Draait onder WSL: eerste Linux-malware verscheen in Windows


Beveiligingsonderzoekers hebben voor het eerst echte malware ontdekt, die het Windows-subsysteem voor Linux (WSL) misbruikt om kwaadaardige code te installeren. Tot nu toe was de verspreiding van kwaadaardige Linux-code op Windows via WSL pure theorie. Nu heeft een onderzoeksgroep van het Amerikaanse telecommunicatiebedrijf Lumen Technologies echter Python-bestanden ontdekt die zijn vertaald in het binaire formaat ELF en, wanneer ze worden uitgevoerd door de WSL, kwaadaardige code downloaden en deze via Windows API-aanroepen in het draaiende Windows-proces injecteren.

Volgens Lumen lijkt de kwaadaardige code echte malware te zijn die in het wild is ontdekt. Het is echter vrij eenvoudig en werd ontwikkeld voor testdoeleinden. De malware probeert eerst bekende antivirusprogramma’s op de computer uit te schakelen en communiceert vervolgens met een extern IP-adres op poorten in het bereik van 39000 tot 48000. De beveiligingsonderzoekers vermoeden dat de ontwikkelaars van de kwaadaardige code deze wilden gebruiken om VPN te testen of proxy-verbindingen. In Frankrijk en Ecuador werden besmette computers ontdekt.

De kwaadaardige code is geschreven in Python 3 en vertaald als een ELF binair bestand voor Debian-systemen met behulp van PyInstaller. De ene versie werkt volledig met Python en een ander voorbeeld van de malware laadt een PowerShell-script via de Windows API, dat de belangrijkste functies van de kwaadaardige code uitvoert. Om op het doelsysteem te worden uitgevoerd, moet de kwaadaardige code door het slachtoffer worden gedownload en via WSL worden uitgevoerd. De beveiligingsonderzoekers lijken niet te weten welke methode de aanvaller daadwerkelijk heeft gebruikt om het ELF-bestand in de WSL te laten uitvoeren.

Enerzijds was de dreiging van de WSL-malware tot nu toe zeer beperkt omdat de daadwerkelijke kwaadaardige code nog geen bijzonder kwaadaardige dingen heeft gedaan en omdat WSL-installaties slechts op een klein aantal Windows-systemen draaien, meestal door ontwikkelaars en tech-enthousiastelingen , zijn actief. Aan de andere kant is het verontrustend dat de door Lumen beschreven kwaadaardige code pas werd gedetecteerd door een van de meer dan 70 virusscanners van VirusTotal. Een van de versies van de malware werd niet eens gedetecteerd door een van de scanners. Dit geeft duidelijk aan dat antivirusfabrikanten weinig of geen aandacht hebben voor dit soort malware.

De eerste verschijning van WSL-malware in het wild is significant, vooral omdat dit type bedreiging voorheen pure theorie was – wat waarschijnlijk de lage detectiegraad van malware door antivirusprogramma’s verklaart. Al in 2017 het beveiligingsbedrijf Checkpoint vond een manier om Windows aan te vallen via de WSL. Op dat moment had Checkpoint het risico van dergelijke aanvallen echter overdramatiseerd – het aanvalsscenario was puur theoretisch en Checkpoint’s inschatting van de bedreigde systemen was overdreven. Het duurde immers vier jaar voordat er daadwerkelijk kwaadaardige code verscheen die deze aanvalsvector gebruikt. Op dit moment is er nog geen reden tot paniek. AV-fabrikanten en beheerders van systemen waarop WSL is geactiveerd, dienen zich er echter direct van bewust te zijn dat dergelijke aanvallen eindelijk geen theorie meer zijn en dat we in de toekomst waarschijnlijk meer gevaarlijke malware zullen moeten verwachten, die Windows-computers via de omweg van de WSL-aanvallen .

In sommige scenario’s kan het immers tactisch slim zijn voor aanvallers om Windows-systemen aan te vallen met kwaadaardige Linux-code. Als een organisatie alleen Windows-computers gebruikt, is het goed mogelijk dat hun beveiligingsafdeling de kwaadaardige Linux-code helemaal niet als een bedreiging ziet. En zelfs als slechts één beheerder de WSL om hobbyredenen op zijn computer heeft geïnstalleerd, kan dat voldoende zijn om de hele organisatie in gevaar te brengen als deze beheerder uitgebreide rechten in het netwerk heeft. Het is niet voor niets dat beheerderscomputers meestal de eerste prioriteit zijn van aanvallers in de zijwaartse beweging door het doelnetwerk – ze zijn meestal een goudmijn voor wachtwoorden, certificaten en cryptosleutels.


(geweldig)



Source link

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.

%d bloggers liken dit: