近日，安全專家發現了針對WindowsSubsystem for Linux(WSL)創建的惡意Linux安裝文件，表明黑客正在嘗試用新的方法來破壞Windows設備。這一發現強調了威脅者正在探索新的攻擊方法，并將注意力集中在WSL上以逃避檢測。

　　首批針對WSL環境的攻擊樣本在今年5月初被發現，到8月22日之前持續每2-3周出現一次。在今天的一份報告中，Lumen公司BlackLotus Labs 的安全研究人員說，這些惡意文件要么嵌入了有效載荷，要么從遠程服務器獲取。

　　下一步是利用 Windows API調用將惡意軟件注入一個正在運行的進程，這種技術既不新鮮也不復雜。從發現的少量樣本中，只有一個樣本帶有一個可公開路由的IP地址，暗示威脅者正在測試使用WSL在Windows上安裝惡意軟件。惡意文件主要依靠Python3 來執行其任務，并使用PyInstaller將其打包成用于Debian的ELF可執行文件。

　　BlackLotus Labs 表示：“正如VirusTotal上檢測率所表明的那樣，大多數為Windows系統設計的終端代理并沒有建立分析ELF文件的簽名，盡管它們經常檢測到具有類似功能的非WSL代理”。不到一個月前，其中一個惡意的Linux文件僅被VirusTotal上的一個反病毒引擎檢測到。對另一個樣本進行刷新掃描顯示，它完全沒有被掃描服務中的引擎檢測到。

　　其中一個變種完全用Python3 編寫，不使用任何WindowsAPI，似乎是對WSL的加載器的首次嘗試。它使用標準的Python庫，這使得它與Windows和Linux都兼容。

　　研究人員在一個測試樣本中發現了用俄語打印“HelloSanya”的代碼。除了一個與該樣本相關的文件外，其他文件都包含本地IP地址，而公共IP則指向185.63.90[.]137，當研究人員試圖抓取有效載荷時，該IP已經離線。

　　另一個“ELF到Windows”的加載器變體依靠PowerShell來注入和執行shellcode。其中一個樣本使用Python調用函數，殺死正在運行的防病毒解決方案，在系統上建立持久性，并每20秒運行一個PowerShell腳本。根據分析幾個樣本時觀察到的不一致之處，研究人員認為，該代碼仍在開發中，盡管處于最后階段。