Güvenlik araştırmacıları tarafından tehdit aktörlerinin Windows sistemlerinin güvenliğini ihlal etmek amacıyla Linux için Windows Alt Sistemi (WSL) kurulumdan yararlandıkları tespit edilmiştir. WSL, Windows üzerinde yerele yakın bir ortamda bir Linux dağıtımı çalıştıran ve bir sanal makinenin yükü olmadan Linux’tan komut satırı araçların kullanımını sağlayan bir işlevdir. Bu yeni işlev, geliştiriciler tarafından açık kaynaklı yazılımdan yararlanma özgürlüğü nedeniyle memnuniyetle karşılanırken, aynı zamanda tehdit aktörlerinin hedefleyebileceği yeni bir saldırı yüzeyi olarak tanımlanmaktadır. (Referans Linki)
Black Lotus Labs araştırmacıları tarafından, Debian Linux için derlenmiş bir dizi şüpheli ELF dosyası keşfedilmiştir. Dosyalar Python 3’te yazılmış ve PyInstaller ile yürütülebilir bir ELF dosyasına dönüştürülmüştür. Söz konusu Python kodu, çeşitli Windows API’lerini kullanarak uzak bir dosyanın alınmasını ve ardından çalışan bir processe enjeksiyon yapılmasını sağlayan bir yükleyici görevi görmektedir. Bu yaklaşım ile tehdit aktörleri zararlı faaliyetleri için hedeflenen sistemde henüz tespit edilmeyen bir yer edinebilmektedir. VirusTotal’daki göz ardı edilebilir olarak değerlendirilen algılama oranı, Windows sistemleri için tasarlanan çoğu end-point araçlarının, benzer işlevselliğe sahip WSL olmayan şüpheli dosyaları sıklıkla algılasalar da, ELF dosyalarını analiz etmek için oluşturulmuş imzalara sahip olmadıklarını göstermektedir. Araştırmalar sırasında, iki yükleyici varyantı tespit edilmiştir. İlk varyant ve herhangi bir Windows API’si kullanmayıp Python’da yazılmıştır diğer varyant ise kabuk kodunu enjekte etmek ve yürütmek için PowerShell, Windows API’lerini çözmek için Python ctypes kullanmaktadır.
İşletim sistemleri arasındaki sınırlar belirsiz olmaya devam ettikçe, tehdit aktörleri için yeni saldırı yüzeyleri oluşmaktadır. Bu bağlamda WSL etkinleştirmiş olan sunucular için, bu tür saldırı yöntemlerini tespit etmek adına düzenli Log kaydı tutulması tavsiye edilmektedir.