近日，安全專(zhuān)家發(fā)現(xiàn)了針對(duì) Windows Subsystem for Linux(WSL)創(chuàng)建的惡意 Linux 安裝文件，表明黑客正在嘗試用新的方法來(lái)破壞 Windows 設(shè)備。這一發(fā)現(xiàn)強(qiáng)調(diào)了威脅者正在探索新的攻擊方法，并將注意力集中在 WSL 上以逃避檢測(cè)。

首批針對(duì) WSL 環(huán)境的攻擊樣本在今年 5 月初被發(fā)現(xiàn)，到 8 月 22 日之前持續(xù)每 2-3 周出現(xiàn)一次。在今天的一份報(bào)告中，Lumen 公司 Black Lotus Labs 的安全研究人員說(shuō)，這些惡意文件要么嵌入了有效載荷，要么從遠(yuǎn)程服務(wù)器獲取。

下一步是利用 WindowsAPI 調(diào)用將惡意軟件注入一個(gè)正在運(yùn)行的進(jìn)程，這種技術(shù)既不新鮮也不復(fù)雜。從發(fā)現(xiàn)的少量樣本中，只有一個(gè)樣本帶有一個(gè)可公開(kāi)路由的 IP 地址，暗示威脅者正在測(cè)試使用 WSL 在 Windows 上安裝惡意軟件。惡意文件主要依靠 Python 3 來(lái)執(zhí)行其任務(wù)，并使用 PyInstaller 將其打包成用于 Debian 的 ELF 可執(zhí)行文件。

Black Lotus Labs 表示：“正如 VirusTotal 上檢測(cè)率所表明的那樣，大多數(shù)為 Windows 系統(tǒng)設(shè)計(jì)的終端代理并沒(méi)有建立分析 ELF 文件的簽名，盡管它們經(jīng)常檢測(cè)到具有類(lèi)似功能的非 WSL 代理”。不到一個(gè)月前，其中一個(gè)惡意的Linux文件僅被VirusTotal上的一個(gè)反病毒引擎檢測(cè)到。對(duì)另一個(gè)樣本進(jìn)行刷新掃描顯示，它完全沒(méi)有被掃描服務(wù)中的引擎檢測(cè)到。

其中一個(gè)變種完全用 Python 3 編寫(xiě)，不使用任何 Windows API，似乎是對(duì) WSL 的加載器的首次嘗試。它使用標(biāo)準(zhǔn)的 Python 庫(kù)，這使得它與 Windows 和 Linux 都兼容。

研究人員在一個(gè)測(cè)試樣本中發(fā)現(xiàn)了用俄語(yǔ)打印“Hello Sanya”的代碼。除了一個(gè)與該樣本相關(guān)的文件外，其他文件都包含本地 IP 地址，而公共IP則指向185.63.90[.]137，當(dāng)研究人員試圖抓取有效載荷時(shí)，該IP已經(jīng)離線。

另一個(gè)“ELF到Windows”的加載器變體依靠 PowerShell 來(lái)注入和執(zhí)行 shellcode。其中一個(gè)樣本使用 Python 調(diào)用函數(shù)，殺死正在運(yùn)行的防病毒解決方案，在系統(tǒng)上建立持久性，并每20秒運(yùn)行一個(gè)PowerShell腳本。根據(jù)分析幾個(gè)樣本時(shí)觀察到的不一致之處，研究人員認(rèn)為，該代碼仍在開(kāi)發(fā)中，盡管處于最后階段。