黑客正在嘗試新方法來破壞Windows機器，安全研究人員最近發(fā)現(xiàn)了為Linux的Windows子系統(tǒng)(WSL)創(chuàng)建的惡意Linux二進制文件，這一發(fā)現(xiàn)表明，威脅行為者正在不斷探索新的攻擊方法，并將注意力集中在WSL上以逃避檢測。

使用WSL避免檢測

在5月初發(fā)現(xiàn)了第一個針對WSL環(huán)境的樣本，直到8月22日持續(xù)每兩到三周出現(xiàn)一次。它們充當WSL環(huán)境的加載器，對公共文件掃描服務的檢測非常低。

在一份報告中，Lumen黑蓮花實驗室的安全研究人員表示，惡意文件要么嵌入了有效載荷，要么從遠程服務器獲取。

下一步是使用Windows API調(diào)用將惡意軟件注入一個正在運行的進程，這項技術(shù)既不新鮮也不復雜。

從確定的少量樣本中，只有一個帶有公開可路由的IP地址，這表明威脅行為者正在測試使用WSL在Windows上安裝惡意軟件。

惡意文件主要依賴Python 3來執(zhí)行其任務，并使用PyInstaller打包為Debian的ELF可執(zhí)行文件。

黑蓮花實驗室表示，正如 VirusTotal 上的檢測率可以忽略不計，大多數(shù)為Windows系統(tǒng)設計的端點代理沒有構(gòu)建用于分析ELF文件的簽名，盡管它們經(jīng)常檢測具有類似功能的非WSL代理。

不到一個月前，VirusTotal上的一個防病毒引擎僅檢測到其中一個惡意Linux 文件，但刷新另一個樣本的掃描結(jié)果表明它完全沒有被掃描服務上的引擎檢測到。

Python 和 PowerShell

其中一個完全用Python 3編寫的變體不使用任何Windows API，似乎是對WSL加載器的第一次嘗試。它使用標準Python庫，使其與Windows和Linux兼容。

另一個“ELF to Windows”加載程序變體依賴于PowerShell注入和執(zhí)行shellcode。其中一個示例使用Python調(diào)用函數(shù)來終止正在運行的防病毒解決方案，在系統(tǒng)上建立持久性，并每20秒運行一次PowerShell腳本。

基于在分析時發(fā)現(xiàn)幾個樣本不一致，該代碼可能仍在開發(fā)中。

公共IP地址的有限可見性表明，6月底至7月初，活動僅限于位于厄瓜多爾和法國的目標。

黑蓮花實驗室評估，WSL惡意軟件加載器是威脅參與者從VPN或代理節(jié)點測試方法的工作。

2016年4月，微軟推出了面向Linux的Windows子系統(tǒng)。2017年9月，當WSL剛剛結(jié)束beta測試時，Check Point的研究人員演示了一種他們稱為Bashware的攻擊，在這種攻擊中，WSL可以被濫用來向安全產(chǎn)品隱藏惡意代碼。

隨著軟件功能的不斷開發(fā)和更新，更多的問題和安全漏洞暴露在網(wǎng)上。網(wǎng)絡犯罪分子通過升級或更新攻擊手段，在使用者未知的情況下潛入系統(tǒng)并發(fā)起網(wǎng)絡攻擊，因此在軟件開發(fā)過程中加強安全性建設，提高底層代碼質(zhì)量，是幫助軟件抵御網(wǎng)絡攻擊的有效手段。尤其超6成安全漏洞與代碼有關(guān)，因此在編碼時使用靜態(tài)代碼檢測工具輔助開發(fā)人員第一時間查找并修正代碼缺陷和不足，可以大大提高軟件自身安全性。在網(wǎng)絡攻擊日益多樣化的今天，提高軟件安全性已成為繼殺毒軟件防火墻等防御措施之后的又一有效手段。

參讀鏈接：

https://www.bleepingcomputer.com/news/security/new-malware-uses-windows-subsystem-for-linux-for-stealthy-attacks/