软餐获悉,Black Lotus 实验室的安全研究者近期发现了一种新型的恶意软件,它将适用于 Linux 的 Windows 子系统作为攻击媒介。攻击者可以使用恶意 Linux 二进制文件进行攻击,该技术以前只是一种理论上的概念验证技术。
该技术涉及使用恶意文件传送有效负载,然后使用 Windows API 调用注入恶意软件。Black Lotus 实验室发现了几个主要用 Python 编写并以 Linux 二进制格式 ELF(可执行和可链接格式)编译的用于 Debian 操作系统的恶意文件。
这些文件充当加载器,运行嵌入在样本中或从远程服务器检索的负载,然后使用 Windows API 调用注入到正在运行的进程中。虽然这种方法不是特别复杂,但使用专为 WSL 环境设计的 ELF 加载程序的新颖性使该技术不易被 VirusTotal 等检测到。
使用适用于 Linux 的 Windows 子系统特别令人担忧的是,它很容易让这些攻击被完全忽视。