Хакери тестують методи використання підсистеми Windows для Linux для злому ПК

BlackLotusLabs повідомляє, що хакери почали розробляти та тестувати методи використання підсистеми Microsoft Windows для Linux, яка пропонує командну оболонку Linux для ПК з Windows, для компрометації інсталяцій Windows.

Охоронна компанія знайшла кілька зразків нової технології в дикій природі, хоча вони ще не повністю розроблені.

Зловмисне програмне забезпечення зазвичай використовує Python 3 для виконання брудної роботи, а хаки упаковуються у виконуваний файл ELF для Debian за допомогою PyInstaller. Ці типи пакетів зазвичай не скануються стандартним антивірусним програмним забезпеченням Windows.

«Як показує незначний рівень виявлення на VirusTotal, більшість агентів кінцевих точок, розроблених для систем Windows, не мають сигнатур, створених для аналізу файлів ELF, хоча вони часто виявляють не-WSL-агенти з подібною функціональністю», — заявили в Black Lotus Labs.

Зразки, виявлені BlackLotusLabs, зазвичай завантажують корисне навантаження з Інтернету, і один із цих зразків використовував Python для виклику функцій, які припиняли роботу антивірусного рішення, встановлювали постійність у системі та запускали сценарій PowerShell кожні 20 секунд.

Новий підхід, здається, майже повністю розроблений, і користувачі WSL повинні знати про збільшену поверхню атаки, яку відкриває середовище на їхніх ПК. Black Lotus Labs рекомендує тим, хто ввімкнув WSL забезпечити правильне ведення журналу щоб виявити цей тип експлойту.

Прочитайте їхній повний звіт тут.

через BleepingComputer.