[English]Sicherheitsforscher von Black Lotus Labs von Lumen sind auf mehrere Malware-Beispiele gestoßen, die das Windows Subsystem für Linux infizieren und dann in die native Windows-Umgebung wechseln können. Experten hatten dieses Szenario bereits 2017 skizziert. So schafft die Microsoft WSL-Implementierung eine neue Angriffsfläche für Malware-Entwickler. Hier ein paar Informationen zum Thema.
Ich bin vor einigen Stunden auf Twitter über diesen Sachverhalt gestolpert, weil ein Mitarbeiter der Black Lotus Labs diesen Tweet abgesetzt hatte.
Unter der Rubrik „Das ist jetzt alles keine Theorie mehr“ haben die Sicherheitsforscher die Erkenntnisse in diesem Blog-Beitrag zusammen geschrieben.
WSL durch MS 2016 angekündigt
Ich erinnere mich an April 2016, als „die Hölle friert zu“ eintrat. Denn Microsoft kündigte seinerzeit das Windows Subsystem für Linux (WSL) an. WSL ist eine zusätzliche Funktion, die ein Linux-Image in einer nahezu nativen Umgebung unter Windows ausführt und so Funktionen wie Befehlszeilentools von Linux ohne den Overhead einer virtuellen Maschine ermöglicht. Diese neue Funktion wurde von den Entwicklern begrüßt, da sie die Freiheit bietet, Open-Source-Software zu nutzen, stellt aber auch eine neue Angriffsfläche für Bedrohungen dar – und wird von diesen auch genutzt. Bereits 2017 hatten Sicherheitsforscher auf diese theoretische Möglichkeit hingewiesen.
WSL-Malware gefunden
Anfang August entdeckten die Forscher von Black Lotus Labs im Rahmen einer Suche nach Malware eine Reihe verdächtiger ELF-Dateien, die für Debian Linux kompiliert worden waren. Die Dateien waren in Python 3 geschrieben und mit PyInstaller in eine ausführbare ELF-Datei konvertiert. Der Python-Code fungierte als Lader, indem er verschiedene Windows-APIs nutzte, die es ermöglichten, eine Remote-Datei abzurufen und dann in einen laufenden Prozess zu injizieren. Auf diese Weise konnte ein Akteur unbemerkt auf einem infizierten Rechner Fuß fassen.
Eine schnelle Überprüfung auf VirusTotal zeigte, wurden die meisten Virenscanner für Endpunkte, für Windows-Systeme entwickelt und verfügen nicht über Signaturen zur Analyse von ELF-Dateien in der WSL-Umgebung. Die Forscher wunderten sich dabei, dass die Virenscanner häufig Nicht-WSL-Agenten mit ähnlichen Funktionen erkennen können.
Im Rahmen der weiteren Analyse und Suche wurden wir zwei Varianten des ELF-Loader-Ansatzes entdeckt: Die erste Variante war rein in Python geschrieben, während die zweite Variante Python hauptsächlich dazu nutzte, verschiedene Windows-APIs mit ctypes aufzurufen und ein PowerShell-Skript aufzurufen.
Die Sicherheitsforscher vermuten, dass sich die PowerShell-Variante noch in der Entwicklung befindet. Oder die Variante wurde möglicherweise für eine bestimmte Umgebung entwickelt, da diese in der Testumgebung der Sicherheitsforscher nicht von sich aus ausgeführt wurde. Die Nachforschungen deuten jedoch darauf hin, dass dieser Ansatz praktikabel ist, denn die Sicherheitsforscher waren in der Lage, erfolgreich ein Proof of Concept (PoC) zu erstellen, das die Windows-APIs aus dem WSL-Subsystem aufrief. Die technischen Details lassen sich diesem Blog-Beitrag der Sicherheitsforscher entnehmen.
Werde eher Windows in einer VM unter Linux laufen lassen, als andersrum aber mal sehen, wo das jetzt wieder hinführt. Sicherlich zu einer „dramatischen“ Weiterentwicklung des Defenders, der dann die Sicherheit der OS-Umgebung weiter aufweicht…
Dann muss man wohl in WSL einen Antivirus laufen lassen und hoffen dass der solche Angriffe erkennt. Ich schau gleich mal ob ich in meiner WSL Clam-AV zum Laufen bekomme.
Clam-Av läuft.
ot: *grins* und mit Windows 11 kommen noch die Android Apps dazu – Guten Nacht, Mahlzeit – das wird ja heiter werden….