查看: 1587|回复: 4
收起左侧

[IT业界] 新恶意程序正利用WSL隐蔽攻击Windows设备

[复制链接]
蓝天二号
发表于 2021-9-17 09:07:20 | 显示全部楼层 |阅读模式
近日,安全专家发现了针对 Windows Subsystem for Linux(WSL)创建的恶意 Linux 安装文件,表明黑客正在尝试用新的方法来破坏 Windows 设备。这一发现强调了威胁者正在探索新的攻击方法,并将注意力集中在 WSL 上以逃避检测。
7f8c8e24cf6a4d3.jpg

首批针对 WSL 环境的攻击样本在今年 5 月初被发现,到 8 月 22 日之前持续每 2-3 周出现一次。在今天的一份报告中,Lumen 公司 Black Lotus Labs 的安全研究人员说,这些恶意文件要么嵌入了有效载荷,要么从远程服务器获取。

下一步是利用 Windows API 调用将恶意软件注入一个正在运行的进程,这种技术既不新鲜也不复杂。从发现的少量样本中,只有一个样本带有一个可公开路由的 IP 地址,暗示威胁者正在测试使用 WSL 在 Windows 上安装恶意软件。恶意文件主要依靠 Python 3 来执行其任务,并使用 PyInstaller 将其打包成用于 Debian 的 ELF 可执行文件。

Black Lotus Labs 表示:“正如 VirusTotal 上检测率所表明的那样,大多数为 Windows 系统设计的终端代{过}{滤}理并没有建立分析 ELF 文件的签名,尽管它们经常检测到具有类似功能的非 WSL 代{过}{滤}理”。不到一个月前,其中一个恶意的Linux文件仅被VirusTotal上的一个反病毒引擎检测到。对另一个样本进行刷新扫描显示,它完全没有被扫描服务中的引擎检测到。
6cf6fe2e7da54f6.jpg
c9ae3adfa7b4cae.jpg
其中一个变种完全用 Python 3 编写,不使用任何 Windows API,似乎是对 WSL 的加载器的首次尝试。它使用标准的 Python 库,这使得它与 Windows 和 Linux 都兼容。

研究人员在一个测试样本中发现了用俄语打印“Hello Sanya”的代码。除了一个与该样本相关的文件外,其他文件都包含本地 IP 地址,而公共IP则指向185.63.90[.]137,当研究人员试图抓取有效载荷时,该IP已经离线。

另一个“ELF到Windows”的加载器变体依靠 PowerShell 来注入和执行 shellcode。其中一个样本使用 Python 调用函数,杀死正在运行的防病毒解决方案,在系统上建立持久性,并每20秒运行一个PowerShell脚本。根据分析几个样本时观察到的不一致之处,研究人员认为,该代码仍在开发中,尽管处于最后阶段。
ZMLoveLH
发表于 2021-9-17 09:20:17 | 显示全部楼层
不知道这个恶意程序卡巴能否查杀啊
PanzerVIIIMaus
发表于 2021-9-17 09:25:23 | 显示全部楼层
刚看了一眼,最后一次扫描是4小时前,
好像仍旧没有结果
火狐截图_2021-09-17T01-24-29.540Z.png

wwdboy
发表于 2021-9-17 13:12:24 | 显示全部楼层
这都还没用上呢
huangsijun17
发表于 2021-9-17 15:02:52 | 显示全部楼层
之前在WSL下误破坏过Windows系统的飘过。
除了主防类,应该防不住。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-6 13:30 , Processed in 0.136933 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表