当前位置:首页 > 旅游

新恶意程序正利用WSL隐蔽攻击Windows设备

时间:2021-09-18 05:42

近日,安然专家发清楚明了针对WindowsSubsystem for Linux(WSL)创建的恶意Linux安装文件,注解黑客正在测验测验用新的办法来破坏Windows设备。这一发明强调了威逼者正在摸索新的进击办法,并将留意力集中在WSL上以回避检测。

首批针对WSL情况的进击样本在本年5月初被发明,到8月22日之前持续每2-3周出现一次。在今天的一份申报中,Lumen公司BlackLotus Labs 的安然研究人员说,这些恶意文件要么嵌入了有效载荷,要么从长途办事器获取。

下一步是应用WindowsAPI调用将恶意软件注入一个正在运行的过程,这种技巧既不新鲜也不复杂。从发明的少量样本中,只有一个样本带有一个可公开路由的IP地址,暗请愿胁者正在测试应用WSL在Windows上安装恶意软件。恶意文件重要依附Python3 来履行其义务,并应用PyInstaller将其打包成用于Debian的ELF可履行文件。

BlackLotus Labs 表示:“正如VirusTotal上检测率所注解的那样,大年夜多半为Windows体系设计的终端代理并没有建立分析ELF文件的签名,尽管它们经常检测到具有类似功能的非WSL代理”。不到一个月前,个中一个恶意的Linux文件仅被VirusTotal上的一个反病毒引擎检测到。对另一个样本进行刷新扫描显示,它完全没有被扫描办事中的引擎检测到。

个中一个变种完全用Python3 编写,不应用任何WindowsAPI,似乎是对WSL的加载器的初次测验测验。它应用标准的Python库,这使得它与Windows和Linux都兼容。

研究人员在一个测试样本中发清楚明了用俄语打印“HelloSanya”的代码。除了一个与该样本相关的文件外,其他文件都包含本地IP地址,而公共IP则指向185.63.90[.]137,当研究人员试图抓取有效载荷时,该IP已经离线。

另一个“ELF到Windows”的加载器变体依附PowerShell来注入和履行shellcode。个中一个样本应用Python调用函数,杀逝世正在运行的防病毒解决筹划,在体系上建立持久性,并每20秒运行一个PowerShell脚本。根据分析几个样本时不雅察到的不一致之处,研究人员认为,该代码仍在开辟中,尽管处于最后阶段。

【责任编辑:admin】 来源:未知

收藏

赞一个

版权所有: 广东财经网