Er duikt steeds meer malware op die het Windows Subsystem for Linux (WSL) als toegangspoort gebruikt en het Windows-systeem bedreigt. Het gevaar neemt toe, waarschuwen beveiligingsonderzoekers.
Linux malware bedreigt Windows
Beveiligingsspecialisten van het Amerikaanse telecommunicatiebedrijf Lumen Technologies hebben in de afgelopen zes maanden ongeveer 100 voorbeelden van kwaadaardige code ontdekt en onderzocht die gebruik maakt van het Windows Subsystem for Linux (WSL) om Windows aan te vallen.
De meeste malware is nog niet erg geavanceerd, dus kan het niet veel schade aanrichten. Toch zien de veiligheidsonderzoekers een serieus risico.
Sinds de ontdekking van de eerste Linux-malware in Windows, eind 2021, heeft de malware zich sterk ontwikkeld. Dit verhoogt het risico dat gevaarlijke kwaadaardige code via WSL op Windows-computers terechtkomt, waar de meeste antivirusprogramma’s momenteel blind voor zijn.
Ontvang meer informatie over malware en virussen!
Schrijf je in voor de nieuwsbrief:
Aangepaste module of open bron
In hun rapport maken de beveiligingsonderzoekers onderscheid tussen twee benaderingen: specifiek voor dit doel ontwikkelde software (aangepaste modules) en software op basis van open-source-instrumenten.
Als voorbeeld van een aangepaste module noemen zij een in Python geschreven keylogger die toetsaanslagen en muisklikken in een bestand opslaat en per e-mail verstuurt.
Andere Malware
Andere malware kan op afstand via het netwerk worden bestuurd of downloadt shell- of Python-scripts van het internet. In sommige gevallen probeert de kwaadaardige code de opnieuw geladen payload te verankeren op het getroffen Windows-systeem via autostart- of registry-manipulaties.
DiscordRAT en Telegram
Een op open source gebaseerde malware is gebaseerd op DiscordRAT, een in Python geschreven tool voor beheer op afstand, die via Discord wordt aangestuurd en tal van functies biedt, zoals het uitvoeren van willekeurige commando’s, een keylogger of het up- en downloaden van willekeurige bestanden.
Vergelijkbare software was te besturen via Telegram. Gespecialiseerde malware zoals een keylogger die via Discord kan worden bediend of een password dumper behoorde ook tot de bevindingen.
Hoewel er op dit moment geen concrete dreigingen zijn, adviseren de beveiligingsonderzoekers bedrijven die gebruik maken van WSL om voorzichtig te zijn.
Advies
Zij adviseren software zoals Sysmon te gebruiken om te controleren welke commando’s via de WSL-terminal worden uitgevoerd. Extra brisant is het feit dat WSL hoofdzakelijk wordt gebruikt door beheerders en ontwikkelaars die vaak over uitgebreide rechten in het Windows-netwerk beschikken.
Ls.,
microSCHOFT heeft LINUX al OPGEKOCHT en speelt z,n SMERIGE SPELLETJES !
Ben NU op zoek naar een VEILIGE/STABIEL programma !
JdW
M$ is inderdaad een microschoft, maar dat het Linux ‘al opgekocht heeft’ is straal onwaar: er valt niks op te kopen, want Linux is geen bedrijf, het is een wereldwijde gemeenschap van vrijwilligers. Het kan dus ook niet ‘opgekocht’ worden. Het aangekaarte probleem is bovendien geen Linuxprobleem, maar – zoals meestal – een W$-probleem.
Shame om foute headlines te maken omwille van sensatie: Dit Linux malware noemen is een te grote stretch: malware die de door Microsoft geimplementeerde compatibiliteits layer voor Linux in Windows aanvalt is gewoon Windows Malware. “Windows Subsystem for Linux (WSL) malware” in de titel had evt. ook nog acceptabel geweest, maar dit … Ik had beter verwacht van C’t
Ik was als abbonee al aan het twijfelen over de huidige richting die C’t aan het opgaan is (de “partner paginas” in het tijdschrift vind ik ook niet echt verantwoord en zeer ergerlijk). Dit helpt niet
Idd, mee eens dat dit een misleidende titel is, het gaat over wsl malware en niet zozeer linux malware.