Gün yüzüne çıkarılan kötü amaçlı yazılımlar, algılanmamak için WSL altyapısını kullanıyor.
Black Lotus Labs, güvenlik araçları tarafından tespit edilmekten kaçınmak için Linux için Windows Alt Sistemini (WSL) kullanan yeni bir kötü amaçlı yazılım keşfettiğini açıkladı.
Linux için Windows Alt Sistemi (WSL), farklı bir işletim sistemine önyükleme yapmak zorunda kalmadan GNU ve Linux araçlarına erişmenin bir yolu olarak 2016 yılında Windows 10 ile birlikte piyasaya çıkmıştı. Başlangıçta Linux çekirdeğine doğrudan erişim sağlanamıyordu ve Microsoft tarafından geliştirilen uyumlu bir çekirdek kullanılıyordu. Ancak Haziran 2019’da WSL 2 ortaya çıktı.
Yeni sürüm Linux çekirdeğini resmi olarak Windows’a getirdi ve bu genellikle çift önyüklemeyle uğraşmak istemeyen veya farklı bir sanal makine ortamı kullanmak istemeyen insanlara kolaylık sağlıyor. Öte taraftan bazı güvenlik riskleri de yok değil.
Araştırmacılar, bulduğu kötü amaçlı yazılımın hedef bilgisayarlara gizlice sızmak için kullanıldığını belirtiyor. Söylenene göre kötü amaçlı yazılım, popüler bir Linux dağıtımı olan Debian ve türevleri üzerinde çalıştırılması amaçlanan Executable and Linkable Format (Yürütülebilir ve Bağlanabilir Biçim-ELFT) dosyaları aracılığıyla dağıtılıyor.
Black Lotus Labs, henüz kötü niyetli ELF dosyalarının birkaç sürümünü buldu. Birisinin hem Linux hem de Windows sistemlerini hedeflemesine izin verecek standart kütüphaneler kullanılarak yalnızca Python’da yazıldığı söyleniyor. Bir diğeri ise belirli Windows API’leriyle etkileşim kurmak için Microsoft’un komut dosyası dili olan PowerShell’i kullanıyor.
Black Lotus Labs, WSL kullanıcılarından bu tür kötü amaçlı yazılımların yaygın kullanım görmesini önlemeye yardımcı olmak için Microsoft tarafından sağlanan uygun araçların kullanılmasını öneriyor.
