Новости Software

Обнаружено вредоносное ПО для Windows Subsystem for Linux

Эксперты по безопасности обнаружили вредоносное ПО, работающее в среде Windows Subsystem for Linux (WSL). Бинарный файл под Linux пытается атаковать Windows и загрузить дополнительные программные модули.

 Источник: freepik.com

Источник: freepik.com

О проблеме сообщили эксперты команды Black Lotus Labs в американской телекоммуникационной компании Lumen Technologies. Они обнаружили несколько вредоносных файлов на Python, скомпилированных в бинарный формат ELF (Executable and Linkable Format) для Debian Linux. «Эти файлы действовали как загрузчики, запускающие „полезную нагрузку“, которая либо была встроена в сам экземпляр, либо поступала с удалённого сервера, а затем внедрялась в работающий процесс с помощью вызовов Windows API», — говорится в сообщении Black Lotus Labs.

В 2017 году, более чем год спустя после выпуска WSL, исследователи Check Point продемонстрировали экспериментальную атаку под названием Bashware, которая позволяла производить вредоносные действия из исполняемых файлов ELF и EXE в среде WSL. Но среда WSL по умолчанию отключена, а Windows 10 поставляется без каких-либо встроенных Linux-дистрибутивов, поэтому угроза Bashware не представлялась реалистичной. Однако 4 года спустя нечто подобное было обнаружено уже вне лабораторных условий.

Эксперты Black Lotus Labs отметили, что образцы вредоносного кода показали минимальный рейтинг на сервисе VirusTotal, а это значит, что большинство антивирусных программ пропустит такие файлы. Обнаруженные специалистами образцы были написаны на Python 3 и скомпилированы в ELF при помощи PyInstaller. Код обращается к Windows API для загрузки стороннего файла и запуска его кода в стороннем процессе, что обеспечивает злоумышленнику доступ к заражённой машине. Предположительно, для этого нужно сначала запустить файл в среде WSL.

Были обнаружены два варианта вредоноса. Первый написан на чистом Python, второй дополнительно использовал библиотеку для подключения к Windows API и запуска скрипта PowerShell. Во втором случае, предположили в Black Lotus Labs, модуль ещё находится в разработке, потому что сам по себе не работает. В выборке был также идентифицирован IP-адрес (185.63.90 [.] 137), связанный с целями в Эквадоре и Франции, откуда заражённые машины пытались выйти на связь по портам с 39000 по 48000 в конце июня и начале июля. Предполагается, что владелец вредоноса тестировал VPN или прокси-сервер.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме
window-new
Soft
Hard
Тренды 🔥
«Они уже даже не стараются»: декабрьская линейка Games with Gold для подписчиков Xbox Live Gold и Xbox Game Pass Ultimate неприятно удивила игроков 51 мин.
МТС развернула облачный сервис для глобального распределения интернет-трафика 2 ч.
Утечка: в декабре подписчикам PS Plus достанется известнейшая трилогия ролевых игр BioWare и не только 3 ч.
«Объясните свою некомпетентность»: игроки ругают Blizzard за проблемы на запуске World of Warcraft: Dragonflight — компания уже ответила 4 ч.
AWS представила систему Time Sync в виде публичного NTP-сервиса 4 ч.
Samsung готовит приложение с инструкциями для самостоятельного ремонта электроники 6 ч.
Против Google подали коллективный иск 21 млн пользователей за слишком большие комиссии в Play Маркете 6 ч.
Star Wars Battlefront II получит полноценный VR-мод — работа над ним уже идёт полным ходом 7 ч.
«Сбер» открыл доступ к платформе синтеза и распознавания речи SaluteSpeech 7 ч.
VK запустила игровую стрим-платформу VK Play Live с выплатами для стримеров 7 ч.
Tencent поможет китайскому производителю электромобилей NIO создавать технологии автономного вождения 9 мин.
На фото показались первые ноутбуки на Intel Raptor Lake и AMD Ryzen 7000, с графикой GeForce RTX 4000 и Radeon RX 7000S 18 мин.
К 2025 году каждый второй автомобиль будет оснащён частичным автопилотом 2 ч.
ASUS представила плату Pro WS W680-ACE IPMI — она получила IPMI-карту с ASPEED AST2600 3 ч.
Xiaomi раскрыла, насколько Snapdragon 8 Gen 2 быстрее предшественника — он может догнать и обогнать Apple A16 Bionic 4 ч.
Российские космонавты на МКС впервые напечатали что-то на 3D-принтере 4 ч.
Google почти полностью переведёт ЦОД и офисы в Испании на возобновляемую энергию 4 ч.
ICON получила от NASA $57 млн, чтобы научиться строить на Луне из местных материалов 4 ч.
NASA Orion удалился от Земли на рекордное для таких кораблей расстояние 4 ч.
Intel не включила у Raptor Lake функцию DLVR для повышения энергоэффективности, но она может заработать у будущих CPU 4 ч.