يستغل المهاجمون الآن نظام Windows الفرعي لـ Linux 2 (WSL2) كملجأ خفي داخل أنظمة Windows، مما يسمح لهم بتنفيذ هجماتهم بعيدًا عن أعين أدوات المراقبة التقليدية. يأتي هذا التطور ليضع تحديات جديدة أمام فرق الأمن السيبراني في حماية الشبكات الحديثة.
ويسمح WSL2 للمطورين بالوصول إلى بيئة Linux سريعة على أنظمة Windows، ولكنه يوفر مساحة للمهاجمين لتشغيل أدوات وبرمجيات خبيثة داخل الجهاز الافتراضي، مما يجعل اكتشافها صعبًا.
استغلال WSL2 في الهجمات السيبرانية
يعمل كل توزيعة من WSL2 كجهاز افتراضي منفصل من Hyper-V، يمتلك نظام ملفاته وعملياته الخاصة. ومع ذلك، فإن العديد من برامج الكشف عن التهديدات على الأجهزة الطرفية تراقب فقط جانب Windows، وتسجل استدعاءات لـ wsl.exe ولكنها تتجاهل ما يحدث فعليًا داخل نظام Linux الضيف.
يستغل المهاجمون هذه الفجوة عن طريق إسقاط البرمجيات الخبيثة في نظام ملفات WSL، وتشغيل جلسات تحكم عن بعد، ومسح الشبكة من مكان نادرًا ما تتم مراقبته.
تأثير WSL2 على كشف التهديدات
وقد أشارت أبحاث SpecterOps إلى أن WSL2 شائع بالفعل على أجهزة المطورين المستهدفة في تدريبات الفرق الحمراء. أظهرت اختباراتهم كيف يمكن لملف “beacon object file” الوصول إلى أي توزيعة WSL2 مثبتة، وتشغيل أوامر عشوائية، وقراءة ملفات مهمة دون إثارة إنذارات واضحة.
في هجوم حقيقي، تسمح هذه التقنية للمتسللين بالانتقال من مضيف Windows مراقب بشكل كبير إلى بيئة Linux أكثر هدوءًا، مع الاحتفاظ بالوصول إلى الموارد الداخلية. يعتبر هذا النهج تغييرًا في ملف المخاطر للعديد من المؤسسات.
قد تسجل بيانات المراقبة التقليدية لنظام Windows القليل عن عملية wsl.exe الأولية، حتى أثناء تشغيل مجموعة كاملة من الأدوات على جانب Linux. قد لا تلتقط فرق الدفاع الحركة الجانبية، أو سرقة بيانات الاعتماد، أو تجميع البيانات التي تحدث داخل الجهاز الضيف.
بالنسبة للضحايا، يعني هذا وقت بقاء أطول للمهاجم، وتحقيقات أكثر صعوبة، وفرصة أكبر لترك المهاجمين للسجلات المصدرية أو السجلات التجارية الحساسة.
التملص من الكشف داخل WSL2
من وجهة نظر المدافعين، يوفر WSL2 للمهاجمين طبقة مزدوجة من التغطية. قد لا تقوم أدوات الأمان بفحص نواة Linux أو نظام ملفاته، والعديد منها لا يقوم بمسح مجلد $WSL حيث يمكن تخزين البرامج الضارة. داخل الجهاز الضيف، يمكن للمتسللين تشغيل أدوات Linux المألوفة التي تتشابه مع أنشطة المسؤولين العادية.
وسلط محللو SpecterOps الضوء أيضًا على كيفية إضعاف إساءة استخدام WSL2 للعديد من قواعد التنبيه الحالية. فبدلاً من رؤية خدمات Windows جديدة أو برامج تشغيل مريبة، يرى المدافعون عملية wsl.exe قصيرة ولا شيء آخر. يؤكد هذا الهجوم على الحاجة إلى مراقبة وتسجيل الموسع للنشاط داخل WSL2.