Обнаружен зловред, атакующий Windows через подсистему для Linux
Главная » Новости
Высокопроизводительные NGFW от ИнфоТеКСЭффективное решение для обеспечения безопасности вашей корпоративной сети. Реализован на доверенной аппаратной платформе и сертифицирован по требованиям российских регуляторов. Межсетевые экраны следующего поколения обеспечивает глубокую фильтрацию трафика, его контроль и блокировку на уровне приложений. Классический межсетевой экран и криптографический шлюз с ГОСТ VPN.→ Получить консультацию
Реклама, АО "Инфотекс", ИНН 7710013769, 16+

Обнаружен зловред, атакующий Windows через подсистему для Linux

Татьяна Никитина 17 Сентября 2021 - 15:22
...
Обнаружен зловред, атакующий Windows через подсистему для Linux

Анализ вредоносных ELF-файлов, проведенный в подразделении Black Lotus Labs компании Lumen Technologies, показал, что они предназначены для исполнения в среде WSL (Windows Subsystem for Linux). Необычный зловред работает как загрузчик, обеспечивая скрытную установку сторонних скриптов на Windows.

Первые образцы новой угрозы начали раздаваться в начале мая, последний вирусописатель загрузил на сервер в августе. Во всех случаях код написан на Python и ориентирован на Debian.

Полезная нагрузка, доставляемая WSL-зловредом, либо встроена в его код, либо загружается с удаленного сервера. Ее внедрение в целевой процесс Windows осуществляется через перехват API-функций.

В результате атаки в системе запускается вредоносный сценарий PowerShell или шелл-код. Один из сэмплов в ходе тестирования попытался, используя Python-функции, прибить процессы антивирусов и анализаторов, установить веб-шелл и запустить PowerShell-скрипт, отрабатывающий каждые 20 секунд.

Новоявленный зловред пока плохо детектится антивирусами. Образец, загруженный на VirusTotal меньше месяца назад, вызвал реакцию лишь у одного сканера из шести десятков. Прогон другого сэмпла через эту коллекцию дал нулевой результат. В Black Lotus Labs пояснили: настройки защитного софта для Linux не предполагают проверку бинарников на использование вызовов API Windows.

В Black Lotus Labs пояснили: у большинства систем защиты конечных устройств Windows нет сигнатур для анализа ELF-файлов. А настройки защитного софта для Linux не предполагают проверку бинарников на использование вызовов API Windows.

На настоящий момент активность WSL-зловреда минимальна; не исключено, что он пока находится в стадии разработки, с тестированием промежуточных вариантов. Исследователи выявили лишь один публичный IP-адрес, с которым резидентный вредонос контактировал в июне-июле (итальянский 185[.]63[.]90[.]137, динамические порты 39000 – 48000). География очагов заражения ограничена Францией и Эквадором.

Примечательно, что скрипт, обнаруженный в самом раннем образце, выводил жертве приветствие — «Пивет Саня».

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

ФБР самовольно вычистило трояна PlugX с 4258 зараженных Windows-компьютеров
Татьяна Никитина 15 Января 2025 - 15:03
Windows Трояны Домашние пользователиГосударство
ФБР самовольно вычистило трояна PlugX с 4258 зараженных Windows-компьютеров

ФБР с разрешения суда провело очистку компьютеров, зараженных трояном PlugX. В рамках многомесячной операции вредоноса удалось удаленно изгнать с 4258 Windows-машин, используя доступ к sinkhole-серверу, предоставленный французскими киберкопами.

Согласно предоставленным суду свидетельствам (PDF), виновником распространения PlugX в США является APT-группа Mustang Panda, которая с 2012 года проводит аналогичные атаки также в странах Азии и Европы.

Используемый ею вариант трояна распространяется через съемные USB-устройства и умеет открывать удаленный доступ к зараженным машинам, воровать информацию и загружать других зловредов.

Год назад умельцы из французской ИБ-компании Sekoia осуществили подмену C2-сервера PlugX (45.142.166[.]112) по методу sinkhole. Благодаря этому правоохрана получила возможность выявлять очаги инфекции и централизованно гасить их.

По данным ФБР, с сентября 2023 года на сервере-ловушке отметились как минимум 45 тыс. американских хостов. Очистка проводилась подачей PlugX команды на самоуничтожение; жертв уже начали оповещать о принятых мерах через сервис-провайдеров.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Игровой движок Godot использовался для заражения 17 000 компьютеров
Новость
Игровой движок Godot использовался для заражения 17 000 комп...
F.A.C.C.T. и R-Vision объединяют усилия по противодействию киберугрозам
Новость
F.A.C.C.T. и R-Vision объединяют усилия по противодействию к...
Злоумышленники научились обходить защиту от фишинга в Apple iMessage
Новость
Злоумышленники научились обходить защиту от фишинга в Apple...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.