Windows се оказа уязвим през подсистемата за Linux, разкриха експерти по сигурността
(снимка: CC0 Public Domain)
Експерти по сигурността откриха злонамерен софтуер, който работи в Windows Subsystem for Linux (WSL) среда. Двоичен файл под Linux се опитва да атакува Windows и да зареди допълнителни софтуерни модули.
За проблема съобщават експерти от Black Lotus Labs, част от американската телекомуникационна компания Lumen Technologies. Те са открили няколко злонамерени файла на Python, компилирани в двоичен EFL формат (Executable and Linkable Format) за Debian Linux.
„Тези файлове действаха като зареждащи програми, стартираха „полезен товар”, който или беше вграден в самия екземпляр, или идваше от отдалечен сървър и след това се инжектираше в работещ процес, използвайки Windows API повиквания”, пояснява Black Lotus Labs.
През 2017 г., повече от година след пускането на WSL, изследователите на Check Point демонстрираха експериментална атака, наречена Bashware, която позволяваше да се извършват злонамерени действия от изпълними ELF и EXE файлове във WSL среда. Но WSL е деактивиран по подразбиране и Windows 10 идва без вградени Linux дистрибуции, така че заплахата от Bashware не изглеждаше реалистична, отбелязва The Register.
Четири години по-късно обаче нещо подобно е открито извън лабораторията. Експерти от Black Lotus Labs коментират, че пробите от злонамерен код имат минимален рейтинг в услугата VirusTotal, което означава, че повечето антивирусни програми ще ги пропуснат.
Откритите проби са написани на Python 3 и компилирани в ELF с помощта на PyInstaller. Кодът извиква Windows API за изтегляне на файл от „трета страна” и стартиране на кода му в процес на „трета страна”, който предоставя на нападателя достъп до заразената машина. Предполага се, че това изисква първо стартиране на файла във WSL среда.
Засечени са два варианта на злонамерения софтуер. Първият е написан на чист Python, а вторият допълнително използва библиотека за свързване към Windows API и стартиране на скрипт PowerShell. Експертите на Black Lotus Labs предполагат, че във втория случай модулът все още се разработва, тъй като не работи сам по себе си.
Пробата също така идентифицира IP адрес (185.63.90 [.] 137), свързан с цели в Еквадор и Франция, откъдето заразените машини се опитвали да комуникират с портове от 39000 до 48000 в края на юни и началото на юли. Предполага се, че собственикът на злонамерения софтуер е тествал VPN или прокси сървър.