文章总结： 文档指出攻击者正利用WSL2作为Windows系统的隐蔽藏身之处。由于WSL2运行在独立虚拟机中，传统安全工具往往忽略Linux内部活动，导致恶意软件植入和横向移动难以被察觉。这改变了企业网络的风险状况，建议防御者加强对WSL2的深度监控和日志审计。 综合评分： 85 文章分类： 红队,内网渗透,威胁情报

---

攻击者利用 WSL2 作为 Windows 系统中的隐蔽藏身之处

会杀毒的单反狗 会杀毒的单反狗

军哥网络安全读报

2026年1月20日 09:00 湖北

导读

Windows 子系统 WSL2旨在为开发者在 Windows 系统上提供一个快速的 Linux 环境。如今，攻击者却利用这一优势作为藏身之处。

通过在 WSL2 虚拟机内运行工具和有效载荷，它们可以绕过许多传统的 Windows 安全控制措施。

其结果是，入侵者在现代企业网络中移动、持续存在和窃取数据的方式发生了悄无声息但意义重大的转变。

每个 WSL2 发行版都作为独立的 Hyper-V 虚拟机运行，拥有自己的文件系统和进程。

许多终端代理只监视 Windows 端，记录 wsl.exe 调用，但忽略 Linux 客户机内部实际发生的情况。

攻击者利用这一漏洞，将恶意软件植入 WSL 文件系统，启动远程 shell，并从防御者很少监控的空间扫描网络。

WSL 命令示例（来源：Specterops）

SpecterOps 的研究人员指出，WSL2 在红队演练中被测试的开发人员工作站上已经很常见。

他们的测试表明，信标对象文件可以进入任何已安装的 WSL2 发行版，运行任意命令，并读取感兴趣的文件，而不会发出明显的警报。

在真正的攻击中，同样的技巧可以让入侵者从受到严密监控的 Windows 主机转移到相对安静的 Linux 环境，同时还能访问内部资源。

以这种方式使用 WSL2 会改变许多组织的风险状况。即使 Linux 端运行着完整的工具集，传统的 Windows 遥测数据也可能只会记录初始的 wsl.exe 进程。

蓝队可能会忽略发生在客户机内部的横向移动、凭证窃取和数据暂存等行为。

对于受害者而言，这意味着更长的潜伏时间、更艰难的调查，以及攻击者更有可能带走源代码或敏感的商业记录。

从防御者的角度来看，WSL2 为攻击者提供了双重保护。安全工具可能不会对 Linux 内核或文件系统进行检测，而且许多工具也不会扫描用于存储恶意代码的 $WSL 共享目录。

在虚拟机内部，入侵者可以运行熟悉的 Linux 实用程序，这些实用程序可以与正常的管理员活动混淆。

SpecterOps 分析师还强调，滥用 WSL2 会削弱许多现有的警报规则。防御者看到的不是新的 Windows 服务或可疑驱动程序，而是一个短暂存在的 wsl.exe 进程，除此之外几乎看不到其他任何信息。

这次攻击凸显了对 WSL2 活动进行更深入的监控和日志记录的必要性。

技术报告：

一个WSL BOF对象

https://specterops.io/blog/2026/01/16/one-wsl-bof-to-rule-them-all/

新闻链接：

Attackers are Using WSL2 as a Stealthy Hideout Inside Windows Systems

今日安全资讯速递

APT事件

Advanced Persistent Threat

黑客攻击针对中东地区知名的Gmail和WhatsApp用户

How a hacking campaign targeted high-profile Gmail and WhatsApp users across the Middle East

APT组织利用Sitecore零日漏洞入侵关键基础设施

https://thehackernews.com/2026/01/china-linked-apt-exploits-sitecore-zero.html

黑客劫持伊朗国家电视台，播放反政府信息以及礼萨·巴列维的抗议呼吁

Hacktivists hijacked Iran ’s state TV to air anti-regime messages and an appeal to protest from Reza Pahlavi

乌克兰CERT-UA 报告称，乌军遭受 PLUGGYAPE 网络攻击

CERT-UA reports PLUGGYAPE cyberattacks on defense forces

一般威胁事件

General Threat Incidents

5款恶意Chrome扩展程序攻击企业人力资源和ERP平台，企图完全控制系统

5 Malicious Chrome Extensions Attacking Enterprise HR and ERP Platforms for Complete Takeover

CrashFix Chrome 扩展程序利用 ClickFix 式浏览器崩溃诱饵传播 ModeloRAT

https://thehackernews.com/2026/01/crashfix-chrome-extension-delivers.html

BlackBasta 勒索软件组织的内部通信泄露

Inside the Leaks that Exposed the Hidden Infrastructure Behind a Ransomware Operation

StealC恶意软件控制面板漏洞泄露了活跃攻击者的详细信息

StealC malware control panel flaw leaks details on active attacker

研究人员发现可以长期隐蔽访问系统的 PDFSIDER 恶意软件

https://www.infosecurity-magazine.com/news/pdfsider-anti-vm-checks-hidden/

攻击者在未攻破任何系统的情况下，重定向了员工的工资支票

Attackers Redirected Employee Paychecks Without Breaching a Single System

一种利用谷歌广告传播 EndRAT 恶意软件的新型鱼叉式网络钓鱼攻击

New Spear-Phishing Attack Abusing Google Ads to Deliver EndRAT Malware

Visual Studio Code 在复杂的多阶段恶意软件攻击中被滥用

Visual Studio Code Abused in Sophisticated Multistage Malware Attacks

Remcos RAT 活动利用木马化的 VeraCrypt 安装程序窃取凭证

Remcos RAT Campaign Uses Trojanized VeraCrypt Installers to Steal Credentials

Pulsar RAT 利用仅内存执行和 HVNC 进行隐蔽远程接管

Pulsar RAT Abuses Memory-Only Execution and HVNC for Stealthy Remote Takeover 

攻击者冒充 Malwarebytes 攻击用户并窃取登录信息

Threat Actors Impersonate as MalwareBytes to Attack Users and Steal Logins

攻击者利用 WSL2 作为 Windows 系统中的隐蔽藏身之处

Attackers are Using WSL2 as a Stealthy Hideout Inside Windows Systems

漏洞事件

Vulnerability Incidents

扩展 WordPress 插件中的权限提升漏洞影响 10 万个 WordPress 网站

https://www.wordfence.com/blog/2026/01/100000-wordpress-sites-affected-by-privilege-escalation-vulnerability-in-advanced-custom-fields-extended-wordpress-plugin/

Cloudflare WAF 0day漏洞允许绕过保护措施访问主机

Cloudflare Zero-Day Vulnerability Enables Any Host Access Bypassing Protections

Livewire 文件管理器漏洞使 Web 应用程序易受远程代码执行攻击

Livewire Filemanager Vulnerability Exposes Web Applications to RCE Attacks

StackWarp 硬件新缺陷导致 Zen 1-5 CPU 的 AMD SEV-SNP 保护失效

https://thehackernews.com/2026/01/new-stackwarp-hardware-flaw-breaks-amd.html

BodySnatcher——新漏洞允许攻击者冒充任何ServiceNow 用户

BodySnatcher – New Vulnerability Allows Attacker to Impersonate Any ServiceNow User

新型 Kerberos 中继攻击利用 DNS CNAME 漏洞（CVE-2026-20929）绕过缓解措施

New Kerberos Relay Attack Uses DNS CNAME to Bypass Mitigations – PoC Released

Windows SMB 客户端漏洞使组织面临 Active Directory 完全被攻破的风险

Windows SMB Client Vulnerability Exposes Organizations to Full Active Directory Compromise 

扫码关注

军哥网络安全读报

讲述普通人能听懂的安全故事

---

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：军哥网络安全读报 会杀毒的单反狗 会杀毒的单反狗《攻击者利用 WSL2 作为 Windows 系统中的隐蔽藏身之处》