Casa > Ciber Noticias > Alerta de amenaza: El subsistema de Windows para Linux presenta una nueva superficie de ataque
CYBER NOTICIAS

Alerta de amenaza: El subsistema de Windows para Linux presenta una nueva superficie de ataque

Alerta de amenaza: El subsistema de Windows para Linux presenta una nueva superficie de ataque

Uno de los últimos descubrimientos en el campo de la seguridad de Linux revela que el Subsistema de Windows para Linux, brevemente conocido como WSL, se ha convertido en una nueva superficie de ataque.

Los investigadores de seguridad se encontraron recientemente con varios archivos maliciosos escritos principalmente en Python y compilados en el formato binario de Linux ELF para Debian.. Los archivos actuaron como cargadores que ejecutan una carga útil ya sea incrustada dentro de la muestra o recuperada de un servidor remoto, según el descubrimiento de Black Lotus Labs. Entonces, la carga útil se inyectó en un proceso en ejecución a través de llamadas a la API de Windows.




WSL: una nueva superficie de ataque para los actores de amenazas

"Si bien este enfoque no fue particularmente sofisticado, la novedad de utilizar un cargador ELF diseñado para el entorno WSL le dio a la técnica una tasa de detección de uno o cero en Virus Total, dependiendo de la muestra, en el momento de escribir este artículo,Informe "Black Lotus Labs" célebre.

Afortunadamente, la superficie de ataque recientemente descubierta tiene un alcance limitado, lo que podría significar que todavía está en desarrollo. Los investigadores han identificado un puñado de muestras con solo una dirección IP enrutable públicamente.. También es muy probable que esta sea la primera instancia de actores de amenazas que aprovechan WSL para instalar cargas útiles maliciosas..

Más sobre los archivos ELF maliciosos para Debian Linux

Como ya se ha mencionado, los investigadores encontraron varios archivos ELF sospechosos, escrito en Python y compilado para Debian Linux.

“El código Python actuó como un cargador al utilizar varias API de Windows que permitieron la recuperación de un archivo remoto y luego la inyección en un proceso en ejecución. Esta técnica comercial podría permitir que un actor se afianzara sin ser detectado en una máquina infectada.,"Agregó el informe.

Los archivos tuvieron una detección muy baja en VirusTotal, sugiriendo que los agentes de endpoint de Windows no tienen firmas para analizar archivos ELF. Además, se revelaron dos variantes del cargador ELF: uno completamente escrito en Python, y otro que usó Python para llamar a varias API de Windows a través de ctypes (una biblioteca de funciones foráneas para Python) para invocar un script de PowerShell.

Los investigadores creen que la segunda variante está en desarrollo o se ha creado para un entorno específico.. No obstante, el enfoque es definitivamente viable: los investigadores incluso pudieron crear una prueba de concepto que muestra cómo las API de Windows pueden llamar desde el subsistema WSL.

Otro informe reciente, creado por Trend Micro, centrado en las vulnerabilidades y familias de malware más frecuentes en el panorama de amenazas de Linux. Más que 13 Se identificaron y marcaron millones de eventos desde los sensores de la empresa., y 10 se describieron las familias de malware.

Milena Dimitrova

Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim

Más Mensajes

Sígueme:
Gorjeo

Dejar un comentario

Su dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our política de privacidad.
Estoy de acuerdo