Linux-Subsystem-Malware in Microsoft Windows entdeckt

Von Yuriy Stanislavskiy | 20.09.2021, 12:25
Linux-Subsystem-Malware in Microsoft Windows entdeckt

Sicherheitsexperten haben Malware entdeckt, die in einer Windows Subsystem for Linux (WSL)-Umgebung läuft. Die Linux-Binärdatei versucht, Windows anzugreifen und zusätzliche Softwaremodule herunterzuladen.

Das Problem wurde von Experten von Black Lotus Labs, einem Teil des US-Telekommunikationsunternehmens Lumen Technologies, gemeldet. Sie fanden mehrere bösartige Python-Dateien, die im Binärformat EFL (Executable and Linkable Format) für Debian Linux kompiliert wurden.

Wie solche Viren aufgebaut sind

Diese Dateien fungierten als Lader und führten 'Nutzlasten' aus, die entweder in die Instanz selbst eingebettet waren oder von einem entfernten Server kamen und dann über Windows-API-Aufrufe in den laufenden Prozess injiziert wurden", erklärt Black Lotus Labs.

Im Jahr 2017, mehr als ein Jahr nach der Veröffentlichung von WSL, demonstrierten Forscher von Check Point einen experimentellen Angriff namens Bashware, der die Ausführung bösartiger Aktionen von ELF- und EXE-Dateien in der WSL-Umgebung ermöglichte. Aber WSL ist standardmäßig deaktiviert, und Windows 10 wird ohne eingebettete Linux-Distributionen ausgeliefert, so dass die Bedrohung durch Bashware nicht real erschien.

Vier Jahre später wurde jedoch etwas Ähnliches "in freier Wildbahn" entdeckt. Die Experten von Black Lotus Labs wiesen darauf hin, dass die Malware-Samples beim Dienst VirusTotal nur eine minimale Bewertung erhielten, was bedeutet, dass die meisten Antivirenprogramme sie nicht erkennen würden.

Weitere Einzelheiten

Es wurden zwei Varianten der Malware gefunden. Die erste ist in reinem Python geschrieben, während die zweite zusätzlich eine Bibliothek verwendet, um sich mit der Windows-API zu verbinden und PowerShell-Skripte auszuführen. Die Experten von Black Lotus Labs vermuten, dass sich das Modul im zweiten Fall noch in der Entwicklung befindet, da es nicht unabhängig funktioniert.

Die Stichprobe enthüllte auch eine IP-Adresse (185.63.90[.]137), die mit Zielen in Ecuador und Frankreich in Verbindung gebracht wurde und von der aus infizierte Computer Ende Juni und Anfang Juli versuchten, über die Ports 39000-48000 eine Verbindung herzustellen. Es wird vermutet, dass der Besitzer der Malware einen VPN- oder Proxy-Server getestet hat.

Quelle: theregisterlumen

Abbildung: CC0 Public Domain