Un reciente artículo publicado por los investigadores de Lumen Black Lotus Labs examinaron varias muestras maliciosas diseñadas para el Subsistema Linux de Windows (WSL) con el objetivo de comprometer las máquinas Windows, destacando un método que evade la detección por parte de los motores antimalware populares.
Las muestras analizadas se comportan como cargadores (“loaders”) que ejecutaban una carga útil incrustada en la muestra o la descargan de un servidor remoto, que luego es inyectada en un proceso en ejecución mediante llamadas a la API de Windows.
Windows Subsystem for Linux (WSL) fue lanzado en agosto de 2016, es una capa de compatibilidad diseñada para ejecutar archivos binarios de Linux (en formato ELF) de forma nativa en la plataforma Windows sin la sobrecarga de una máquina virtual tradicional o una configuración de arranque dual.
Según el informe las primeras muestras datan del 3 de mayo de 2021, con una serie de binarios de Linux subidos cada dos o tres semanas hasta el 22 de agosto de 2021. Entre las muestras analizadas se han encontrado 2 tipos, una que no utilizaba ningún tipo de API de Windows y otra que hacía uso de algunos APIs de Windows.
Variante puramente Python
El primer tipo de muestra está puramente escrita en Python 3 y no utiliza ninguna de las APIs de Windows y parece ser la primera prueba del archivo cargador (“loader”) Una característica interesante es que este cargador utiliza bibliotecas estándar de Python, lo que lo hace compatible con máquinas Linux y Windows.
Variante Python usando PowerShell o Ctypes
La segunda variante de muestras no sólo están escritas en Python 3 y convertida en un ejecutable ELF con PyInstaller, sino que los archivos también hacían uso de Powershell o CTypes para hacer llamadas al APIs de Windows y están diseñados para descargar “shellcode” desde un servidor remoto que hacía a su vez de comando y control (C2) una de la peculiaridades de esta variante es la de emplear CTypes y PowerShell para llevar a cabo actividades posteriores en el host infectado.
Conclusión
A medida que las líneas que separaban a los sistemas operativos, que antes estaban bien definidas, se vuelven más difusas, los atacantes aprovecharán las nuevas superficies expuestas para sortear las medidas de protección. Se aconseja a las empresas y usuarios que hayan habilitado WSL, se aseguren de realizar un registro adecuado para detectar este tipo de operaciones.