Blog



Novo malware ataca através subsistema do Windows (WSL)

Windows Subsystem for Linux

Uma série de amostras maliciosas foram criadas para o Windows Subsystem for Linux (WSL) com o objetivo de comprometer as máquinas Windows, destacando um método sorrateiro que permite aos operadores permanecer sob o radar e impedir a detecção por mecanismos antimalware populares.

A “técnica distinta” marca a primeira instância em que um ator de ameaça foi encontrado abusando de WSL para instalar cargas úteis subsequentes.

“Esses arquivos agem executando um paylaod que foi incorporado à amostra ou recuperada de um servidor remoto e então injetada em um processo em execução usando chamadas de API do Windows”, disseram pesquisadores em um relatório publicado na quinta-feira.

O subsistema do Windows para Linux, lançado em agosto de 2016, é uma camada de compatibilidade projetada para executar executáveis binários do Linux (no formato ELF) nativamente na plataforma Windows sem a sobrecarga de uma máquina virtual tradicional ou configuração de inicialização dupla.

Windows Subsystem for Linux

Os primeiros artefatos datam de 3 de maio de 2021, com uma série de binários do Linux carregados a cada duas ou três semanas até 22 de agosto de 2021. Não apenas os exemplos são escritos em Python 3 e convertidos em um executável ELF com PyInstaller, mas os arquivos também são orquestrados para baixar o código do shell de um servidor de comando e controle remoto e empregar o PowerShell para realizar atividades subsequentes no host infectado.

Essa carga útil secundária “shellcode” é então injetada em um processo do Windows em execução usando chamadas de API do Windows para o que Lumen descreveu como “ELF para execução de arquivo binário do Windows”, mas não antes de o exemplo tentar encerrar produtos antivírus suspeitos e ferramentas de análise em execução na máquina . Além do mais, o uso de bibliotecas Python padrão torna algumas das variantes interoperáveis ​​no Windows e no Linux.

“Até agora, identificamos um número limitado de amostras com apenas um endereço IP roteável publicamente, indicando que essa atividade é bastante limitada em escopo ou potencialmente ainda em desenvolvimento”, disseram os pesquisadores. “Como os limites antes distintos entre os sistemas operacionais continuam a se tornar mais nebulosos, os agentes de ameaças tirarão vantagem de novas superfícies de ataque.”

REFERÊNCIAS:

https://thehackernews.com/2021/09/new-malware-targets-windows-subsystem.html

https://docs.microsoft.com/en-us/windows/wsl/





Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Parceiros

Av. Dom João VI, 11, Edf. Seta Empresarial, 2º Andar, Brotas | Cep: 40.285-000 | Salvador - Bahia - Brasil
Tel.: 71 3018-7381 / 3018-7381 www.xlogic.com.br - sac@xlogic.com.br

XLOGIC. © 2021. Todos os direitos reservados.