Хакеры могут превратить подсистему Windows для Linux в оружие

Хакеры могут превратить подсистему Windows для Linux в оружие. Фото: Pixabay

Хотя вредоносное ПО на основе WSL не является особенно новым (обнаружено еще в сентябре 2021 года), в последнее время его популярность среди киберпреступников растет. В беседе с Bleeping Computer исследователи кибербезопасности из Lumen Technologies заявили, что с тех пор им удалось отследить более 100 образцов штаммов.

Образцы различаются по сложности, а также предлагаемым функциям. Хотя некоторые из них относительно просты, другие позволяют злоумышленникам получать удаленный доступ к устройствам, запускать произвольный код, красть файлы cookie для аутентификации из определенных браузеров или загружать файлы. 

Исследователи также заявили, что некоторые варианты разработаны как вредоносные программы первой стадии, что позволяет злоумышленникам делать снимки экрана и получать системную информацию, которая помогает им определить следующие шаги по компрометации. Другие созданы как чистые инструменты шпионажа.

Хуже всего то, что эти варианты вредоносного ПО относительно трудно обнаружить, даже несмотря на то, что они обычно основаны на коде, доступном для широкой публики. Фактически, Black Lotus Labs компании Lumen Technologies недавно обнаружила, что из 57 антивирусных решений при тестировании только два пометили эти варианты как вредоносные.

Исследователи пришли к выводу, что все эти факторы — больше возможностей, постоянство, низкий уровень обнаружения — делают вредоносное ПО на основе WSL реальной угрозой, особенно при наличии активной серверной инфраструктуры C2. 

Тем, кто заинтересован в защите от вредоносного ПО на основе WSL, подчеркивает Bleeping Computer , необходимо внимательно следить за активностью системы (например, SysMon) и выявлять подозрительные события. 

WSL впервые был представлен в 2016 году вместе с юбилейным обновлением Windows 10. Он был описан как новый способ доступа к инструментам GNU и Linux без необходимости использования двух отдельных операционных систем. Хотя сначала он не предоставлял полный доступ к ядру Linux, это стало возможным в середине 2019 года, когда был выпущен WSL 2. 

Startpack подготовил список антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме

• Новый премиум-уровень VPN от Opera защищает до шести Android-устройств.
• Кибер Робин Гуд вынуждает жертв делать добрые дела.
• Google Cloud использует AMD для переноса конфиденциальных вычислений на виртуальные машины.
• Хакеры атаковали экспертов по безопасности Windows с помощью поддельных эксплойтов.