Una delle ultime scoperte nel campo della sicurezza di Linux rivela che il sottosistema Windows per Linux, poco noto come WSL, si è trasformato in una nuova superficie di attacco.
I ricercatori di sicurezza di recente si sono imbattuti in una serie di file dannosi scritti principalmente in Python e compilati nel formato binario Linux ELF per Debian. I file hanno agito come caricatori che eseguono un payload incorporato all'interno del campione o recuperato da un server remoto, secondo la scoperta di Black Lotus Labs. Poi, il carico utile è stato iniettato in un processo in esecuzione tramite chiamate API di Windows.
WSL: una nuova superficie di attacco per gli attori delle minacce
“Anche se questo approccio non era particolarmente sofisticato, la novità di utilizzare un caricatore ELF progettato per l'ambiente WSL ha dato alla tecnica un tasso di rilevamento di uno o zero in Virus Total, a seconda del campione, dal momento in cui scriviamo,"Rapporto di Black Lotus Labs" noto.
Per fortuna, la superficie di attacco scoperta di recente è di portata limitata, il che potrebbe significare che è ancora in fase di sviluppo. I ricercatori hanno identificato una manciata di campioni con un solo indirizzo IP instradabile pubblicamente. È anche molto probabile che questa sia la prima istanza di attori delle minacce che sfruttano WSL per installare payload dannosi.
Maggiori informazioni sui file ELF dannosi per Debian Linux
Come già accennato, i ricercatori si sono imbattuti in diversi file ELF sospetti, scritto in Python e compilato per Debian Linux.
"Il codice Python ha agito da caricatore utilizzando varie API di Windows che hanno consentito il recupero di un file remoto e quindi l'iniezione in un processo in esecuzione. Questo mestiere potrebbe consentire a un attore di ottenere un punto d'appoggio non rilevato su una macchina infetta,"aggiunse il rapporto.
I file hanno avuto un rilevamento molto basso su VirusTotal, suggerendo che gli agenti endpoint di Windows non hanno firme per analizzare i file ELF. Inoltre, sono state rivelate due varianti del caricatore ELF: uno scritto interamente in Python, e un altro che usava Python per chiamare varie API di Windows tramite ctypes (una libreria di funzioni estranee per Python) per invocare uno script PowerShell.
I ricercatori ritengono che la seconda variante sia in fase di sviluppo o sia stata creata per un ambiente specifico. Ciò nonostante, l'approccio è sicuramente praticabile: i ricercatori sono stati persino in grado di creare un proof-of-concept che mostra come le API di Windows possono chiamare dal sottosistema WSL.
Un altro rapporto recente, creato da Trend Micro, focalizzata sulla le vulnerabilità e le famiglie di malware più diffuse nel panorama delle minacce di Linux. Più di 13 milioni di eventi sono stati identificati e segnalati dai sensori dell'azienda, e 10 sono state delineate le famiglie di malware.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: