Bilgisayar korsanları, yeni kötü amaçlı yazılımlar oluşturdukça bir saldırı yüzeyi olarak Linux için Windows alt sistemine (WSL) artan bir ilgi gösteriyor, daha gelişmiş örnekler casusluk için uygun ve ek kötü amaçlı modüller indiriyor.
Özelliğin adından da anlaşılacağı gibi, WSL, Linux çekirdeğini taklit eden bir ortamda Native Linux ikili çalıştırmanın pencerelerde çalışmasına izin verir.
Son zamanlarda keşfedilen WSL tabanlı kötü amaçlı yazılım örnekleri, Telegram mesajlaşma hizmeti aracılığıyla iletişimi yönlendiren ve tehdit oyuncusuna uzaktan erişim sağlayan açık kaynaklı kodlara güveniyor.
WSL için kötü niyetli Linux ikili dosyaları ilk olarak bir yıl önce keşfedildi ve Lumen Technologies'in Black Lotus Labs'taki araştırmacılar Eylül 2021'de bu yeni tehdit türü hakkında bir rapor yayınladı.
O zamandan beri, sayısı sürekli olarak büyüdü, tüm varyantlar halka açık koda dayanmasına rağmen düşük algılama oranlarına sahipti.
Black Lotus Labs araştırmacıları, bu hafta BleepingComputer'a geçen sonbahardan beri 100'den fazla WSL tabanlı kötü amaçlı yazılım örneği izlediklerini söyledi.
Araştırmacılar, bazılarının diğerlerinden daha gelişmiş olduğunu, tehdit aktörlerinin izledikleri kötü amaçlı yazılımlarda “sürekli ilgi gösterdiğini” de sözlerine ekledi.
Analiz edilen numunelerden ikisi, bir uzaktan erişim aracı (sıçan) olarak işlev görme veya enfekte olmuş konakçı üzerinde bir ters kabuk oluşturma yetenekleri nedeniyle daha dikkate değerdir.
İki örnek, Mart ayında WSL'nin çeşitli teknik beceri seviyelerine sahip rakipler için tercih edilen bir saldırı yüzeyi haline gelmesi konusunda uyaran Black Lotus Labs raporundan sonra keşfedildi.
Daha yeni örneklerden biri, telgraf üzerinde kontrol sağlayan ve Google Chrome ve Opera Web tarayıcılarından kimlik doğrulama çerezlerini çalmak, komutları çalıştırmak veya dosyaları indirmek için işlevlerle birlikte gelen Python tabanlı açık kaynaklı bir araca dayanıyordu. .
Black Lotus Labs araştırmacıları, BleepingComputer'a kötü amaçlı yazılımın canlı bir bot jetonu ve sohbet kimliği ile geldiğini ve aktif bir komut ve kontrol mekanizmasını gösterdiğini söyledi.
Bu varyanttaki ek işlevler arasında, saldırganın uzlaşmanın bir sonraki aşamasında hangi kötü amaçlı yazılım veya yardımcı programlar kullanabileceklerini belirlemesine yardımcı olan ekran görüntüleri ve kullanıcı ve sistem bilgilerini (kullanıcı adı, IP adresi, işletim sistemi sürümü) yakalama bulunur.
Araştırmacılar, Black Lotus Labs örneği analiz ettiğinde, virüs toplamda sadece iki antivirüs motorunun kötü niyetli olarak işaretlediğini belirtti.
Son zamanlarda keşfedilen ikinci bir WSL tabanlı kötü amaçlı yazılım örneği, enfekte makinede saldırganla iletişim kurmak için bir ters TCP kabuğu kurmak için oluşturuldu.
Kod'a bakıldığında, araştırmacılar daha önce birkaç kuruluş tarafından kullanılan Amazon Web Services'ten bir IP adresi kullandığını fark ettiler.
Araştırmacıların bu örnekle gözlemledikleri bir özellik, Türkçe'de bir pop-up mesajı sergilemesiydi: “Breaked ve yapabileceğiniz çok şey yok”.
Bununla birlikte, ne Türkçe konuşan hedefleri gösterebilecek ne açılır mesaj ne de kod, kötü amaçlı yazılımın yazarı hakkında bir ipucu vermedi.
Araştırmacılar, her iki kötü amaçlı yazılım parçasının casusluk amacıyla kullanılabilir ve işlevselliklerini genişletecek dosyaları indirebileceğini söyledi.
Black Lotus Labs geçmişte tehdit aktörlerinin WSL vektörünü daha derin araştırdığı konusunda uyardı, örneğin birçoğu analiz edilen “dahili veya yönlendirilemez IP'lerin kullanımı nedeniyle henüz tam olarak işlevsel görünmüyordu”.
Bununla birlikte, kötü amaçlı yazılım yazarları ilerleme kaydediyorlar ve hem Windows hem de Linux'ta çalışan ve dosya yükleyebilen veya indirebilen veya saldırgan komutlarını yürütebilen varyantlar oluşturmuşlardır.
Önceki WSL tabanlı kötü amaçlı yazılımlardan farklı olarak, Black Lotus Labs'ın analiz ettiği en son örnekler “AV sağlayıcılarının düşük algılama oranları göz önüne alındığında, aktif bir C2 [komut ve kontrol] altyapısı ile etkili olacaktır.”
WSL tabanlı tehditlere karşı savunmanın genel öneri, şüpheli aktiviteyi belirlemek ve komutları araştırmak için sistem etkinliğine (örneğin Sysmon) yakından göz atmaktır.
Microsoft, Windows Server 2022'de WSL2 dağıtımları için destek ekliyor
Kötü niyetli PYPI paketi Windows, Linux ve Mac'lerde arka kapı açıyor
Microsoft: SYSRV Botnet, Windows, Linux sunucularını yeni istismarlarla hedefler
Yeni kriptomingining kötü amaçlı yazılım bir Windows ordusu oluşturur, Linux Bots
Windows Msdt Zero-Day şimdi Çince Hackers tarafından sömürüldü
Kaynak: Bleeping Computer