В четверг Black Lotus Labs сообщила, что обнаружила новое вредоносное ПО, которое использует подсистему Windows для Linux (WSL), чтобы избежать обнаружения средствами безопасности.

WSL дебютировал в 2016 году вместе с юбилейным обновлением Windows 10 как способ доступа к инструментам GNU и Linux без необходимости загружаться в другую операционную систему. Первоначально он не предоставлял истинного доступа к ядру Linux - в нем использовалось совместимое ядро, разработанное Microsoft, - но это изменилось, когда в июне 2019 года появился WSL 2.

Этот выпуск официально представил ядро Linux для Windows, и хотя это обычно хорошо для людей, которые не хотят возиться с двойной загрузкой или использованием другой среды виртуальной машины, оказывается, что это также представляет угрозу безопасности. Black Lotus Labs заявила, что обнаруженное вредоносное ПО использовалось для скрытой атаки на целевые компьютеры.

Исследователи заявили, что вредоносная программа распространялась через файлы исполняемого и связываемого формата (ELF), предназначенные для работы в популярном дистрибутиве Linux Debian и его производных. В некоторых случаях эти файлы содержали полезную нагрузку, предназначенную для целевого ПК; в других они получали полезную нагрузку от инфраструктуры удаленного управления и контроля.

Black Lotus Labs обнаружила несколько версий вредоносных файлов ELF. Говорят, что один был написан исключительно на Python с использованием стандартных библиотек, которые позволили бы ему ориентироваться как на системы Linux, так и на Windows. Другой использовал PowerShell, командную оболочку Microsoft и язык сценариев, для взаимодействия с конкретными API-интерфейсами Windows.

Утилита VirusTotal, которая проверяет отправленные файлы на наличие вредоносных программ с помощью более 70 с лишним антивирусных сканеров, подтвердила это, указав, что вредоносных программ не обнаружено при написании отчета Black Lotus Labs.

«Насколько нам известно, это первый случай, когда взлом происходит через WSL», - заявили исследователи безопасности Black Lotus Labs. «Мы надеемся, что, освещая этот способ взлома, мы сможем помочь улучшить обнаружение и оповещение, прежде чем его использование станет более безудержным».

Тем временем Black Lotus Labs просит пользователей WSL работать только с проверенными файлами из официальных источников.