Eine der neuesten Entdeckungen im Bereich der Linux-Sicherheit zeigt, dass das Windows-Subsystem für Linux, kurz bekannt als WSL, hat sich zu einer neuen Angriffsfläche entwickelt.
Sicherheitsforscher sind vor kurzem auf eine Reihe bösartiger Dateien gestoßen, die hauptsächlich in Python geschrieben und im Linux-Binärformat ELF für Debian kompiliert wurden. Die Dateien fungierten als Lader, die eine Nutzlast ausführten, die entweder in das Beispiel eingebettet oder von einem Remote-Server abgerufen wurde, nach der Entdeckung von Black Lotus Labs. Dann, die Nutzlast wurde über Windows-API-Aufrufe in einen laufenden Prozess eingefügt.
WSL: eine neue Angriffsfläche für Bedrohungsakteure
„Obwohl dieser Ansatz nicht besonders ausgereift war, Die Neuheit der Verwendung eines ELF-Loaders, der für die WSL-Umgebung entwickelt wurde, gab der Technik eine Erkennungsrate von eins oder null in Virus Total, abhängig von der Probe, zum Zeitpunkt dieses Schreibens,” Bericht von Black Lotus Labs bekannt.
Zum Glück, die kürzlich entdeckte Angriffsfläche ist im Umfang begrenzt, was bedeuten könnte, dass es sich noch in der Entwicklung befindet. Die Forscher haben eine Handvoll Beispiele mit nur einer öffentlich routingfähigen IP-Adresse identifiziert. Es ist auch sehr wahrscheinlich, dass dies der erste Fall von Bedrohungsakteuren ist, die WSL nutzen, um bösartige Nutzlasten zu installieren.
Mehr über die schädlichen ELF-Dateien für Debian Linux
Wie bereits erwähnt, die Forscher stießen auf mehrere verdächtige ELF-Dateien, geschrieben in Python und kompiliert für Debian Linux.
„Der Python-Code fungierte als Lader, indem er verschiedene Windows-APIs verwendete, die das Abrufen einer Remote-Datei und das anschließende Einfügen in einen laufenden Prozess ermöglichten. Dieses Handwerk könnte es einem Akteur ermöglichen, auf einer infizierten Maschine unentdeckt Fuß zu fassen,“ fügte der Bericht hinzu.
Die Dateien hatten eine sehr geringe Erkennung auf VirusTotal, Dies deutet darauf hin, dass Windows-Endpunktagenten keine Signaturen zum Analysieren von ELF-Dateien haben. Weiter, zwei Varianten des ELF-Laders wurden enthüllt: eine komplett in Python geschrieben, und eine andere, die Python verwendet hat, um verschiedene Windows-APIs über ctypes aufzurufen (eine fremde Funktionsbibliothek für Python) um ein PowerShell-Skript aufzurufen.
Die zweite Variante befindet sich nach Ansicht der Forscher in der Entwicklung oder wurde für eine bestimmte Umgebung entwickelt. Dennoch, der Ansatz ist definitiv praktikabel – die Forscher konnten sogar einen Proof-of-Concept erstellen, der zeigt, wie Windows-APIs aus dem WSL-Subsystem aufrufen können.
Ein weiterer aktueller Bericht, erstellt von Trend Micro, konzentrierte sich auf die am weitesten verbreiteten Schwachstellen und Malware-Familien in der Linux-Bedrohungslandschaft. Mehr als 13 Millionen Ereignisse wurden von den Sensoren des Unternehmens identifiziert und gekennzeichnet, und 10 Malware-Familien wurden skizziert.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: