Uma das últimas descobertas no campo da segurança do Linux revela que o subsistema Windows para Linux, conhecido como WSL, se transformou em uma nova superfície de ataque.
Pesquisadores de segurança encontraram recentemente vários arquivos maliciosos escritos principalmente em Python e compilados no formato binário Linux ELF para Debian. Os arquivos atuaram como carregadores executando uma carga útil incorporada na amostra ou recuperada de um servidor remoto, de acordo com a descoberta do Black Lotus Labs. Então, a carga útil foi injetada em um processo em execução por meio de chamadas de API do Windows.
WSL: uma nova superfície de ataque para atores de ameaças
“Embora esta abordagem não seja particularmente sofisticada, a novidade de usar um carregador ELF projetado para o ambiente WSL deu à técnica uma taxa de detecção de um ou zero no Virus Total, dependendo da amostra, no momento em que este livro foi escrito,Relatório do ”Black Lotus Labs ' notado.
Felizmente, a superfície de ataque recentemente descoberta é limitada em escopo, o que pode significar que ainda está em desenvolvimento. Os pesquisadores identificaram um punhado de amostras com apenas um endereço IP roteável publicamente. Também é altamente provável que esta seja a primeira instância de agentes de ameaças usando WSL para instalar cargas maliciosas.
Mais sobre os arquivos ELF maliciosos para Debian Linux
Como já mencionado, os pesquisadores encontraram vários arquivos ELF suspeitos, escrito em Python e compilado para Debian Linux.
“O código Python agiu como um carregador, utilizando várias APIs do Windows que permitiram a recuperação de um arquivo remoto e, em seguida, a injeção em um processo em execução. Esta nave pode permitir que um ator ganhe uma posição não detectada em uma máquina infectada,”O relatório adicionou.
Os arquivos tiveram uma detecção muito baixa no VirusTotal, sugerindo que os agentes de endpoint do Windows não têm assinaturas para analisar arquivos ELF. além disso, duas variantes do carregador ELF foram reveladas: um inteiramente escrito em Python, e outro que usava Python para chamar várias APIs do Windows via ctypes (uma biblioteca de função estrangeira para Python) para invocar um script PowerShell.
Os pesquisadores acreditam que a segunda variante está em desenvolvimento ou foi criada para um ambiente específico. Não obstante, a abordagem é definitivamente viável - os pesquisadores foram até mesmo capazes de criar uma prova de conceito mostrando como as APIs do Windows podem chamar do subsistema WSL.
Outro relatório recente, criado pela Trend Micro, focado em as vulnerabilidades mais prevalentes e famílias de malware no cenário de ameaças do Linux. Mais que 13 milhões de eventos foram identificados e sinalizados pelos sensores da empresa, e 10 famílias de malware foram delineadas.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: