Neue Malware nutzt das Windows-Subsystem für Linux (WSL) für heimliche Angriffe!
Sicherheitsforscher haben bösartige Linux-Binärdateien entdeckt, die für das Windows-Subsystem für Linux (WSL) erstellt wurden, was darauf hindeutet, dass Hacker neue Methoden ausprobieren, um Windows-Rechner zu kompromittieren.
Das Ergebnis unterstreicht, dass Bedrohungsakteure neue Angriffsmethoden erforschen und ihre Aufmerksamkeit auf WSL richten, um einer Entdeckung zu entgehen.
Verwenden von WSL, um eine Erkennung zu vermeiden:
Die ersten Muster, die auf die WSL-Umgebung abzielen, wurden Anfang Mai entdeckt und erschienen bis zum 22. August alle zwei bis drei Wochen. Sie fungieren als Lader für die WSL-Umgebung und werden von Diensten zum Scannen öffentlicher Dateien nur sehr selten erkannt.
In einem heutigen Bericht sagen Sicherheitsforscher der Black Lotus Labs von Lumen, dass die bösartigen Dateien entweder die Nutzlast eingebettet haben oder sie von einem Remote-Server abrufen.
Der nächste Schritt besteht darin, die Malware mithilfe von Windows-API-Aufrufen in einen laufenden Prozess einzuschleusen, eine Technik, die weder neu noch ausgereift ist.
Von den wenigen identifizierten Beispielen kam nur eines mit einer öffentlich routingfähigen IP-Adresse, was darauf hindeutet, dass Bedrohungsakteure die Verwendung von WSL testen, um Malware auf Windows zu installieren.
Die bösartigen Dateien verlassen sich bei der Ausführung ihrer Aufgaben hauptsächlich auf Python 3 und werden mit PyInstaller als ausführbare ELF-Datei für Debian gepackt.
„Wie die vernachlässigbare Erkennungsrate von VirusTotal vermuten lässt, verfügen die meisten Endpunktagenten, die für Windows-Systeme entwickelt wurden, nicht über Signaturen, die zur Analyse von ELF-Dateien erstellt wurden, obwohl sie häufig Nicht-WSL-Agenten mit ähnlicher Funktionalität erkennen“ – Black Lotus Labs
Vor weniger als einem Monat wurde eine der schädlichen Linux-Dateien von nur einer Antiviren-Engine auf VirusTotal erkannt. Das Aktualisieren des Scans einer anderen Probe zeigte, dass er von den Engines des Scanservices völlig unentdeckt blieb!
Python und PowerShell
Eine der komplett in Python 3 geschriebenen Varianten verwendet keine Windows-API und scheint der erste Versuch eines Loaders für WSL zu sein. Es verwendet Standard-Python-Bibliotheken, wodurch es sowohl mit Windows als auch mit Linux kompatibel ist.
Der Forscher fand in einem Testbeispiel Code, der „Hello Sanya“ auf Russisch druckt. Alle mit dieser Stichprobe verknüpften Dateien bis auf eine enthielten lokale IP-Adressen, während die öffentliche IP auf 185.63.90[.]137 verwies, die bereits offline war, als die Forscher versuchten, die Nutzlast zu erfassen.
Eine andere „ELF to Windows“-Loader-Variante verließ sich auf PowerShell, um den Shellcode einzuschleusen und auszuführen. In einem dieser Beispiele wurde Python verwendet, um Funktionen aufzurufen, die die laufende Antivirenlösung beendeten, die Persistenz auf dem System herstellte und alle 20 Sekunden ein PowerShell-Skript ausführte.
Aufgrund von Inkonsistenzen bei der Analyse mehrerer Proben gehen die Forscher davon aus, dass sich der Code noch in der Entwicklung befindet, wenn auch in der Endphase.
Die eingeschränkte Sichtbarkeit der öffentlichen IP-Adresse weist darauf hin, dass zwischen Ende Juni und Anfang Juli Aktivitäten auf Ziele in Ecuador und Frankreich beschränkt waren.
Black Lotus Labs geht davon aus, dass die WSL-Malware-Loader das Werk eines Bedrohungsakteurs sind, der die Methode von einem VPN- oder Proxy-Knoten aus testet.
Microsoft führte im April 2016 das Windows-Subsystem für Linux ein. Im September 2017, als WSL gerade die Beta- Phase beendete, demonstrierten Forscher von Check Point einen Angriff namens Bashware, bei dem WSL missbraucht werden konnte, um bösartigen Code vor Sicherheitsprodukten zu verbergen.
Der Bericht der Black Lotus Labs von Lumen enthält Indikatoren für Kompromittierungen im Zusammenhang mit der erkannten Kampagne, um Verteidigern bei der Erstellung von Erkennungsregeln zu helfen. Für Datei-Hashes und Daten zu den weiteren Aktivitäten dieses Akteurs verweisen die Forscher auf die GitHub-Seite des Unternehmens .
Siehe - > https://github.com/blacklotuslabs/IOCs/blob/main/WSL%20samples.txt