Angara Professional Assistance | Windows атакуют через подсистему для Linux

Windows атакуют через подсистему для Linux

Группа исследователей из Black Lotus Labs обнаружила несколько вредоносных файлов, скомпилированных в двоичном формате Linux ELF (Executable and Linkable Format) под ОС Debian Linux. Необычно то, что проанализированные файлы предназначены для исполнения в среде WSL (Windows Subsystem for Linux).

WSL – это инструмент в Windows-системе, который предоставляет оболочку Linux, способную взаимодействовать с файловой системой Windows. По сути, в данном случае дистрибутив Linux можно рассматривать как приложение в ОС.

Найденные исследователями образцы работают как загрузчики, выполняющие полезную нагрузку, которая либо уже встроена в образец, либо будет получена с удаленного сервера. Вызывая различные API системы Windows, вредоносный код встраивается в запущенный процесс Windows и тем самым устанавливает доступ к зараженной машине.

Как отмечают эксперты, код зловреда написан на Python, а в одном из образцов используются функции PowerShell для отключения антивирусного ПО и других средств обнаружения. Другой семпл, который скорее всего оказался тестовым, позабавил исследователей: кодом был предусмотрен вывод строки с текстом на русском языке «Привет Саня».

«Большая часть средств защиты информации, применяемых на устройствах под управлением Windows, ориентирована на сигнатуры, свойственные файлам и процессам только этой операционной системы. Поэтому необходимо применять дополнительные меры для своевременного выявления инцидентов информационной безопасности в Windows-системе с включенной функцией WSL, в частности, провести корректную настройку ведения журнала событий, использовать автоматизированные средства анализа и поиска нежелательных событий, а также уже известных индикаторов компрометации», – комментирует Тимур Зиннятуллин, директор Центра киберустойчивости ACRC Angara Professional Assistance.