WSL是微软公司为Windows 10和Windows 11给予的Linux子系统,这能够让开发人员们可以直接在Windows系统上运作Linux桌面操作系统,乃至还能够运作含有GUI页面的Linux桌面操作系统。在安全层面WSL公布这几年基本上沒有了解过潜在性的安全隐患(Linux自身的算不上),但目前好像有黑客已经尝试根据WSL攻击Windows系统。
科学研究工作人员从5月份逐渐发觉有黑客在制做故意的Linux二进制文件,这种样版全是在野外被检验到的但并未发觉大量的攻击或利用实例,这表明黑客这时应当仍在开展积极主动检测中。
利用Python和Powershell进行攻击:
现阶段并未听闻有过攻击者利用WSL系统漏洞向Windows进行规模性攻击的实例,但要是说真的要利用实际上这并不新鮮,科学研究工作人员称攻击者主要是制做故意文档随后根据Windows API开展启用并引入到已经运作的过程里,这类技术性既不新鮮都不繁杂,乃至还能够说成十分基本。实质上便是引入并根据置入的负荷或虚拟服务器获得别的故意文档。
从确认的极少数样版里科学研究工作人员看到有黑客乃至可以直接应用IP地址并非C2网络服务器,这说明黑客已经完成检测WSL感柒Windows的方式 ,假如技术性现已完善黑客很有可能会应用C2网络服务器防止网络服务器IP变动或是被封禁造成 故意软件无效。
利用方法层面检验到的样版应用Python 3来执行任务,其应用PyInstaller装包为Debian的ELF可执行程序,这种样版都是在VirusTotal上被发觉的,这也表明黑客一边开发设计一边发至VT上实现检查看一下能绕开是多少消毒软件。特别注意的是在其中某一样版居然绕开VT上全部消毒软件模块的检验,其病毒感染几率为0/59。
有一个ELF to Windows载入程序流程变异取决于Powershell例如和实行shellcode,其还尝试应用Python函数调用来杀死已经运作的消毒软件,那样能够处理消毒软件的检验难题并在操作系统上创建持续性,包含每20秒运作一次Powershell脚本制作。
应用WSL也需要留意安全系数:
虽然自2016年WSL公布之后大家并沒有听闻利用WSL进行的规模性攻击,但小范畴攻击事实上自2017年逐渐就会有,不清楚黑客感觉利用WSL开展感柒更便捷或是说具备目的性,终究Windows 10和11默认设置状况下都沒有开启WSL作用,客户需要在Windows作用里开启WSL,而应用WSL一般也全是开发人员并非普通用户。
因此 不好说这种已经科学研究利用WSL攻击Windows的黑客是怎么想的,终究WSL用户数比较有限,进行规模性攻击难度系数很有可能非常大,除非是是对于特殊客户进行的攻击。
自然实际黑客的用意大家并不清楚,但针对WSL客户来讲也是要留意日常运用的安全性习惯性,尤其是不必免费下载和实行一切来路不明的二进制文件。
文中来源 蓝点网,由 PK技术网 梳理编写,其版权均为 原网站地址 全部,文章系创作者个人见解,不意味着 PK技术网 对见解赞成或适用。如需转截,请标明文章内容来源。
