Eerste Linux malware in Windows opgedoken – draait onder WSL

Redactie
0

Wat vier jaar geleden nog een theorie was, is nu werkelijkheid: de eerste Linux malware in Windows is opgedoken en draait onder Windows Subsystem for Linux (WSL). Linux ELF binaries vallen Windows systemen aan via hun eigen API.


Linux malware Windows WSL


Malware ontdekt die misbruik maakt van het Windows Subsystem for Linux

Beveiligingsonderzoekers hebben voor het eerst echte malware ontdekt die misbruik maakt van het Windows Subsystem for Linux (WSL) om kwaadaardige code te installeren. Tot nu toe was de verspreiding van kwaadaardige Linux-code op Windows via WSL pure theorie.

Nu heeft een groep onderzoekers van het Amerikaanse telecommunicatiebedrijf Lumen Technologies echter Python-bestanden ontdekt die zijn vertaald naar het binaire formaat ELF en, wanneer ze worden uitgevoerd door WSL, kwaadaardige code downloaden en injecteren in draaiende Windows-processen via Windows API-aanroepen.

Eenvoudig van opzet voor tests

Volgens Lumen lijkt de kwaadaardige code echte malware te zijn die in het wild is ontdekt. Het is echter vrij eenvoudig van opzet en werd waarschijnlijk ontwikkeld voor testdoeleinden. De malware probeert eerst bekende antivirusprogramma’s op de computer uit te schakelen en communiceert vervolgens met een extern IP-adres op poorten in het bereik 39000 tot 48000.

Beveiligingsonderzoekers vermoeden dat de ontwikkelaars van de kwaadaardige code hiermee VPN- of proxy-verbindingen wilden testen. Besmette computers werden ontdekt in Frankrijk en Ecuador.


Ontvang meer informatie over malware en virussen!

Schrijf je in voor de nieuwsbrief:

Ontvang elke week het laatste IT-nieuws, de handigste tips en speciale aanbiedingen.

Code in Python 3

De kwaadaardige code werd geschreven in Python 3 en vertaald als een ELF binair bestand voor Debian systemen met behulp van PyInstaller. Eén versie werkt volledig met Python en een ander voorbeeld van de malware laadt een PowerShell script via de Windows API, die de belangrijkste functies van de kwaadaardige code uitvoert.

Om op het doelsysteem te worden uitgevoerd, moet de kwaadaardige code door het slachtoffer worden gedownload en via WSL worden uitgevoerd. De beveiligingsonderzoekers lijken niet te weten welke specifieke methode de aanvaller heeft gebruikt om het ELF-bestand in WSL uit te voeren.

VirusTotal laat de kwaadaardige code door

Enerzijds is de dreiging van de WSL-malware tot dusver zeer beperkt omdat de eigenlijke schadelijke code tot dusver geen bijzonder kwaadaardige dingen doet, en omdat WSL-installaties slechts actief zijn op een klein aantal Windows-systemen, meestal door ontwikkelaars en techfanaten.

Anderzijds is het verontrustend dat de schadelijke code die door Lumen werd beschreven, slechts door één van de meer dan 70 virusscanners van VirusTotal werd gedetecteerd. Een van de versies van de malware werd zelfs door geen van de scanners ontmaskerd. Dit wijst er duidelijk op dat anti-virus fabrikanten dit type malware nog niet in het vizier hebben.

Theorie van WSL-malware wordt werkelijkheid

De eerste verschijning van WSL-malware in het wild is vooral belangrijk omdat dit type bedreiging voorheen louter theorie was – wat waarschijnlijk ook de lage detectiegraad van de kwaadaardige code door antivirusprogramma’s verklaart. Al in 2017 had het beveiligingsbedrijf Checkpoint een manier gevonden om Windows aan te vallen via WSL.

Destijds had Checkpoint het risico van dergelijke aanvallen echter sterk overdreven – het aanvalsscenario was louter theoretisch en Checkpoint’s inschatting van de systemen die gevaar liepen, was overdreven. Uiteindelijk heeft het vier jaar geduurd voordat er daadwerkelijk kwaadaardige code verscheen die van deze aanvalsvector gebruik maakte.

In toekomst meer aanvallen via Windows Subsystem for Linux

Zelfs op dit moment is er geen reden tot paniek. AV-fabrikanten en beheerders van systemen waarop WSL is geactiveerd, moeten zich er echter vanaf nu van bewust zijn dat dergelijke aanvallen zeker geen theorie meer zijn en dat we in de toekomst waarschijnlijk meer gevaarlijke malware moeten verwachten die Windows-computers aanvallen via de omleidingen van WSL.

In sommige scenario’s kan het immers tactisch slim zijn voor aanvallers om Windows-systemen aan te vallen met Linux-malware. Als een organisatie alleen Windows-machines in gebruik heeft, is het heel goed mogelijk dat de beveiligingsafdeling Linux-malware helemaal niet als een bedreiging ziet.

En zelfs als slechts één admin om hobbymatige redenen WSL op zijn computer heeft geïnstalleerd, kan dit voldoende zijn om de hele organisatie in gevaar te brengen als deze admin vergaande rechten in het netwerk heeft. Het is niet zonder reden dat beheercomputers meestal het voornaamste doel zijn van aanvallers tijdens een omtrekkende beweging door het doelnetwerk – ze zijn meestal een goudmijn voor wachtwoorden, certificaten en crypto sleutels.


 

Lees meer over Linux in c’t 12/2024

Meer over

Malware

Deel dit artikel

Lees ook

Linux Mint uitproberen als alternatief voor Windows

Linux Mint is een gratis en beginnersvriendelijke Linux-variant die de overstap van Windows makkelijk maakt. We laten je zien hoe je het Linux-systeem...

Windows-subsysteem voor Linux installeren en configureren

Microsoft heeft het Windows Subsystem for Linux (WSL) na een jaar uit de bètafase gehaald. Bij de Fall Creators Update is het een reguliere component ...

0 Praat mee
avatar
  Abonneer  
Laat het mij weten wanneer er