Группа исследователей из Black Lotus Labs несколько вредоносных файлов, скомпилированных в двоичном формате Linux ELF (Executable and Linkable Format) под ОС Debian Linux. Необычно то, что проанализированные файлы предназначены для исполнения в среде WSL (Windows Subsystem for Linux).
WSL – это инструмент в Windows-системе, который предоставляет оболочку Linux, способную взаимодействовать с файловой системой Windows. По сути, в данном случае дистрибутив Linux можно рассматривать как приложение в ОС.
Найденные исследователями образцы работают как загрузчики, выполняющие полезную нагрузку, которая либо уже встроена в образец, либо будет получена с удаленного сервера. Вызывая различные API-системы Windows, вредоносный код встраивается в запущенный процесс Windows и тем самым устанавливает доступ к зараженной машине.
Как отмечают эксперты, код зловреда написан на Python, а в одном из образцов используются функции PowerShell для отключения антивирусного ПО и других средств обнаружения. Другой семпл, который скорее всего оказался тестовым, позабавил исследователей: кодом был предусмотрен вывод строки с текстом на русском языке «Привет Саня».
«Большая часть средств защиты информации, применяемых на устройствах под управлением Windows, ориентирована на сигнатуры, свойственные файлам и процессам только этой операционной системы. Поэтому необходимо применять дополнительные меры для своевременного выявления инцидентов информационной безопасности в Windows-системе с включенной функцией WSL, в частности, провести корректную настройку ведения журнала событий, использовать автоматизированные средства анализа и поиска нежелательных событий, а также уже известных индикаторов компрометации», – комментирует Тимур Зиннятуллин, директор Центра киберустойчивости ACRC Angara Professional Assistance.
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.
