實(shí)驗(yàn)室表示，正如 VirusTotal 上的檢測率可以忽略不計(jì)，大多數(shù)為Windows系統(tǒng)設(shè)計(jì)的端點(diǎn)代理沒有構(gòu)建用于分析ELF文件的簽名，盡管它們經(jīng)常檢測具有類似功能的非WSL代理。

不到一個(gè)月前，VirusTotal上的一個(gè)防病毒引擎僅檢測到其中一個(gè)惡意Linux 文件，但刷新另一個(gè)樣本的掃描結(jié)果表明它完全沒有被掃描服務(wù)上的引擎檢測到。

Python 和 PowerShell

其中一個(gè)完全用Python 3編寫的變體不使用任何Windows API，似乎是對WSL加載器的第一次嘗試。它使用標(biāo)準(zhǔn)Python庫，使其與Windows和Linux兼容。

另一個(gè)“ELF to Windows”加載程序變體依賴于PowerShell注入和執(zhí)行shellcode。其中一個(gè)示例使用Python調(diào)用函數(shù)來終止正在運(yùn)行的防病毒解決方案，在系統(tǒng)上建立持久性，并每20秒運(yùn)行一次PowerShell腳本。

基于在分析時(shí)發(fā)現(xiàn)幾個(gè)樣本不一致，該代碼可能仍在開發(fā)中。

公共IP地址的有限可見性表明，6月底至7月初，活動僅限于位于厄瓜多爾和法國的目標(biāo)。

黑蓮花實(shí)驗(yàn)室評估，WSL惡意軟件加載器是威脅參與者從VPN或代理節(jié)點(diǎn)測試方法的工作。

2016年4月，微軟推出了面向Linux的Windows子系統(tǒng)。2017年9月，當(dāng)WSL剛剛結(jié)束beta測試時(shí)，Check Point的研究人員演示了一種他們稱為Bashware的攻擊，在這種攻擊中，WSL可以被濫用來向安全產(chǎn)品隱藏惡意代碼。

隨著軟件功能的不斷開發(fā)和更新，更多的問題和安全漏洞暴露在網(wǎng)上。網(wǎng)絡(luò)犯罪分子通過升級或更新攻擊手段，在使用者未知的情況下潛入系統(tǒng)并發(fā)起網(wǎng)絡(luò)攻擊，因此在軟件開發(fā)過程中加強(qiáng)安全性建設(shè)，提高底層代碼質(zhì)量，是幫助軟件抵御網(wǎng)絡(luò)攻擊的有效手段。尤其超6成安全漏洞與代碼有關(guān)，因此在編碼時(shí)使用靜態(tài)代碼檢測工具輔助開發(fā)人員第一時(shí)間查找并修正代碼缺陷和不足，可以大大提高軟件自身安全性。在網(wǎng)絡(luò)攻擊日益多樣化的今天，提高軟件安全性已成為繼殺毒軟件防火墻等防御措施之后的又一有效手段。

參讀鏈接：

https://www.bleepingcomputer.com/news/security/new-malware-uses-windows-subsystem-for-linux-for-stealthy-attacks/