Erste Linux-Malware in Windows aufgetaucht
September 20, 2021Was vor vier Jahren noch eine Theorie war, ist nun real: Linux-ELF-Binaries, die Windows-Systeme über deren eigene API angreifen.
Sicherheitsforscher haben zum ersten Mal echte Malware entdeckt, die das Windows Subsystem für Linux (WSL) missbraucht, um Schadcode zu installieren. Jetzt hat allerdings eine Forschergruppe der US-amerikanischen Telekommunikationsfirma Lumen Technologies Python-Dateien entdeckt, die in das Binärformat ELF übersetzt wurden und bei der Ausführung durch das WSL Schadcode herunterladen und diesen über Windows-API-Aufrufe in laufende Windows-Prozesse einschießen.
Laut Lumen handelt es sich bei der Maleware welche die in der freien Wildbahn entdeckt wurde. Allerdings ist sie eher simpel gestrickt und wurde wohl zu Testzwecken entwickelt. Die Malware versucht zuerst, bekannte Anti-Viren-Programme auf dem Rechner auszuschalten und kommuniziert dann mit einer externen IP-Adresse auf Ports im Bereich 39000 bis 48000. Die Forscher Vermuten die Maleware hat VPN und Proxy Verbindungen testen wollen. Infizierte Rechner wurden in Frankreich und Ecuador entdeckt.
Der Schadcode wurde in Python 3 geschrieben und mittels PyInstaller als ELF-Binärdatei für Debian-Systeme übersetzt. Um auf dem Zielsystem ausgeführt zu werden, muss der Schadcode vom Opfer heruntergeladen und per WSL ausgeführt werden. Mit welcher Methode der Angreifer es konkret geschafft hat, dass die ELF-Datei im WSL ausgeführt wurde, scheint den Sicherheitsforschern nicht bekannt zu sein.
Von den Virenscannern auf VirusTotal hat nur einer den Virus erkannt.
Das erste Auftauchen von WSL-Malware in der freien Wildbahn ist vor allem deswegen signifikant, weil diese Art von Bedrohung bisher reine Theorie war.