安全公司发现有黑客正在尝试利用WSL子系统攻击Windows 10

WSL是微软为Windows 10和Windows 11提供的Linux子系统，这可以让开发者们直接在Windows系统上运行Linux发行版，甚至还可以运行带有GUI界面的Linux发行版。在安全性方面WSL发布这几年基本没有听说过潜在的安全问题(Linux本身的不算)，但现在似乎有黑客正在尝试通过WSL攻击Windows系统。

研究人员从5月份开始发现有黑客在制作恶意的Linux二进制文件，这些样本都是在野外被检测到的但尚未发现大规模的攻击或利用案例，这说明黑客此时应该还在进行积极测试中。

目前尚未听说过有攻击者利用WSL漏洞向Windows发起大规模攻击的案例，但如果真的要利用其实这并不新鲜，研究人员称攻击者主要是制作恶意文件然后通过Windows API进行调用并注入到正在运行的进程里，这种技术既不新鲜也不复杂，甚至还可以说是非常常规。本质上就是注入并通过嵌入的负载或远程服务器获取其他恶意文件。

从确定的少数样本里研究人员发现有黑客甚至直接使用IP地址而非C2服务器，这表明黑客正在测试通过WSL感染Windows的方法，如果技术已经成熟黑客可能会使用C2服务器避免服务器IP变更或者被封杀导致恶意软件失效。

利用方式方面检测到的样本使用Python 3来执行任务，其使用PyInstaller打包为Debian的ELF可执行文件，这些样本都在VirusTotal上被发现的，这也说明黑客一边开发一边发到VT上进行检测看看能绕过多少杀毒软件。值得注意的是其中某个样本竟然绕过VT上所有杀毒软件引擎的检测，其病毒概率为0/59。

有一个ELF to Windows加载程序变种依赖于Powershell诸如和执行shellcode，其还尝试使用Python调用函数来杀掉正在运行的杀毒软件，这样可以解决杀毒软件的检测问题并在系统上建立持久性，包括每20秒运行一次Powershell脚本。

尽管自2016年WSL发布以来我们并没有听说利用WSL发起的大规模攻击，但小范围攻击实际上自2017年开始就有，不知道黑客觉得利用WSL进行感染更方便还是说具有针对性，毕竟Windows 10和11默认情况下都没有启用WSL功能，用户必须在Windows功能里启用WSL，而使用WSL通常也都是开发者而非普通用户。

所以很难说这些正在研究利用WSL攻击Windows的黑客是怎么想的，毕竟WSL用户数量有限，发起大规模攻击难度可能比较大，除非是针对特定用户发起的攻击。

当然具体黑客的意图我们并不清楚，但对于WSL用户来说还是要注意日常使用的安全习惯，尤其是不要下载和执行任何来历不明的二进制文件。