WSL یا Windows Subsystem for Linux یک لایه سازگار برای اجرای باینریهای لینوکس (با فرمت ELF) به صورت محلی در ویندوزهای 10، 11 و سروری 2019 است. مزیت این روش که از سال 2016 به کار گرفته شده، عدم نیاز به استفاده از ماشینهای مجازی (VM) و یا راه اندازی dual-boot است.
بدافزارهای WSL
برخی از بدافزارها برای سیستمهای WSL و با هدف نفوذ و تخریب سیستمهای ویندوزی از این روش مخفیسازی استفاده میکنند تا از دید رادار آنتی ویروسهای مطرح به دور باشند. اولین مورد از این نمونه مخفی کاری، زمانی مشخص شد که یکی از عاملان تهدید با سوء استفاده از WSL موفق به نصب payloads های مورد نظر خود شد. به نظر میرسد که این فایلهای مخرب به عنوان loaderهایی عمل میکنند که payload قرار گرفته در نمونه و یا بازیابی شده از سرور راه دور را اجرا کرده و آنها را با استفاده از API ویندوز به پردازههای در حال اجرا تزریق میکنند.
در تاریخ ۳ می۲۰۲۱ با انتشار مجموعهای از فایلهای باینری لینوکسی که هر دو یا سه هفته یک بار و تا تاریخ ۲۲ اوت ۲۰۲۱ آپلود میشدند، این قبیل حملات مخفیانه نیز آغاز شد. این فایلها به زبان پایتون نوشته شدهاند و برای اجرا شدن میبایست از طریق سرور کنترل و فرمان خود و با بهرهگیری از آسیبپذیری PowerShell تمام فعالیتهای خود را به صورت مخفیانه اجرا کنند. استفاده از زبان پایتون موجب میشود که بتوان بدافزار را به یک فایل قابل اجرا در هر دو محیط سیستم عامل لینوکس و ویندوز تبدیل کرد.
تاکنون تعداد محدودی از این نمونهها یافت شدهاند که بتوان آدرس IP آنها را ردیابی کرد و خود این موضوع نشان از محدود بودن مقیاس این حملات و یا در حال گسترش و تکامل یافتن این حملات میباشد. از بین رفتن مرزهای مشخص میان سیستم عاملهای مختلف خود عاملی برای ظهور حملات نوین و جدید است.
