Malware Baru Gunakan Windows Subsystem for Linux Untuk Lakukan Serangan

Malware Baru Gunakan Windows Subsystem for Linux Untuk Lakukan Serangan

NESABAMEDIA.COMPeneliti keamanan telah menemukan binary Linux berbahaya yang dibuat untuk Windows Subsystem for Linux (WSL). Ini menunjukkan bahwa peretas mencoba metode baru untuk menyusup ke mesin Windows. Temuan ini menggarisbawahi bahwa peretas sedang mengeksplorasi metode serangan baru dan memusatkan perhatian mereka pada WSL untuk menghindari deteksi.

Menggunakan WSL untuk menghindari deteksi

Sampel pertama yang menargetkan lingkungan WSL ditemukan pada awal Mei dan terus muncul setiap dua hingga tiga minggu sampai 22 Agustus. Sampel tersebut bertindak sebagai pemuat untuk lingkungan WSL dan mengalami deteksi yang sangat rendah pada layanan pemindaian file publik.

Dalam sebuah laporan, peneliti keamanan di Lumen’s Black Lotus Labs mengatakan bahwa file berbahaya itu memiliki muatan yang disematkan atau mengambilnya dari server jarak jauh. Langkah selanjutnya adalah menyuntikkan malware ke dalam proses yang berjalan menggunakan Windows API caller, ini sebenarnya adalah teknik lama.

Dari beberapa sampel yang diidentifikasi, hanya satu yang datang dengan alamat IP yang dapat dirutekan secara publik, mengisyaratkan bahwa pelaku peretasan sedang menguji penggunaan WSL untuk memasang malware di Windows.

File berbahaya tersebut mengandalkan Python 3 untuk menjalankan tugasnya dan dikemas sebagai ELF yang dapat dieksekusi untuk Debian menggunakan PyInstaller.

“Seperti yang disarankan oleh VirusTotal, sebagian besar agen endpoint yang dirancang untuk sistem Windows tidak memiliki tanda tangan yang dibuat untuk menganalisis file ELF, meskipun mereka sering mendeteksi agen non-WSL dengan fungsi serupa,” ungkap Black Lotus Labs

Beberapa waktu yang lalu, salah satu file Linux berbahaya terdeteksi hanya oleh satu mesin antivirus di VirusTotal. Melakukan penyegaran pemindaian pada sampel lain menunjukkan bahwa itu benar-benar tidak terdeteksi oleh mesin pada layanan pemindaian.

Python dan PowerShell

Salah satu varian, yang ditulis sepenuhnya dalam Python 3, tidak menggunakan API Windows apa pun dan tampaknya merupakan upaya pertama pada pemuat untuk WSL. Varian itu menggunakan pustaka Python standar, yang membuatnya kompatibel dengan Windows dan Linux.

Peneliti menemukan dalam kode sampel uji yang mencetak pesan “Hello Sanya” dalam bahasa Rusia. Semua kecuali satu file yang terkait dengan sampel ini berisi alamat IP lokal, sedangkan IP publik menunjuk ke 185.63.90[.]137, sudah offline ketika para peneliti mencoba mengambil muatannya.

Varian pemuat “ELF ke Windows” lainnya mengandalkan PowerShell untuk menyuntikkan dan menjalankan kode shell. Salah satu sampel tersebut menggunakan Python untuk memanggil fungsi yang mematikan antivirus yang sedang berjalan, membuat persistensi pada sistem, dan menjalankan skrip PowerShell setiap 20 detik.

Berdasarkan ketidakkonsistenan yang diamati ketika menganalisis beberapa sampel, para peneliti percaya bahwa kode tersebut masih dalam tahap pengembangan. Visibilitas yang terbatas dari alamat IP publik menunjukkan adanya aktivitas di Ekuador dan Prancis antara akhir Juni dan awal Juli, yang menjadi targetnya.

Black Lotus Labs menilai bahwa pemuat malware WSL adalah hasil karya peretas yang menguji metode dari VPN atau node proxy.

Microsoft memperkenalkan Subsistem Windows untuk Linux pada April 2016. Pada September 2017, ketika WSL baru saja keluar dari versi beta, para peneliti di Check Point mendemonstrasikan serangan yang mereka sebut Bashware di mana WSL dapat disalahgunakan untuk menyembunyikan kode berbahaya dari produk keamanan.

Leave a Reply

Send this to a friend