新恶意程序正利用WSL隐蔽攻击Windows设备

近日，安然专家发清楚明了针对WindowsSubsystem for Linux（WSL）创建的恶意Linux安装文件，注解黑客正在测验测验用新的办法来破坏Windows设备。这一发明强调了威逼者正在摸索新的进击办法，并将留意力集中在WSL上以回避检测。

首批针对WSL情况的进击样本在本年5月初被发明，到8月22日之前持续每2-3周出现一次。在今天的一份申报中，Lumen公司BlackLotus Labs 的安然研究人员说，这些恶意文件要么嵌入了有效载荷，要么从长途办事器获取。

下一步是应用WindowsAPI调用将恶意软件注入一个正在运行的过程，这种技巧既不新鲜也不复杂。从发明的少量样本中，只有一个样本带有一个可公开路由的IP地址，暗请愿胁者正在测试应用WSL在Windows上安装恶意软件。恶意文件重要依附Python3 来履行其义务，并应用PyInstaller将其打包成用于Debian的ELF可履行文件。

BlackLotus Labs 表示：“正如VirusTotal上检测率所注解的那样，大年夜多半为Windows体系设计的终端代理并没有建立分析ELF文件的签名，尽管它们经常检测到具有类似功能的非WSL代理”。不到一个月前，个中一个恶意的Linux文件仅被VirusTotal上的一个反病毒引擎检测到。对另一个样本进行刷新扫描显示，它完全没有被扫描办事中的引擎检测到。

个中一个变种完全用Python3 编写，不应用任何WindowsAPI，似乎是对WSL的加载器的初次测验测验。它应用标准的Python库，这使得它与Windows和Linux都兼容。

研究人员在一个测试样本中发清楚明了用俄语打印“HelloSanya”的代码。除了一个与该样本相关的文件外，其他文件都包含本地IP地址，而公共IP则指向185.63.90[.]137，当研究人员试图抓取有效载荷时，该IP已经离线。

另一个“ELF到Windows”的加载器变体依附PowerShell来注入和履行shellcode。个中一个样本应用Python调用函数，杀逝世正在运行的防病毒解决筹划，在体系上建立持久性，并每20秒运行一个PowerShell脚本。根据分析几个样本时不雅察到的不一致之处，研究人员认为，该代码仍在开辟中，尽管处于最后阶段。