Windows се оказа уязвим през подсистемата за Linux, разкриха експерти

Windows се оказа уязвим през подсистемата за Linux, разкриха специалисти по сигурността
(снимка: CC0 Public Domain)

Експерти по сигурността откриха злоумишлен програмен продукт, който работи в Windows Subsystem for Linux (WSL) среда. Двоиче н файл под Linux се пробва да нападна Windows и да зареди спомагателни софтуерни модули.

За казуса оповестяват специалисти от Black Lotus Labs, част от американската телекомуникационна компания Lumen Technologies. Те са разкрили няколко злонамерени файла на Python, компилирани в двоичен EFL формат (Executable and Linkable Format) за Debian Linux.

„ Тези файлове действаха като зареждащи стратегии, стартираха „ потребен товар ”, който или беше вграден в самия образец, или идваше от далечен сървър и по-късно се инжектираше в работещ развой, употребявайки Windows API повиквания ”, разяснява Black Lotus Labs.

През 2017 година, повече от година след стартирането на WSL, откривателите на Check Point демонстрираха пробна офанзива, наречена Bashware, която позволяваше да се правят злонамерени дейности от изпълними ELF и EXE файлове във WSL среда. Но WSL е деактивиран по дифолт и Windows 10 идва без вградени Linux дистрибуции, тъй че опасността от Bashware не изглеждаше реалистична, отбелязва.
още по тематиката
Четири години по-късно обаче нещо сходно е намерено отвън лабораторията. Експерти от Black Lotus Labs разясняват, че пробите от злоумишлен код имат най-малък рейтинг в услугата VirusTotal, което значи, че множеството антивирусни стратегии ще пропуснат такива файлове.

Откритите проби са написани на Python 3 и компилирани в ELF благодарение на PyInstaller. Кодът извиква Windows API за евакуиране на файл от „ трета страна ” и пускане на кода му в развой на „ трета страна ”, който дава на нападателя достъп до инфектираната машина. Предполага се, че това изисква първо пускане на файла във WSL среда.

Засечени са два разновидността на злонамерения програмен продукт. Първият е написан на чист Python, а вторият в допълнение употребява библиотека за свързване към Windows API и пускане на скрипт PowerShell. Експертите на Black Lotus Labs допускат, че във втория случай модулът към момента се създава, защото не работи самичък по себе си.

Пробата също по този начин разпознава IP адрес (185.63.90 [.] 137), обвързван с цели в Еквадор и Франция, откъдето инфектираните машини се опитвали да споделят с портове от 39000 до 48000 в края на юни и началото на юли. Предполага се, че притежателят на злонамерия програмен продукт е тествал VPN или прокси сървър.