网络安全研究人员偶然发现了一种新颖且可能是独特的攻击媒介来危害Windows机器,其中涉及为Windows子系统Linux(WSL)创建的恶意Linux二进制文件。
BlackLotusLabs分享了他们发现的详细信息,称它最近发现了几个主要用Python编写并以Linux二进制格式ELF(可执行和可链接格式)编译的恶意文件,用于Debian发行版。
“虽然这种方法不是特别复杂,但在撰写本文时,使用专为WSL环境设计的ELF加载程序的新颖性使该技术在病毒总数中的检测率为1或0,具体取决于样本,”共享黑莲花。
我们正在研究我们的读者如何将VPN与Netflix等流媒体网站结合使用,以便我们改进内容并提供更好的建议。此调查不会占用您超过60秒的时间,如果您能与我们分享您的经验,我们将不胜感激。
研究人员补充说,到目前为止,他们只确定了有限数量的文件,这可能表明该活动的范围有限,或者更令人担忧的是,仍在开发中。
BlackLotus认为,这可能是威胁行为者滥用WSL将恶意负载潜入Windows安装的第一个实例。
研究人员在5月初首次发现了恶意二进制文件,它们每两到三周就会出现一次,直到8月22日。
对样本的分析表明,Python代码充当加载器并使用各种WindowsAPI来检索远程文件,然后将其注入正在运行的进程中。
由于大多数为Windows系统设计的端点代理不附带用于分析ELF文件的签名,因此这种攻击向量可能允许威胁行为者毫无阻力地感染目标。
“随着操作系统之间曾经明显的界限变得越来越模糊,威胁行为者将利用新的攻击面。我们建议启用WSL的防御者确保正确记录日志以检测这种类型的交易,”研究人员总结道。