แฮกเกอร์กำลังใช้ Windows Subsystem for Linux 2 (WSL2) ซึ่งเป็นสภาพแวดล้อม Linux สำหรับนักพัฒนา ให้กลายเป็นที่ซ่อนตัวเพื่อหลีกเลี่ยงการตรวจจับจากเครื่องมือรักษาความปลอดภัย Windows แบบดั้งเดิม โดยการรันเครื่องมือและเพย์โหลด Linux ภายใน WSL2 Virtual Machine กิจกรรมเหล่านี้มักจะถูกละเลยโดยเอเจนต์ความปลอดภัยฝั่ง Windows ซึ่งทำให้แฮกเกอร์สามารถคงอยู่ในระบบ ขโมยข้อมูล และเคลื่อนที่ในเครือข่ายได้นานขึ้นและยากต่อการตรวจจับ.
Severity: สูง (High)
System Impact:
- Windows Subsystem for Linux 2 (WSL2)
- ระบบปฏิบัติการ Windows
- Hyper-V Virtual Machines (แต่ละ WSL2 Distro ทำงานเป็น VM แยกต่างหาก)
- เครือข่ายองค์กร (Corporate networks)
- เวิร์กสเตชันของนักพัฒนา (Developer workstations)
Technical Attack Steps:
- แฮกเกอร์เข้าถึงระบบ Windows ได้สำเร็จ
- ใช้ประโยชน์จาก WSL2 ซึ่งทำงานเป็น Hyper-V Virtual Machine
- ติดตั้งและรันเครื่องมือและเพย์โหลด Linux ภายในสภาพแวดล้อม WSL2
- กิจกรรมเหล่านี้เล็ดลอดจากการควบคุมความปลอดภัยของ Windows แบบดั้งเดิม (เนื่องจากเอเจนต์รักษาความปลอดภัยส่วนใหญ่มอนิเตอร์ฝั่ง Windows เท่านั้น ไม่ใช่ Guest Linux)
- นำมัลแวร์ไปวางในระบบไฟล์ของ WSL
- เปิดใช้งานรีโมทเชลล์
- สแกนเครือข่ายจากภายในสภาพแวดล้อม WSL2
- ใช้ Beacon Object File เพื่อรันคำสั่งตามอำเภอใจและอ่านไฟล์สำคัญภายใน WSL2 Distro ใดๆ
- ย้ายการโจมตีจากโฮสต์ Windows ที่มีการมอนิเตอร์สูงไปยังสภาพแวดล้อม Linux ที่เงียบกว่า
- คงอยู่ในระบบและขโมยข้อมูล
Recommendations:
Short Term:
- เพิ่มการมอนิเตอร์และบันทึกข้อมูลกิจกรรมเชิงลึกภายใน WSL2
- ตรวจสอบกิจกรรมของกระบวนการ wsl.exe อย่างละเอียดเพื่อหาความผิดปกติ
Long Term:
- ปรับปรุงเครื่องมือรักษาความปลอดภัยให้สามารถตรวจสอบและเก็บข้อมูลจาก Linux Kernel และระบบไฟล์ภายใน WSL2 ได้
- สแกนและมอนิเตอร์ Share $WSL เพื่อตรวจหาเพย์โหลดหรือมัลแวร์
- อัปเดตกฎการแจ้งเตือนเพื่อตรวจจับพฤติกรรมที่เกี่ยวข้องกับการใช้ WSL2 ในทางที่ผิด แทนที่จะมุ่งเน้นไปที่บริการหรือไดรเวอร์ Windows เพียงอย่างเดียว
- นำโซลูชัน Endpoint Detection and Response (EDR) ที่ครอบคลุมทั้งสภาพแวดล้อม Windows และ Linux มาใช้
- ให้ความรู้และฝึกอบรมด้านความปลอดภัยทางไซเบอร์อย่างต่อเนื่องแก่พนักงาน โดยเฉพาะนักพัฒนาที่ใช้ WSL2
Source: https://cybersecuritynews.com/attackers-are-using-wsl2-as-a-stealthy-hideout/
Share this content: