跳过主要内容

研究人员发现Linux的Windows子系统中隐藏着恶意软件

一个可疑的企鹅
(图片来源:Shutterstock)

黑莲花实验室揭示了周四,他们发现了一种新的恶意软件,这种恶意软件使用Windows Linux子系统(WSL)来避免被安全工具检测到。

WSL是在2016年与Windows 10周年更新一起发布的,作为一种无需启动到不同的操作系统就能访问GNU和Linux工具的方式。它最初并没有提供对Linux内核的真正访问,而是使用了微软开发的兼容内核,但这在2019年6月wsl2问世时发生了改变。

该版本正式将Linux内核带到了Windows上,虽然这对那些不想为双引导或使用不同虚拟机环境而烦恼的人来说通常是一件好事,但它也带来了安全风险。黑莲花实验室表示,他们发现的恶意软件被用来秘密攻击目标电脑。

研究人员说,该恶意软件是通过可执行和可链接格式(ELF)文件分发的,该文件旨在运行在Debian上,Debian是一个流行的Linux发行版及其派生版本。在某些情况下,这些文件包含用于目标PC的有效载荷;在另一些项目中,他们从远程指挥和控制基础设施接收有效载荷。

Black Lotus Labs发现了几个版本的恶意ELF文件。其中一个据说是用Python专门编写的,使用标准库,可以同时针对Linux和Windows系统。另一个使用PowerShell(微软的命令shell和脚本语言)与特定的Windows api进行交互。

研究人员说,“这种间谍技术可以让一个行动者在被感染的机器上获得一个不被发现的立足点。”VirusTotal是一种用70多个杀毒软件扫描程序来检查提交文件中的恶意软件的工具,当黑莲花实验室的报告写好时,它通过给“该技术的检测率为1或0”来证实这一点。

“据我们所知,这一小组示例表明一个参与者滥用WSL来安装后续有效负载的第一个实例,”Black Lotus Labs安全研究人员说。“我们希望,通过阐明这种独特的间谍技术,我们可以在它的使用变得更加猖獗之前,帮助推动更好的检测和预警。”

与此同时,Black Lotus Labs要求WSL用户确保他们使用正确记录以防止这类恶意软件被广泛使用。

  • garylcamp
    我不清楚这个恶意软件是在所有的Windows上还是用户安装的。如果用户安装,让我们知道如何不。
    回复
  • DXRick
    Nathaniel说得好像是微软干的,而不是黑客利用WSL的弱点,直到你读了who的文章。

    其次是糟糕的语法:

    “黑莲花实验室周四透露,它是……”

    应该是:“Black Lotus Labs周四透露他们……”
    回复
  • USAFRet
    研究人员表示,该恶意软件是通过可执行和可链接格式(ELF)文件传播的,目的是在Debian(一种流行的Linux发行版)及其衍生产品上运行。在某些情况下,这些文件包含为目标PC准备的有效载荷;在其他情况下,他们从远程指挥和控制基础设施接收有效载荷。”

    所以这不是WSL代码中的内容,但似乎是用户下载并试图安装的内容。


    DXRick说:
    “黑莲花实验室周四透露,它是……”

    应该是:“Black Lotus Labs周四透露他们……”
    也可以:
    “黑莲花实验室周四透露,他们发现……”
    回复