Een van de laatste ontdekkingen op het gebied van Linux-beveiliging onthult dat het Windows-subsysteem voor Linux, kort bekend als WSL, is veranderd in een nieuw aanvalsoppervlak.
Beveiligingsonderzoekers kwamen onlangs een aantal kwaadaardige bestanden tegen die voornamelijk in Python zijn geschreven en zijn gecompileerd in het binaire Linux-formaat ELF voor Debian. De bestanden fungeerden als laders die een payload uitvoerden, ofwel ingebed in het voorbeeld ofwel opgehaald van een externe server, volgens de ontdekking van Black Lotus Labs. Dan, de payload is via Windows API-aanroepen in een lopend proces geïnjecteerd.
WSL: een nieuw aanvalsoppervlak voor dreigingsactoren
“Hoewel deze aanpak niet bijzonder geavanceerd was,, de nieuwigheid van het gebruik van een ELF-lader die is ontworpen voor de WSL-omgeving, gaf de techniek een detectiepercentage van één of nul in Virus Total, afhankelijk van het monster:, op het moment van dit schrijven,” Rapport van Black Lotus Labs bekend.
Gelukkig, het recent ontdekte aanvalsoppervlak is beperkt in omvang, wat zou kunnen betekenen dat het nog in ontwikkeling is. De onderzoekers hebben een handvol voorbeelden geïdentificeerd met slechts één openbaar routeerbaar IP-adres. Het is ook zeer waarschijnlijk dat dit de eerste keer is dat bedreigingsactoren gebruik maken van WSL om kwaadaardige payloads te installeren.
Meer over de kwaadaardige ELF-bestanden voor Debian Linux
Zoals reeds gezegd, kwamen de onderzoekers verschillende verdachte ELF-bestanden tegen, geschreven in Python en gecompileerd voor Debian Linux.
"De Python-code fungeerde als een lader door gebruik te maken van verschillende Windows API's die het ophalen van een extern bestand mogelijk maakten en vervolgens in een lopend proces werden geïnjecteerd. Dit ambacht kan een acteur in staat stellen om ongemerkt voet aan de grond te krijgen op een geïnfecteerde machine,” het rapport toegevoegd.
De bestanden hadden een zeer lage detectie op VirusTotal, wat suggereert dat Windows-eindpuntagenten geen handtekeningen hebben om ELF-bestanden te analyseren. Bovendien, er zijn twee varianten van de ELF-lader onthuld: een volledig geschreven in Python, en een andere die Python gebruikte om verschillende Windows API's aan te roepen via ctypes (een buitenlandse functiebibliotheek voor Python) om een PowerShell-script aan te roepen.
De onderzoekers zijn van mening dat de tweede variant in ontwikkeling is of is gemaakt voor een specifieke omgeving. Niettemin, de aanpak is zeker levensvatbaar - de onderzoekers waren zelfs in staat om een proof-of-concept te maken die laat zien hoe Windows API's kunnen bellen vanuit het WSL-subsysteem.
Nog een recent rapport, gemaakt door Trend Micro, gericht op de meest voorkomende kwetsbaarheden en malwarefamilies in het Linux-bedreigingslandschap. Ruim 13 miljoen gebeurtenissen werden geïdentificeerd en gemarkeerd door de sensoren van het bedrijf, en 10 malware-families werden geschetst.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: