Linuxセキュリティ分野での最新の発見の1つは、Linux用のWindowsサブシステムが, 略してWSLとして知られています, 新しい攻撃対象領域になりました.
セキュリティ研究者は最近、主にPythonで記述され、Debian用のLinuxバイナリ形式ELFでコンパイルされた多数の悪意のあるファイルに遭遇しました。. ファイルは、サンプル内に埋め込まれた、またはリモートサーバーから取得されたペイロードを実行するローダーとして機能しました, BlackLotusLabsの発見によると. それで, ペイロードは、WindowsAPI呼び出しを介して実行中のプロセスに注入されました.
WSL: 脅威アクターのための新しい攻撃対象領域
「このアプローチは特に洗練されていませんでしたが, WSL環境用に設計されたELFローダーを使用するという目新しさにより、VirusTotalでの検出率は1または0になりました。, サンプルによっては, この記事の執筆時点で,」BlackLotusLabsのレポート 了解しました.
幸運, 最近発見された攻撃対象領域は範囲が限定されています, これは、まだ開発中であることを意味する可能性があります. 研究者は、公的にルーティング可能なIPアドレスが1つしかない少数のサンプルを特定しました. また、これがWSLを利用して悪意のあるペイロードをインストールする脅威アクターの最初のインスタンスである可能性が高いです。.
DebianLinux用の悪意のあるELFファイルの詳細
すでに述べたように, 研究者はいくつかの疑わしいELFファイルに出くわしました, Pythonで記述され、DebianLinux用にコンパイルされています.
「Pythonコードは、リモートファイルの取得と実行中のプロセスへの挿入を可能にするさまざまなWindows APIを利用して、ローダーとして機能しました。. このトレードクラフトにより、攻撃者は感染したマシンで検出されない足場を得ることができます。,」レポートが追加されました.
VirusTotalでのファイルの検出は非常に低かった, WindowsエンドポイントエージェントにELFファイルを分析するための署名がないことを示唆している. さらに, ELFローダーの2つのバリエーションが明らかになりました: 完全にPythonで書かれたもの, もう1つは、Pythonを使用してctypesを介してさまざまなWindowsAPIを呼び出したものです。 (Python用の外部関数ライブラリ) PowerShellスクリプトを呼び出す.
研究者は、2番目のバリアントが開発中であるか、特定の環境用に作成されていると考えています. それにもかかわらず, このアプローチは間違いなく実行可能です。研究者は、WindowsAPIがWSLサブシステムからどのように呼び出すことができるかを示す概念実証を作成することさえできました。.
別の最近のレポート, トレンドマイクロによって作成されました, に焦点を当てた 最も一般的な脆弱性とマルウェアファミリー Linuxの脅威の状況. より多い 13 会社のセンサーから数百万のイベントが特定され、フラグが立てられました, と 10 マルウェアファミリーの概要.