Les pirates testent des techniques d'utilisation du sous-système Windows pour Linux pour pirater des PC

NoirLotusLabs rapporte que les pirates ont commencé à développer et à tester des méthodes d'utilisation du sous-système Windows de Microsoft pour Linux, qui offre un shell de commande Linux pour les PC Windows, afin de compromettre les installations Windows.

La société de sécurité a trouvé plusieurs échantillons de la nouvelle technologie dans la nature, bien qu'ils ne soient pas encore complètement développés.

Le malware utilise généralement Python 3 pour effectuer le sale boulot, et les hacks sont empaquetés dans l'exécutable ELF pour Debian à l'aide de PyInstaller. Ces types de packages ne sont généralement pas analysés par un logiciel antivirus Windows standard.

"Comme le suggère le taux de détection négligeable sur VirusTotal, la plupart des agents de terminaux conçus pour les systèmes Windows n'ont pas de signatures conçues pour analyser les fichiers ELF, bien qu'ils détectent fréquemment des agents non WSL avec des fonctionnalités similaires", a déclaré Black Lotus Labs.

Les échantillons détectés par BlackLotusLabs téléchargent généralement leur charge utile à partir d'Internet, et l'un de ces échantillons a utilisé Python pour appeler des fonctions qui ont tué la solution antivirus en cours d'exécution, établi la persistance sur le système et exécuté un script PowerShell toutes les 20 secondes.

La nouvelle approche semble sur le point d'être entièrement développée, et les utilisateurs de WSL doivent être conscients de la surface d'attaque accrue que l'environnement ouvre sur leurs PC. Black Lotus Labs recommande ceux qui ont activé WSL assurer une bonne journalisation afin de détecter ce type d'exploit.

Lire leur rapport complet ici.

via BleepingOrdinateur.