近日，安全專家發現了針對 Windows Subsystem for Linux（WSL）創建的惡意 Linux 安裝檔，表明駭客正在嘗試用新的方法來破壞 Windows 設備。 這一發現強調了威脅者正在探索新的攻擊方法，並將注意力集中在 WSL 上以逃避檢測。

首批針對 WSL 環境的攻擊樣本在今年 5 月初被發現，到 8 月 22 日之前持續每 2-3 周出現一次。 在今天的一份報告中，Lumen 公司 Black Lotus Labs 的安全研究人員說，這些惡意文件要麼嵌入了有效載荷，要麼從遠端伺服器獲取。

下一步是利用Windows API 調用將惡意軟體注入一個正在運行的進程，這種技術既不新鮮也不複雜。 從發現的少量樣本中，只有一個樣本帶有一個可公開路由的IP位址，暗示威脅者正在測試使用WSL在Windows上安裝惡意軟體。 惡意檔主要依靠 Python 3 來執行其任務，並使用 PyInstaller 將其打包成用於 Debian 的 ELF 可執行檔。

Black Lotus Labs 表示：”正如 VirusTotal 上檢測率所表明的那樣，大多數為 Windows 系統設計的終端代理並沒有建立分析 ELF 檔的簽名，儘管它們經常檢測到具有類似功能的非 WSL 代理”。 不到一個月前，其中一個惡意的Linux檔僅被VirusTotal上的一個反病毒引擎檢測到。 對另一個樣本進行刷新掃描顯示，它完全沒有被掃描服務中的引擎檢測到。

其中一個變種完全用 Python 3 編寫，不使用任何 Windows API，似乎是對 WSL 的載入器的首次嘗試。 它使用標準的 Python 庫，這使得它與 Windows 和 Linux 都相容。

研究人員在一個測試樣本中發現了用俄語列印「Hello Sanya」的代碼。 除了一個與該樣本相關的檔外，其他檔都包含本地IP位址，而公共IP則指向185.63.90[.] 137，當研究人員試圖抓取有效載荷時，該IP已經離線。

另一個”ELF到Windows”的載入器變體依靠 PowerShell 來注入和執行 shellcode。 其中一個樣本使用 Python 調用函數，殺死正在運行的防病毒解決方案，在系統上建立持久性，並每20秒運行一個PowerShell腳本。 根據分析幾個樣本時觀察到的不一致之處，研究人員認為，該代碼仍在開發中，儘管處於最後階段。