Güvenlik araştırmacıları, Linux (WSL) için Windows Subsystem için oluşturulan kötü amaçlı Linux ikili dosyalarını keşfetti, bilgisayar korsanlarının Windows makinelerinin uzatılması için yeni yöntemler denediklerini belirtir.
Bulgu, tehdit aktörlerinin yeni saldırı yöntemlerini keşfettiğini ve tartışmalardan kaçınmak için WSL'ye dikkat ettiklerini altını çiziyor.
WSL ortamını hedefleyen ilk örnekler Mayıs aylarında keşfedildi ve her iki ila üç haftada bir 22'ye kadar görünmeye devam etti.
Bugün bir raporda, Lumen'in Black Lotus Labs'teki güvenlik araştırmacıları, kötü amaçlı dosyaların ya da uzak bir sunucudan çıkardığını ya da onu uzak bir sunucudan aldığını söylüyor.
Bir sonraki adım, kötü amaçlı yazılımları Windows API çağrıları, ne yeni ne de sofistike olan bir tekniği kullanarak çalışan bir işlem haline getirmektir.
Belirlenen az sayıda numuneden, genel olarak yönlendirilebilir bir IP adresi ile geldi, tehdit aktörlerinin Windows'ta kötü amaçlı yazılımları yüklemek için WSL'nin kullanımını test ettiğini işaret ediyor.
Kötü amaçlı dosyalar, esas olarak görevlerini yerine getirmek için Python 3'teki ve PyInstaller'ı kullanarak Debian için bir elf çalıştırılabilir olarak paketlenir.
"Virustotal üzerindeki ihmal edilebilir algılama oranı, Windows sistemleri için tasarlanan çoğu uç nokta ajanının, ELF dosyalarını analiz etmek için inşa edilmiş imzalara sahip olmamasına rağmen, benzer işlevselliğe sahip WSL olmayan ajanları sık sık tespit ettiler" - Siyah Lotus Labs
Bir aydan az önce, kötü amaçlı Linux dosyalarından biri, virustotal üzerinde sadece bir virüsten koruma motoru tarafından tespit edildi. Taramayı başka bir örnekte yenilemek, tarama servisindeki motorlar tarafından tamamen tespit edildiğini gösterdi.
Python 3'te tamamen yazılmış olan varyantlardan biri, herhangi bir Windows API kullanmaz ve WSL için bir yükleyicideki ilk deneme gibi görünmüyor. Hem Windows hem de Linux ile uyumlu hale getiren standart Python kütüphanelerini kullanıyor.
Araştırmacı, Rusça "Hello Sanya" yazdıran bir test örneği kodunda bulundu. Bu örnekle ilişkili bir dosya dışında, yerel IP adresleri içeriyordu, kamu IP'i 185.63.90 [.] 137'ye işaret ederken, araştırmacıların yükü almaya çalıştığında zaten çevrimdışı.
Başka bir "ELF, Windows" yükleyici varyantı, kabuk kodunu enjekte etmek ve yürütmek için PowerShell'e güvendi. Bu numunelerden biri, Python'u çalıştıran antivirüs çözeltisini öldüren fonksiyonları aramak için kullandı, sistemde kalıcılık kurdu ve her 20 saniyede bir PowerShell komut dosyasını çalıştırın.
Birkaç numuneyi analiz ederken gözlenen tutarsızlıklara dayanarak, araştırmacılar son aşamada olmasına rağmen, kodun hala geliştirildiğine inanıyor.
Genel IP adresinden sınırlı görünürlük, Ekvador ve Fransa'daki Hedefler ile Haziran ve Temmuz ayının başlarında arasındaki hedeflerle sınırlıdır.
Black Lotus Labs, WSL kötü amaçlı yazılım yükleyicilerinin, yöntemi bir VPN veya proxy düğümünden test eden bir tehdit aktörünün çalışması olduğunu değerlendirir.
Microsoft, Nisan 2016'da Linux için Windows Subsystem'i tanıttı. Eylül 2017'de, WSL'nin taze olarak beta dışına çıktığında, Check Point'teki araştırmacılar, WSL'nin güvenlik ürünlerinden kötü amaçlı kodları gizlemek için suistimal edilebileceği bir saldırı olduğunu gösterdi.
Lümen'in Black Lotus Labs'ın raporu, savunucuların algılama kuralları oluşturmasına yardımcı olmak için tespit edilen kampanya ile ilişkili uzlaşma göstergelerini sağlar. Bu aktörün daha geniş aktivitesindeki dosya karmalar ve veriler için, araştırmacılar şirketin Github sayfasına işaret ediyor.
EasyWSL, Linux Docker görüntülerini bir Windows 10 WSL dağıtımına dönüştürür
Omigod: Microsoft Azure VMS Mirai, Miners'ı düşürmek için kullandı
Yeni Windows Güvenlik Güncellemeleri Ağ Yazdırmayı Break
Windows 10 şimdi WSL'yi tek bir komutla yüklemenizi sağlar.
Windows 11 artık Oracle Virtualbox VMS ile uyumlu değil
Kaynak: Bleeping Computer