• Saltar al contenido principal
  • Saltar a la barra lateral principal
  • Saltar al pie de página

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / General / Nuevo malware utiliza el Subsistema Linux de Windows (WSL) para no ser detectado

Nuevo malware utiliza el Subsistema Linux de Windows (WSL) para no ser detectado

15 septiembre, 2021 Por Juan González Deja un comentario

Un reciente artículo publicado por los investigadores de Lumen Black Lotus Labs examinaron varias muestras maliciosas diseñadas para el Subsistema Linux de Windows (WSL) con el objetivo de comprometer las máquinas Windows, destacando un método que evade la detección por parte de los motores antimalware populares.

Las muestras analizadas se comportan como cargadores (“loaders”) que ejecutaban una carga útil incrustada en la muestra o la descargan de un servidor remoto, que luego es inyectada en un proceso en ejecución mediante llamadas a la API de Windows.

Windows Subsystem for Linux (WSL) fue lanzado en agosto de 2016, es una capa de compatibilidad diseñada para ejecutar archivos binarios de Linux (en formato ELF) de forma nativa en la plataforma Windows sin la sobrecarga de una máquina virtual tradicional o una configuración de arranque dual.

Según el informe las primeras muestras datan del 3 de mayo de 2021, con una serie de binarios de Linux subidos cada dos o tres semanas hasta el 22 de agosto de 2021. Entre las muestras analizadas se han encontrado 2 tipos, una que no utilizaba ningún tipo de API de Windows y otra que hacía uso de algunos APIs de Windows. 

Variante puramente Python

El primer tipo de muestra está puramente escrita en Python 3 y no utiliza ninguna de las APIs de Windows y parece ser la primera prueba del archivo cargador (“loader”) Una característica interesante es que este cargador utiliza bibliotecas estándar de Python, lo que lo hace compatible con máquinas Linux y Windows.

Variante Python usando PowerShell o Ctypes

La segunda variante de muestras no sólo están escritas en Python 3 y convertida en un ejecutable ELF con PyInstaller, sino que los archivos también hacían uso de Powershell o CTypes para hacer llamadas al APIs de Windows y están diseñados para descargar “shellcode” desde un servidor remoto que hacía a su vez de comando y control (C2) una de la peculiaridades de esta variante es la de emplear CTypes y PowerShell para llevar a cabo actividades posteriores en el host infectado.

Conclusión

A medida que las líneas que separaban a los sistemas operativos, que antes estaban bien definidas, se vuelven más difusas, los atacantes aprovecharán las nuevas superficies expuestas para sortear las medidas de protección. Se aconseja a las empresas y usuarios que hayan habilitado WSL, se aseguren de realizar un registro adecuado para detectar este tipo de operaciones.

Referencias:

  • https://blog.lumen.com/no-longer-just-theory-black-lotus-labs-uncovers-linux-executables-deployed-as-stealth-windows-loaders/
  • https://github.com/microsoft/WSL
  • https://github.com/blacklotuslabs/IOCs/blob/main/WSL%20samples.txt
  • https://docs.python.org/3/library/ctypes.html

Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Libros recomendados

Hacking Web Applications

Open Source INTelligence (OSINT)

Técnicas de Análisis Forense

Publicado en: General, Malware Etiquetado como: CTypes, linux, malware, powershell, PyInstaller, python, Windows, WSL

Interacciones con los lectores

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral principal

Buscador

Email Newsletter

Suscríbase y reciba Una al Día en su correo.

UADCAST

Populares de UAD

  • Ciberataque a Cellebrite, publicados 4Tb de datos de la compañía
  • Descubierta nueva vulnerabilidad en las cámaras IP de la conocida marca DAHUA
  • Reacción ante ciberataques... en vacaciones
  • Chema Alonso entrevista a Richard Stallman - Parte II
  • Routers comerciales de Cisco afectados por varias vulnerabilidades.

Entradas recientes

  • Ciberataque a Cellebrite, publicados 4Tb de datos de la compañía
  • Reacción ante ciberataques… en vacaciones
  • Routers comerciales de Cisco afectados por varias vulnerabilidades.
  • Descubierta nueva vulnerabilidad en las cámaras IP de la conocida marca DAHUA
  • Los ataques de ransomware conocidos apenas supondrían una sexta parte del total
  • SAMBA puede poner en riesgo miles de instalaciones si no son actualizadas a tiempo.
  • Boletín de seguridad de Android
  • Correo electrónico
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Footer

Una al Día

Una Al Día nació a raíz de un inocente comentario en un canal IRC hace casi 19 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Entradas recientes

  • Ciberataque a Cellebrite, publicados 4Tb de datos de la compañía
  • Reacción ante ciberataques… en vacaciones
  • Routers comerciales de Cisco afectados por varias vulnerabilidades.
  • Descubierta nueva vulnerabilidad en las cámaras IP de la conocida marca DAHUA
  • Los ataques de ransomware conocidos apenas supondrían una sexta parte del total

Etiquetas

0-day Android Apple Chrome Ciberataque cve D-Link Facebook Google iOS leak linux malware Microsoft Mozilla OpenSSL Oracle OS X Phishing PHP ransomware rce vulnerabilidad vulnerabilidades Windows WordPress

Copyright © 2022 · Hispasec

 

Cargando comentarios...