Sicherheitsexperten haben Malware entdeckt, die in der Windows Subsystem for Linux (WSL)-Umgebung läuft. Linux-Binärdatei
Das Problem wurde von Experten von Black Lotus Labs gemeldet.Teil des amerikanischen Telekommunikationsunternehmens Lumen Technologies. Sie fanden mehrere schädliche Python-Dateien, die in der Binärdatei Executable and Linkable Format (EFL) für Debian Linux kompiliert wurden.
Wie funktionieren diese Viren?
Diese Dateien fungierten als Bootloader und starteten“Nutzlast”, die entweder in die Instanz selbst eingebettet war oder von einem Remote-Server kam und dann mithilfe von Windows-API-Aufrufen in den laufenden Prozess eingefügt wurde”, – Black Lotus Labs erklärt.
2017, mehr als ein Jahr nach der VeröffentlichungWSL, Check Point-Forscher demonstrierten einen experimentellen Angriff namens Bashware, der es ermöglichte, bösartige Aktionen von ausführbaren ELF- und EXE-Dateien in einer WSL-Umgebung auszuführen. Aber WSL ist standardmäßig deaktiviert und Windows 10 enthält keine eingebetteten Linux-Distributionen, sodass die Bedrohung durch Bashware nicht real schien.
Doch vier Jahre später geschah etwas Ähnliches„in freier Wildbahn“ entdeckt. Experten von Black Lotus Labs gaben an, dass die Schadcode-Beispiele beim VirusTotal-Dienst eine Mindestbewertung haben, was bedeutet, dass sie den meisten Antivirenprogrammen entgehen.
Weitere Einzelheiten
Zwei Varianten des bösartigenProgramme. Der erste ist in reinem Python geschrieben und der zweite verwendet zusätzlich eine Bibliothek, um eine Verbindung zur Windows-API herzustellen und ein PowerShell-Skript auszuführen. Experten von Black Lotus Labs vermuten, dass sich das Modul im zweiten Fall noch in der Entwicklung befindet, da es nicht alleine funktioniert.
Die Stichprobe ergab auch eine IP-Adresse (185.63.90 [.] 137), verbunden mit Zielen in Ecuador und Frankreich, von denen aus infizierte Computer Ende Juni und Anfang Juli versuchten, über die Ports 39000-48000 zu kommunizieren. Es wird davon ausgegangen, dass der Besitzer der Malware einen VPN- oder Proxy-Server getestet hat.
Quelle: theregister, Lumen
Illustrationen: CC0 Public Domain
</ p>