Os pesquisadores de segurança descobriram binários Linux maliciosos criados para o Windows Subsystem for Linux (WSL), indicando que os hackers estão tentando novos métodos para comprometer as máquinas Windows.
A descoberta destaca que os agentes de ameaças estão explorando novos métodos de ataque e concentrando sua atenção em WSL para evitar a detecção.
Usando WSL para evitar detecção
Os primeiros exemplos direcionados ao ambiente WSL foram descobertos no inÃcio de maio e continuaram a aparecer a cada duas ou três semanas até 22 de agosto. Eles atuam como carregadores para o ambiente WSL e desfrutam de detecção muito baixa em serviços de varredura de arquivos públicos.
Em um relatório hoje, pesquisadores de segurança do Black Lotus Labs da Lumen dizem que os arquivos maliciosos têm a carga incorporada ou a buscam em um servidor remoto.
A próxima etapa é injetar o malware em um processo em execução usando chamadas de API do Windows, uma técnica que não é nova nem sofisticada.
Do pequeno número de amostras identificadas, apenas uma veio com um endereço IP roteável publicamente, sugerindo que os agentes de ameaças estão testando o uso de WSL para instalar malware no Windows.
Os arquivos maliciosos dependem principalmente do Python 3 para realizar suas tarefas e são empacotados como um executável ELF para Debian usando PyInstaller.
“Como sugere a taxa de detecção insignificante no VirusTotal, a maioria dos agentes de endpoint projetados para sistemas Windows não tem assinaturas criadas para analisar arquivos ELF, embora eles frequentemente detectem agentes não WSL com funcionalidade semelhante” - Black Lotus Labs
Menos de um mês atrás, um dos arquivos maliciosos do Linux foi detectado por apenas um mecanismo antivÃrus no VirusTotal. Atualizar a varredura em outra amostra mostrou que ela passou completamente despercebida pelos mecanismos do serviço de varredura
Python e PowerShell
Uma das variantes, escrita completamente em Python 3, não usa nenhuma API do Windows e parece ser a primeira tentativa de um carregador para WSL. Ele usa bibliotecas Python padrão, o que o torna compatÃvel com Windows e Linux.
O pesquisador encontrou em um código de amostra de teste que imprime “Hello Sanya” em russo. Todos os arquivos associados a esta amostra, exceto um, continham endereços IP locais, enquanto o IP público apontava para 185.63.90 [.] 137, já offline quando os pesquisadores tentaram obter a carga útil.
Outra variante do carregador “ELF para Windows” dependia do PowerShell para injetar e executar o shellcode. Um desses exemplos usou Python para chamar funções que eliminaram a solução antivÃrus em execução, estabeleceram persistência no sistema e executaram um script PowerShell a cada 20 segundos.
Com base nas inconsistências observadas ao analisar várias amostras, os pesquisadores acreditam que o código ainda está em desenvolvimento, embora em fase final.
A visibilidade limitada do endereço IP público indica atividade restrita a alvos no Equador e na França entre o final de junho e o inÃcio de julho.
O Black Lotus Labs avalia que os carregadores de malware WSL são o trabalho de um agente de ameaça testando o método a partir de um nó VPN ou proxy.
A Microsoft apresentou o Windows Subsystem para Linux em abril de 2016. Em setembro de 2017, quando o WSL havia acabado de sair da versão beta, os pesquisadores da Check Point demonstraram um ataque que chamaram de Bashware, onde o WSL podia ser usado para ocultar códigos maliciosos de produtos de segurança.
O relatório do Black Lotus Labs da Lumen fornece indicadores de comprometimento associados à campanha detectada para ajudar os defensores a criar regras de detecção. Para hashes de arquivo e dados sobre a atividade mais ampla desse ator, os pesquisadores apontam para a página GitHub da empresa.