Start Empfohlen Neue Malware nutzt das Windows-Subsystem für Linux als Angriffsvektor

Neue Malware nutzt das Windows-Subsystem für Linux als Angriffsvektor

24
0


Hacker

Sicherheitsforscher haben eine neue Art von Malware entdeckt, die das Windows-Subsystem für Linux nutzt, um Systeme heimlich anzugreifen.

Angriffe können mit bösartigen Linux-Binärdateien durchgeführt werden, wobei eine Technik verwendet wird, die zuvor nur ein theoretischer Proof-of-Concept war. Der neue Angriffsvektor wurde von Forschern der Black Lotus Labs entdeckt, die ihn als „die erste Instanz eines Akteurs beschreiben, der WSL missbraucht, um nachfolgende Nutzlasten zu installieren“.

Siehe auch:

Bei dieser Technik werden bösartige Dateien verwendet, um die Nutzlast zu übermitteln, und dann mithilfe von Windows-API-Aufrufen Malware einzuschleusen.

In einem sumpfigen Post erklären die Forscher: „Black Lotus Labs hat kürzlich mehrere bösartige Dateien identifiziert, die hauptsächlich in Python geschrieben und im Linux-Binärformat ELF (Executable and Linkable Format) für das Debian-Betriebssystem kompiliert wurden“.

Sie machen weiter:

Diese Dateien fungierten als Lader, die eine Nutzlast ausführten, die entweder in das Beispiel eingebettet oder von einem Remoteserver abgerufen und dann mithilfe von Windows-API-Aufrufen in einen laufenden Prozess eingefügt wurde. Obwohl dieser Ansatz nicht besonders ausgereift war, verlieh die Neuheit der Verwendung eines für die WSL-Umgebung entwickelten ELF-Loaders der Technik zum Zeitpunkt der Erstellung dieses Artikels je nach Stichprobe eine Erkennungsrate von eins oder null in Virus Total.

Tatsächlich entdeckten die Forscher zwei leichte Varianten des ELF-Loader-Ansatzes. Während der erste reine Python umfasste, verwendet der zweite Python, um verschiedene Windows-APIs mit ctypes aufzurufen und ein PowerShell-Skript aufzurufen. Die Theorie ist, dass sich die PowerShell-Variante noch in der Forschung und Entwicklung befindet.

Was bei der Verwendung des Windows-Subsystems für Linux besonders besorgniserregend ist, ist, dass diese Angriffe sehr leicht unter dem Radar verschwinden und völlig unbemerkt bleiben. Die Sicherheitsforscher weisen darauf hin:

Wie die vernachlässigbare Erkennungsrate von VirusTotal vermuten lässt, verfügen die meisten für Windows-Systeme entwickelten Endpunktagenten nicht über Signaturen, die zur Analyse von ELF-Dateien erstellt wurden, obwohl sie häufig Nicht-WSL-Agenten mit ähnlicher Funktionalität erkennen.

Weitere Details zu dieser Art von Angriff finden Sie im Black Lotus Labs‘ Blogeintrag.

Bildnachweis: GlebStock / Shutterstock



Vorheriger ArtikelFacebook Messenger bricht in eine brandneue dedizierte Website auf
Nächster ArtikelWie APIs das Gesicht des Enterprise Computing verändern

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein