Yeni Kötü Amaçlı Yazılım, Algılamadan Kurtulmak için Linux için Windows Alt Sistemini Hedefliyor

Yeni Kötü Amaçlı Yazılım, Algılamadan Kurtulmak için Linux için Windows Alt Sistemini Hedefliyor

 


Windows makinelerinden ödün vermek amacıyla Linux için Windows Alt Sistemi (WSL) için bir dizi kötü amaçlı örnek oluşturuldu, operatörlerin radar altında kalmasına ve popüler kötü amaçlı yazılımdan koruma motorları tarafından algılanmasını engelleyen sinsi bir yöntemin altını çizdi.

"Farklı ticari araç", bir tehdit aktörünün sonraki yükleri yüklemek için WSL'yi kötüye kullandığının tespit edildiği ilk örneği işaretler.

Lumen Black Lotus Labs araştırmacıları Perşembe günü yayınlanan bir raporda, "Bu dosyalar, örneğin içine yerleştirilmiş veya uzak bir sunucudan alınan ve daha sonra Windows API çağrıları kullanılarak çalışan bir sürece enjekte edilen bir yükü çalıştıran yükleyiciler gibi davrandı" dedi.

Ağustos 2016'da başlatılan Linux için Windows Alt Sistemi, Linux ikili yürütülebilir dosyalarını (ELF biçiminde) geleneksel bir sanal makine veya çift önyükleme kurulumunun ek yükü olmadan Windows platformunda yerel olarak çalıştırmak için tasarlanmış bir uyumluluk katmanıdır.

En eski eserler, 22 Ağustos 2021'e kadar her iki ila üç haftada bir yüklenen bir dizi Linux ikili dosyasıyla 3 Mayıs 2021'e kadar uzanıyor. Örnekler yalnızca Python 3'te yazılmış ve PyInstaller ile yürütülebilir bir ELF'ye dönüştürülmekle kalmaz, aynı zamanda dosyalar uzak bir komuta ve kontrol sunucusundan kabuk kodunu indirmek ve virüs bulaşmış ana bilgisayarda takip faaliyetlerini yürütmek için PowerShell'i kullanmak üzere düzenlenir.

Bu ikincil "kabuk kodu" yükü daha sonra, Lumen'in "ELF'den Windows'a ikili dosya yürütme" olarak tanımladığı şey için Windows API çağrıları kullanılarak çalışan bir Windows işlemine enjekte edilir, ancak örnek, makinede çalışan şüpheli antivirüs ürünlerini ve analiz araçlarını sonlandırmaya çalışmadan önce değil.Dahası, standart Python kitaplıklarının kullanımı, bazı varyantları hem Windows hem de Linux üzerinde birlikte çalışabilir hale getirir.

Uzmanlar, "Mevcut süreç içerisinde, yalnızca bir genel olarak yönlendirilebilir IP adresine sahip sınırlı sayıda örnek belirlenebildiğini belirtti, bu da bu etkinliğin kapsamının oldukça sınırlı olduğunu veya potansiyel olarak hala geliştirme aşamasında olduğunu gösteriyor" dedi. "İşletim sistemleri arasındaki bir zamanlar farklı olan sınırlar daha da belirsiz olarak devam ettiği süre boyunca, tehdit aktörleri yeni saldırı yüzeylerinden her zaman faydalanabilecek."

Bu yayınları beğenebilirsiniz