L'une des dernières découvertes dans le domaine de la sécurité Linux révèle que le sous-système Windows pour Linux, connu sous le nom de WSL, est devenu une nouvelle surface d'attaque.
Les chercheurs en sécurité ont récemment découvert un certain nombre de fichiers malveillants écrits principalement en Python et compilés au format binaire Linux ELF pour Debian. Les fichiers ont agi comme des chargeurs exécutant une charge utile soit intégrée dans l'échantillon, soit récupérée à partir d'un serveur distant, selon la découverte de Black Lotus Labs. Puis, la charge utile a été injectée dans un processus en cours via des appels d'API Windows.
WSL: une nouvelle surface d'attaque pour les acteurs de la menace
« Bien que cette approche n'était pas particulièrement sophistiquée, la nouveauté d'utiliser un chargeur ELF conçu pour l'environnement WSL a donné à la technique un taux de détection de un ou de zéro dans Virus Total, selon l'échantillon, au moment d'écrire ces lignes,” Rapport de Black Lotus Labs c'est noté.
Heureusement, la surface d'attaque récemment découverte est de portée limitée, ce qui pourrait signifier qu'il est encore en développement. Les chercheurs ont identifié une poignée d'échantillons avec une seule adresse IP publiquement routable. Il est également très probable qu'il s'agisse du premier cas d'acteurs malveillants utilisant WSL pour installer des charges utiles malveillantes..
En savoir plus sur les fichiers ELF malveillants pour Debian Linux
Comme déjà mentionné, les chercheurs sont tombés sur plusieurs fichiers ELF suspects, écrit en Python et compilé pour Debian Linux.
"Le code Python a agi comme un chargeur en utilisant diverses API Windows qui ont permis la récupération d'un fichier distant, puis l'injection dans un processus en cours d'exécution. Ce métier pourrait permettre à un acteur de prendre pied sans être détecté sur une machine infectée," ajoute le rapport.
Les fichiers avaient une détection très faible sur VirusTotal, suggérant que les agents de point de terminaison Windows n'ont pas de signatures pour analyser les fichiers ELF. En outre, deux variantes du chargeur ELF ont été révélées: un entièrement écrit en Python, et un autre qui utilisait Python pour appeler diverses API Windows via des ctypes (une bibliothèque de fonctions étrangères pour Python) pour invoquer un script PowerShell.
Les chercheurs pensent que la deuxième variante est en cours de développement ou a été créée pour un environnement spécifique. Cependant, l'approche est définitivement viable - les chercheurs ont même pu créer une preuve de concept montrant comment les API Windows peuvent appeler à partir du sous-système WSL.
Un autre rapport récent, créé par Trend Micro, concentré sur les vulnérabilités et les familles de logiciels malveillants les plus répandues dans le paysage des menaces Linux. Plus que 13 millions d'événements ont été identifiés et signalés à partir des capteurs de l'entreprise, et 10 les familles de logiciels malveillants ont été décrites.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: