Malware zielt auf das Windows Subsystem for Linux (WSL)

Sicherheit (Pexels, allgemeine Nutzung)[English]Sicherheitsforscher von Black Lotus Labs von Lumen sind auf mehrere Malware-Beispiele gestoßen, die das Windows Subsystem für Linux infizieren und dann in die native Windows-Umgebung wechseln können. Experten hatten dieses Szenario bereits 2017 skizziert. So schafft die Microsoft WSL-Implementierung eine neue Angriffsfläche für Malware-Entwickler. Hier ein paar Informationen zum Thema.


Anzeige

Ich bin vor einigen Stunden auf Twitter über diesen Sachverhalt gestolpert, weil ein Mitarbeiter der Black Lotus Labs diesen Tweet abgesetzt hatte.

Malware targets Windows Subsystem for Linux (WSL)

Unter der Rubrik "Das ist jetzt alles keine Theorie mehr" haben die Sicherheitsforscher die Erkenntnisse in diesem Blog-Beitrag zusammen geschrieben.

WSL durch MS 2016 angekündigt

Ich erinnere mich an April 2016, als "die Hölle friert zu" eintrat. Denn Microsoft kündigte seinerzeit das Windows Subsystem für Linux (WSL) an. WSL ist eine zusätzliche Funktion, die ein Linux-Image in einer nahezu nativen Umgebung unter Windows ausführt und so Funktionen wie Befehlszeilentools von Linux ohne den Overhead einer virtuellen Maschine ermöglicht. Diese neue Funktion wurde von den Entwicklern begrüßt, da sie die Freiheit bietet, Open-Source-Software zu nutzen, stellt aber auch eine neue Angriffsfläche für Bedrohungen dar – und wird von diesen auch genutzt. Bereits 2017 hatten Sicherheitsforscher auf diese theoretische Möglichkeit hingewiesen.

WSL-Malware gefunden

Anfang August entdeckten die Forscher von Black Lotus Labs im Rahmen einer Suche nach Malware eine Reihe verdächtiger ELF-Dateien, die für Debian Linux kompiliert worden waren. Die Dateien waren in Python 3 geschrieben und mit PyInstaller in eine ausführbare ELF-Datei konvertiert. Der Python-Code fungierte als Lader, indem er verschiedene Windows-APIs nutzte, die es ermöglichten, eine Remote-Datei abzurufen und dann in einen laufenden Prozess zu injizieren. Auf diese Weise konnte ein Akteur unbemerkt auf einem infizierten Rechner Fuß fassen.

Eine schnelle Überprüfung auf VirusTotal zeigte, wurden die meisten Virenscanner für Endpunkte, für Windows-Systeme entwickelt und verfügen nicht über Signaturen zur Analyse von ELF-Dateien in der WSL-Umgebung. Die Forscher wunderten sich dabei, dass die Virenscanner häufig Nicht-WSL-Agenten mit ähnlichen Funktionen erkennen können.

Im Rahmen der weiteren Analyse und Suche wurden wir zwei Varianten des ELF-Loader-Ansatzes entdeckt: Die erste Variante war rein in Python geschrieben, während die zweite Variante Python hauptsächlich dazu nutzte, verschiedene Windows-APIs mit ctypes aufzurufen und ein PowerShell-Skript aufzurufen.

Die Sicherheitsforscher vermuten, dass sich die PowerShell-Variante noch in der Entwicklung befindet. Oder die Variante wurde möglicherweise für eine bestimmte Umgebung entwickelt, da diese in der Testumgebung der Sicherheitsforscher nicht von sich aus ausgeführt wurde. Die Nachforschungen deuten jedoch darauf hin, dass dieser Ansatz praktikabel ist, denn die Sicherheitsforscher waren in der Lage, erfolgreich ein Proof of Concept (PoC) zu erstellen, das die Windows-APIs aus dem WSL-Subsystem aufrief. Die technischen Details lassen sich diesem Blog-Beitrag der Sicherheitsforscher entnehmen.


Anzeige


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Anzeige


Dieser Beitrag wurde unter Linux, Sicherheit, Windows, Windows 10 abgelegt und mit Linux, Malware, Sicherheit, Windows verschlagwortet. Setze ein Lesezeichen auf den Permalink.

4 Antworten zu Malware zielt auf das Windows Subsystem for Linux (WSL)

  1. janil sagt:

    Werde eher Windows in einer VM unter Linux laufen lassen, als andersrum aber mal sehen, wo das jetzt wieder hinführt. Sicherlich zu einer "dramatischen" Weiterentwicklung des Defenders, der dann die Sicherheit der OS-Umgebung weiter aufweicht…

  2. 1ST1 sagt:

    Dann muss man wohl in WSL einen Antivirus laufen lassen und hoffen dass der solche Angriffe erkennt. Ich schau gleich mal ob ich in meiner WSL Clam-AV zum Laufen bekomme.

  3. kj070 sagt:

    ot: *grins* und mit Windows 11 kommen noch die Android Apps dazu – Guten Nacht, Mahlzeit – das wird ja heiter werden….

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.