Eerste Linux malware in Windows opgedoken – draait onder WSL

Redactie4 februari, 2022• min. leestijd

Wat vier jaar geleden nog een theorie was, is nu werkelijkheid: de eerste Linux malware in Windows is opgedoken en draait onder Windows Subsystem for Linux (WSL). Linux ELF binaries vallen Windows systemen aan via hun eigen API.

Linux malware Windows WSL

Malware ontdekt die misbruik maakt van het Windows Subsystem for Linux

Beveiligingsonderzoekers hebben voor het eerst echte malware ontdekt die misbruik maakt van het Windows Subsystem for Linux (WSL) om kwaadaardige code te installeren. Tot nu toe was de verspreiding van kwaadaardige Linux-code op Windows via WSL pure theorie.

Nu heeft een groep onderzoekers van het Amerikaanse telecommunicatiebedrijf Lumen Technologies echter Python-bestanden ontdekt die zijn vertaald naar het binaire formaat ELF en, wanneer ze worden uitgevoerd door WSL, kwaadaardige code downloaden en injecteren in draaiende Windows-processen via Windows API-aanroepen.

Eenvoudig van opzet voor tests

Volgens Lumen lijkt de kwaadaardige code echte malware te zijn die in het wild is ontdekt. Het is echter vrij eenvoudig van opzet en werd waarschijnlijk ontwikkeld voor testdoeleinden. De malware probeert eerst bekende antivirusprogramma’s op de computer uit te schakelen en communiceert vervolgens met een extern IP-adres op poorten in het bereik 39000 tot 48000.

Beveiligingsonderzoekers vermoeden dat de ontwikkelaars van de kwaadaardige code hiermee VPN- of proxy-verbindingen wilden testen. Besmette computers werden ontdekt in Frankrijk en Ecuador.

Ontvang meer informatie over malware en virussen!

Schrijf je in voor de nieuwsbrief:

Je aanmelding is helaas niet gelukt. Probeer het later nog eens.

Code in Python 3

De kwaadaardige code werd geschreven in Python 3 en vertaald als een ELF binair bestand voor Debian systemen met behulp van PyInstaller. Eén versie werkt volledig met Python en een ander voorbeeld van de malware laadt een PowerShell script via de Windows API, die de belangrijkste functies van de kwaadaardige code uitvoert.

Om op het doelsysteem te worden uitgevoerd, moet de kwaadaardige code door het slachtoffer worden gedownload en via WSL worden uitgevoerd. De beveiligingsonderzoekers lijken niet te weten welke specifieke methode de aanvaller heeft gebruikt om het ELF-bestand in WSL uit te voeren.

VirusTotal laat de kwaadaardige code door

Enerzijds is de dreiging van de WSL-malware tot dusver zeer beperkt omdat de eigenlijke schadelijke code tot dusver geen bijzonder kwaadaardige dingen doet, en omdat WSL-installaties slechts actief zijn op een klein aantal Windows-systemen, meestal door ontwikkelaars en techfanaten.

Anderzijds is het verontrustend dat de schadelijke code die door Lumen werd beschreven, slechts door één van de meer dan 70 virusscanners van VirusTotal werd gedetecteerd. Een van de versies van de malware werd zelfs door geen van de scanners ontmaskerd. Dit wijst er duidelijk op dat anti-virus fabrikanten dit type malware nog niet in het vizier hebben.

Theorie van WSL-malware wordt werkelijkheid

De eerste verschijning van WSL-malware in het wild is vooral belangrijk omdat dit type bedreiging voorheen louter theorie was – wat waarschijnlijk ook de lage detectiegraad van de kwaadaardige code door antivirusprogramma’s verklaart. Al in 2017 had het beveiligingsbedrijf Checkpoint een manier gevonden om Windows aan te vallen via WSL.

Destijds had Checkpoint het risico van dergelijke aanvallen echter sterk overdreven – het aanvalsscenario was louter theoretisch en Checkpoint’s inschatting van de systemen die gevaar liepen, was overdreven. Uiteindelijk heeft het vier jaar geduurd voordat er daadwerkelijk kwaadaardige code verscheen die van deze aanvalsvector gebruik maakte.

In toekomst meer aanvallen via Windows Subsystem for Linux

Zelfs op dit moment is er geen reden tot paniek. AV-fabrikanten en beheerders van systemen waarop WSL is geactiveerd, moeten zich er echter vanaf nu van bewust zijn dat dergelijke aanvallen zeker geen theorie meer zijn en dat we in de toekomst waarschijnlijk meer gevaarlijke malware moeten verwachten die Windows-computers aanvallen via de omleidingen van WSL.

In sommige scenario’s kan het immers tactisch slim zijn voor aanvallers om Windows-systemen aan te vallen met Linux-malware. Als een organisatie alleen Windows-machines in gebruik heeft, is het heel goed mogelijk dat de beveiligingsafdeling Linux-malware helemaal niet als een bedreiging ziet.

En zelfs als slechts één admin om hobbymatige redenen WSL op zijn computer heeft geïnstalleerd, kan dit voldoende zijn om de hele organisatie in gevaar te brengen als deze admin vergaande rechten in het netwerk heeft. Het is niet zonder reden dat beheercomputers meestal het voornaamste doel zijn van aanvallers tijdens een omtrekkende beweging door het doelnetwerk – ze zijn meestal een goudmijn voor wachtwoorden, certificaten en crypto sleutels.

Lees meer over Linux in c't 05/2024

Bestel nu

Redactie

Linux Mint uitproberen als alternatief voor Windows

Linux Mint is een gratis en beginnersvriendelijke Linux-variant die de overstap van Windows makkelijk maakt. We laten je zien hoe je het Linux-systeem...

workshops•Software

25/08/2020

Windows-subsysteem voor Linux installeren en configureren

Microsoft heeft het Windows Subsystem for Linux (WSL) na een jaar uit de bètafase gehaald. Bij de Fall Creators Update is het een reguliere component ...

nieuws

09/11/2017

Softlink

0 Praat mee

Abonneer

Cookie	Looptijd	Omschrijving
AnalyticsSyncHistory	1 month	No description
bc_view	1 year	No description
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
cookielawinfo-checkbox-socialmedia	1 year	No description
cxexp	30 minutes	No description available.
cxid	session	No description available.
iutk	5 months 27 days	This cookie is used by Issuu analytic system. The cookies is used to gather information regarding visitor activity on Issuu products.
JSESSIONID	session	Used by sites written in JSP. General purpose platform session cookies that are used to maintain users' state across page requests.
lang	session	This cookie is used to store the language preferences of a user to serve up content in that stored language the next time user visit the website.
li_gc	2 years	No description
li_sugr	3 months	No description available.
PHPSESSID	session	This cookie is native to PHP applications. The cookie is used to store and identify a users' unique session ID for the purpose of managing user session on the website. The cookie is a session cookies and is deleted when all the browser windows are closed.
ROUTEID	session	This cookie is used for directing the users to the same server.
SERVERID	past	This cookie is used to assign the user to a specific server, thus to provide a improved and faster server time. It remembers which server had delivered the last page on to the browser. It also helps in load balancing.
SessionID	session	No description
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_UA-1134343-1	1 minute	A variation of the _gat cookie set by Google Analytics and Google Tag Manager to allow website owners to track visitor behaviour and measure site performance. The pattern element in the name contains the unique identity number of the account or website it relates to.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cookie	Looptijd	Omschrijving
bscookie	2 years	This cookie is a browser ID cookie set by Linked share Buttons and ad tags.
fr	3 months	Facebook sets this cookie to show relevant advertisements to users by tracking user behaviour across the web, on sites that have Facebook pixel or Facebook social plugin.
GoogleAdServingTest	session	No description
IDE	1 year 24 days	Google DoubleClick IDE cookies are used to store information about how the user uses the website to present them with relevant ads and according to the user profile.
mc	1 year 1 month	Quantserve sets the mc cookie to anonymously track user behaviour on the website.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
uuid	session	To optimize ad relevance by collecting visitor data from multiple websites such as what pages have been loaded.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
_fbp	3 months	This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
__gads	1 year 24 days	The __gads cookie, set by Google, is stored under DoubleClick domain and tracks the number of times users see an advert, measures the success of the campaign and calculates its revenue. This cookie can only be read from the domain they are set on and will not track any data while browsing through other sites.

Cookie	Looptijd	Omschrijving
bcookie	2 years	LinkedIn sets this cookie from LinkedIn share buttons and ad tags to recognize browser ID.
CONSENT	16 years 2 months 19 days 17 hours	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
lidc	1 day	LinkedIn sets the lidc cookie to facilitate data center selection.
UserMatchHistory	1 month	Linkedin - Used to track visitors on multiple websites, in order to present relevant advertisement based on the visitor's preferences.

Eerste Linux malware in Windows opgedoken – draait onder WSL

Malware ontdekt die misbruik maakt van het Windows Subsystem for Linux

Eenvoudig van opzet voor tests

Code in Python 3

VirusTotal laat de kwaadaardige code door

Theorie van WSL-malware wordt werkelijkheid

In toekomst meer aanvallen via Windows Subsystem for Linux

Lees meer over Linux in c't 05/2024

Lees ook

Linux Mint uitproberen als alternatief voor Windows

Windows-subsysteem voor Linux installeren en configureren

Lees ook

Softlink

Blijf op de hoogte!

Eerste Linux malware in Windows opgedoken – draait onder WSL

Malware ontdekt die misbruik maakt van het Windows Subsystem for Linux

Eenvoudig van opzet voor tests

Code in Python 3

VirusTotal laat de kwaadaardige code door

Theorie van WSL-malware wordt werkelijkheid

In toekomst meer aanvallen via Windows Subsystem for Linux

Lees meer over Linux in c't 05/2024

Meer over

Deel dit artikel

Lees ook

Linux Mint uitproberen als alternatief voor Windows

Windows-subsysteem voor Linux installeren en configureren

Lees ook

Softlink

Blijf op de hoogte!