Функция WSL (Windows Subsystem for Linux), представленная корпорацией Microsoft в 2016 году, давно завоевала популярность среди разработчиков и специалистов по информационной безопасности. Эта технология позволяет запускать полноценное окружение Linux непосредственно внутри операционной системы Windows, не прибегая к виртуальным машинам или двойной загрузке. Последняя версия, WSL2, использует облегченное виртуализированное ядро Linux для повышения совместимости и производительности. Между тем, исследователи обнаружили, что злоумышленники начали активно использовать WSL в своих целях, рассматривая её как ещё один LOLBIN (Living-Off-the-Land Binary) - легитимный системный инструмент, который можно применить для вредоносной деятельности.
Описание
Недавно был проанализирован образец вредоносного программного обеспечения, который целенаправленно проверяет наличие WSL в системе. Этот троянец, известный как Cryxos и обладающий функциями похитителя информации (infostealer), использует модуль "ottercookie-socketScript-module-3.js". Его код, написанный на JavaScript, содержит специальные функции для работы в среде WSL. В частности, функция "is_wsl()" определяет, запущен ли скрипт внутри подсистемы Linux. Она проверяет наличие переменной окружения "WSL_DISTRO_NAME" или анализирует содержимое файла "/proc/version" на предмет ключевых слов "microsoft" и "wsl".
Более интересной представляется функция "get_wu()", задача которой - получить имя пользователя Windows. Сначала она пытается выполнить команду "cmd.exe", что характерно для смешанной среды. Если этот метод не срабатывает, код ищет каталоги пользователей через точку монтирования "/mnt/c/Users", которая в WSL предоставляет прямой доступ к дискам хост-системы. Таким образом, зловред способен собрать критичные данные, обходя традиционные границы между операционными системами.
Обнаруженный образец демонстрирует тактику злоумышленников, стремящихся максимально использовать легитимные возможности целевой системы. После подтверждения работы в WSL троянец добавляет точку монтирования "/mnt" в список приоритетных директорий для обработки. Это позволяет ему получить доступ ко всем подключенным дискам Windows (C, D и другим) для кражи данных. Подобный подход значительно расширяет поверхность атаки, поскольку даёт вредоносной программе возможность оперировать как файлами Linux, так и Windows.
Эксперты отмечают, что использование WSL создаёт новые векторы для атак. Например, злоумышленники могут копировать вредоносные Linux-утилиты в корневую файловую систему WSL через сетевой путь "\\wsl$", а затем запускать их. Это превращает легитимный инструмент разработчика в потенциальный механизм для выполнения вредоносной нагрузки (payload) и обеспечения устойчивости (persistence) в системе. Следовательно, организации, чьи сотрудники активно используют WSL, должны пересмотреть свои модели угроз.
Данный случай ярко иллюстрирует общую тенденцию в киберпреступности: атакующие всё чаще эксплуатируют доверенные системные компоненты и легитимное программное обеспечение. Такие методы позволяют им эффективно скрывать свою деятельность от стандартных средств защиты. Специалистам по безопасности рекомендуется учитывать WSL при проведении аудита и настройке систем мониторинга. В частности, необходимо отслеживать нестандартную активность, связанную с доступом к каталогу "/mnt" или выполнением скриптов из общих ресурсов WSL.
В конечном итоге, обнаружение троянца Cryxos, адаптированного для WSL, служит важным напоминанием. Любая новая технологическая возможность, особенно стёршая границы между экосистемами, может быть обращена против пользователей. Поэтому интеграция подобных инструментов в корпоративную среду должна сопровождаться соответствующими мерами безопасности, включая обучение сотрудников и применение принципа минимальных привилегий. Бдительность и комплексный подход остаются ключевыми факторами противодействия современным угрозам.
Индикаторы компрометации
SHA256
- f44c2169250f86c8b42ec74616eacb08310ccc81ca9612eb68d23dc8715d7370
