{"id":257787,"date":"2021-09-18T00:07:00","date_gmt":"2021-09-17T22:07:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=257787"},"modified":"2023-04-13T11:33:30","modified_gmt":"2023-04-13T09:33:30","slug":"malware-zielt-auf-das-windows-subsystem-for-linux-wsl","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/09\/18\/malware-zielt-auf-das-windows-subsystem-for-linux-wsl\/","title":{"rendered":"Malware zielt auf das Windows Subsystem for Linux (WSL)"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Sicherheitsforscher von Black Lotus Labs von Lumen sind auf mehrere Malware-Beispiele gesto\u00dfen, die das Windows Subsystem f\u00fcr Linux infizieren und dann in die native Windows-Umgebung wechseln k\u00f6nnen. Experten hatten dieses Szenario bereits 2017 skizziert. So schafft die Microsoft WSL-Implementierung eine neue Angriffsfl\u00e4che f\u00fcr Malware-Entwickler. Hier ein paar Informationen zum Thema.<\/p>\n

<\/p>\n

\"\"Ich bin vor einigen Stunden auf Twitter \u00fcber diesen Sachverhalt gestolpert, weil ein Mitarbeiter der Black Lotus Labs diesen Tweet<\/a> abgesetzt hatte.<\/p>\n

\"Malware<\/a><\/p>\n

Unter der Rubrik \"Das ist jetzt alles keine Theorie mehr\" haben die Sicherheitsforscher die Erkenntnisse in diesem Blog-Beitrag<\/a> zusammen geschrieben.<\/p>\n

WSL durch MS 2016 angek\u00fcndigt<\/h2>\n

Ich erinnere mich an April 2016, als \"die H\u00f6lle friert zu\" eintrat. Denn Microsoft k\u00fcndigte seinerzeit das Windows Subsystem f\u00fcr Linux (WSL) an. WSL ist eine zus\u00e4tzliche Funktion, die ein Linux-Image in einer nahezu nativen Umgebung unter Windows ausf\u00fchrt und so Funktionen wie Befehlszeilentools von Linux ohne den Overhead einer virtuellen Maschine erm\u00f6glicht. Diese neue Funktion wurde von den Entwicklern begr\u00fc\u00dft, da sie die Freiheit bietet, Open-Source-Software zu nutzen, stellt aber auch eine neue Angriffsfl\u00e4che f\u00fcr Bedrohungen dar – und wird von diesen auch genutzt. Bereits 2017 hatten Sicherheitsforscher auf diese theoretische M\u00f6glichkeit hingewiesen.<\/p>\n

WSL-Malware gefunden<\/h2>\n

Anfang August entdeckten die Forscher von Black Lotus Labs im Rahmen einer Suche nach Malware eine Reihe verd\u00e4chtiger ELF-Dateien, die f\u00fcr Debian Linux kompiliert worden waren. Die Dateien waren in Python 3 geschrieben und mit PyInstaller in eine ausf\u00fchrbare ELF-Datei konvertiert. Der Python-Code fungierte als Lader, indem er verschiedene Windows-APIs nutzte, die es erm\u00f6glichten, eine Remote-Datei abzurufen und dann in einen laufenden Prozess zu injizieren. Auf diese Weise konnte ein Akteur unbemerkt auf einem infizierten Rechner Fu\u00df fassen.<\/p>\n

Eine schnelle \u00dcberpr\u00fcfung auf VirusTotal zeigte, wurden die meisten Virenscanner f\u00fcr Endpunkte, f\u00fcr Windows-Systeme entwickelt und verf\u00fcgen nicht \u00fcber Signaturen zur Analyse von ELF-Dateien in der WSL-Umgebung. Die Forscher wunderten sich dabei, dass die Virenscanner h\u00e4ufig Nicht-WSL-Agenten mit \u00e4hnlichen Funktionen erkennen k\u00f6nnen.<\/p>\n

Im Rahmen der weiteren Analyse und Suche wurden wir zwei Varianten des ELF-Loader-Ansatzes entdeckt: Die erste Variante war rein in Python geschrieben, w\u00e4hrend die zweite Variante Python haupts\u00e4chlich dazu nutzte, verschiedene Windows-APIs mit ctypes aufzurufen und ein PowerShell-Skript aufzurufen.<\/p>\n

Die Sicherheitsforscher vermuten, dass sich die PowerShell-Variante noch in der Entwicklung befindet. Oder die Variante wurde m\u00f6glicherweise f\u00fcr eine bestimmte Umgebung entwickelt, da diese in der Testumgebung der Sicherheitsforscher nicht von sich aus ausgef\u00fchrt wurde. Die Nachforschungen deuten jedoch darauf hin, dass dieser Ansatz praktikabel ist, denn die Sicherheitsforscher waren in der Lage, erfolgreich ein Proof of Concept (PoC) zu erstellen, das die Windows-APIs aus dem WSL-Subsystem aufrief. Die technischen Details lassen sich diesem Blog-Beitrag<\/a> der Sicherheitsforscher entnehmen.<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Sicherheitsforscher von Black Lotus Labs von Lumen sind auf mehrere Malware-Beispiele gesto\u00dfen, die das Windows Subsystem f\u00fcr Linux infizieren und dann in die native Windows-Umgebung wechseln k\u00f6nnen. Experten hatten dieses Szenario bereits 2017 skizziert. So schafft die Microsoft WSL-Implementierung eine … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[95,426,301,3694],"tags":[4305,1018,4328,3288],"class_list":["post-257787","post","type-post","status-publish","format-standard","hentry","category-linux","category-sicherheit","category-windows","category-windows-10","tag-linux","tag-malware","tag-sicherheit","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/257787","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=257787"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/257787\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=257787"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=257787"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=257787"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}