Το υποσύστημα Windows για Linux 2 (WSL2) προορίζεται να προσφέρει στους προγραμματιστές ένα γρήγορο περιβάλλον Linux στα Windows. Τώρα οι επιτιθέμενοι μετατρέπουν αυτό το όφελος σε κρυψώνα.
Εκτελώντας εργαλεία και ωφέλιμα φορτία μέσα στην εικονική μηχανή WSL2, μπορούν να λειτουργήσουν μακριά από πολλά παραδοσιακά στοιχεία ελέγχου ασφαλείας των Windows.
Το αποτέλεσμα είναι μια αθόρυβη αλλά σοβαρή αλλαγή στον τρόπο με τον οποίο οι εισβολείς κινούνται, επιμένουν και κλέβουν δεδομένα σε σύγχρονα εταιρικά δίκτυα.
Κάθε διανομή WSL2 εκτελείται ως ξεχωριστή εικονική μηχανή Hyper-V με το δικό της σύστημα αρχείων και διεργασίες.
Πολλοί πράκτορες τελικού σημείου παρακολουθούν μόνο την πλευρά των Windows, καταγράφοντας κλήσεις wsl.exe αλλά αγνοώντας τι πραγματικά συμβαίνει μέσα στον επισκέπτη του Linux.
Οι εισβολείς κάνουν κατάχρηση αυτού του κενού ρίχνοντας κακόβουλο λογισμικό στο σύστημα αρχείων WSL, εκτοξεύοντας απομακρυσμένα κελύφη και σαρώνοντας το δίκτυο από ένα χώρο που σπάνια παρακολουθούν οι υπερασπιστές.
.webp.jpeg "Οι επιτιθέμενοι χρησιμοποιούν το WSL2 ως κρυφό κρησφύγετο μέσα σε συστήματα Windows")
Ερευνητές του SpecterOps διάσημος ότι το WSL2 είναι ήδη κοινό σε σταθμούς εργασίας προγραμματιστών που στοχεύουν κατά τη διάρκεια ασκήσεων της κόκκινης ομάδας.
Η δοκιμή τους έδειξε πώς ένα αρχείο αντικειμένου beacon μπορεί να φτάσει σε οποιαδήποτε εγκατεστημένη διανομή WSL2, να εκτελέσει αυθαίρετες εντολές και να διαβάσει ενδιαφέροντα αρχεία χωρίς να προκαλεί προφανείς ειδοποιήσεις.
Σε μια πραγματική επίθεση, το ίδιο tradecraft επιτρέπει στους εισβολείς να περιστρέφονται από έναν κεντρικό υπολογιστή Windows που παρακολουθείται έντονα σε ένα πολύ πιο ήσυχο περιβάλλον Linux, διατηρώντας παράλληλα πρόσβαση σε εσωτερικούς πόρους.
Η χρήση του WSL2 με αυτόν τον τρόπο αλλάζει το προφίλ κινδύνου για πολλούς οργανισμούς. Η κλασική τηλεμετρία των Windows μπορεί να καταγράφει λίγο περισσότερο από την αρχική διαδικασία wsl.exe, ακόμη και όταν εκτελείται ένα πλήρες σύνολο εργαλείων στην πλευρά του Linux.
Οι μπλε ομάδες μπορεί να χάσουν την πλευρική κίνηση, την κλοπή διαπιστευτηρίων και τη σταδιοποίηση δεδομένων που όλα συμβαίνουν μέσα στον επισκέπτη.
Για τα θύματα, αυτό σημαίνει μεγαλύτερο χρόνο παραμονής, πιο σκληρές έρευνες και μεγαλύτερη πιθανότητα οι εισβολείς να φύγουν με τον πηγαίο κώδικα ή ευαίσθητα επαγγελματικά αρχεία.
Ανίχνευση αποφυγής μέσα στο WSL2
Από την άποψη ενός αμυντικού, το WSL2 δίνει στους επιτιθέμενους ένα διπλό στρώμα κάλυψης. Τα εργαλεία ασφαλείας ενδέχεται να μην οργανώνουν τον πυρήνα ή το σύστημα αρχείων Linux και πολλά δεν σαρώνουν το κοινόχρηστο στοιχείο $WSL όπου μπορούν να αποθηκευτούν τα ωφέλιμα φορτία.
Μέσα στον επισκέπτη, οι εισβολείς μπορούν να τρέξουν γνωστά βοηθητικά προγράμματα Linux που συνδυάζονται με την κανονική δραστηριότητα διαχειριστή.
.webp.jpeg "Οι επιτιθέμενοι χρησιμοποιούν το WSL2 ως κρυφό κρησφύγετο μέσα σε συστήματα Windows")
Οι αναλυτές του SpecterOps τόνισαν επίσης πώς η κατάχρηση του WSL2 αποδυναμώνει πολλούς υπάρχοντες κανόνες ειδοποίησης. Αντί για νέες υπηρεσίες Windows ή ύποπτα προγράμματα οδήγησης, οι υπερασπιστές βλέπουν μια σύντομη διαδικασία wsl.exe και τίποτα άλλο.
Αυτή η επίθεση τονίζει την ανάγκη για εκτεταμένη παρακολούθηση και καταγραφή βαθιά στη δραστηριότητα WSL2.
