网络安全研究人员表示,Linux的Windows子系统(WSL)正在成为恶意软件的温床。虽然基于WSL的恶意软件并不是特别新(早在2021年9月就被发现),但它最近在网络犯罪分子中越来越受欢迎。LumenTechnologies的网络安全研究人员在接受BleepingComputer采访时表示,从那时起,他们已经成功追踪了100多个样本。
样本的复杂性以及提供的功能各不相同。虽然有些相对简单,但其他一些使威胁参与者能够远程访问设备、运行任意代码、从特定浏览器窃取身份验证cookie或下载文件。
分享您对网络安全的看法,并免费获得《2022年黑客手册》。帮助我们了解企业如何为后Covid世界做准备,以及这些活动对其网络安全计划的影响。在本次调查结束时输入您的电子邮件以获取价值10.99美元/10.99英镑的bookazine。
研究人员进一步表示,一些变体被设计为第一阶段的恶意软件,允许威胁参与者截取屏幕截图并获取系统信息,这有助于他们确定接下来的入侵步骤。其他的则是纯粹的间谍工具。
最糟糕的是,这些恶意软件变种相对难以发现,即使它们通常基于公众可以使用的代码。事实上,LumenTechnologies的BlackLotusLabs最近发现,在57个防病毒解决方案中(在新标签中打开)经过测试,只有两个将这些变体标记为恶意。
研究人员总结说,所有这些特性——更多功能、持久性、低检测率——使基于WSL的恶意软件成为真正的威胁,尤其是在活动C2服务器基础设施到位的情况下。
BleepingComputer强调,那些有兴趣远离基于WSL的恶意软件的人需要密切监视系统活动(例如SysMon),并寻找可疑事件。
WSL于2016年与Windows10周年更新一起首次展示。它被描述为一种访问GNU和Linux工具的新方法,无需两个单独的操作系统。虽然起初它没有提供对Linux内核的完全访问权限,但在2019年年中,当WSL2发布时,这成为可能。