Läuft unter WSL: Erste Linux-Malware in Windows aufgetaucht

Was vor vier Jahren noch eine Theorie war, ist nun real: Linux-ELF-Binaries, die Windows-Systeme über deren eigene API angreifen.

In Pocket speichern vorlesen Druckansicht 254 Kommentare lesen
Pinguine, Linux
Lesezeit: 4 Min.
Von
  • Fabian A. Scherschel
Inhaltsverzeichnis

Sicherheitsforscher haben zum ersten Mal echte Malware entdeckt, die das Windows Subsystem für Linux (WSL) missbraucht, um Schadcode zu installieren. Bisher war die Verbreitung von Linux-Schadcode auf Windows per WSL reine Theorie. Nun hat allerdings eine Forschergruppe der US-amerikanischen Telekommunikationsfirma Lumen Technologies Python-Dateien entdeckt, die in das Binärformat ELF übersetzt wurden und bei der Ausführung durch das WSL Schadcode herunterladen und diesen über Windows-API-Aufrufe in laufende Windows-Prozesse einschießen.

Laut Lumen scheint es sich bei dem Schadcode um echte Malware zu handeln, die in freier Wildbahn entdeckt wurde. Allerdings ist sie eher simpel gestrickt und wurde wohl zu Testzwecken entwickelt. Die Malware versucht zuerst, bekannte Anti-Viren-Programme auf dem Rechner auszuschalten und kommuniziert dann mit einer externen IP-Adresse auf Ports im Bereich 39000 bis 48000. Die Sicherheitsforscher vermuten, die Entwickler des Schadcodes hätten damit VPN- oder Proxy-Verbindungen testen wollen. Infizierte Rechner wurden in Frankreich und Ecuador entdeckt.

Der Schadcode wurde in Python 3 geschrieben und mittels PyInstaller als ELF-Binärdatei für Debian-Systeme übersetzt. Eine Version funktioniert dabei gänzlich mit Python und ein anderes Sample der Malware lädt über die Windows-API ein PowerShell-Skript, welches die Hauptfunktionen des Schadcodes ausführt. Um auf dem Zielsystem ausgeführt zu werden, muss der Schadcode vom Opfer heruntergeladen und per WSL ausgeführt werden. Mit welcher Methode der Angreifer es konkret geschafft hat, dass die ELF-Datei im WSL ausgeführt wurde, scheint den Sicherheitsforschern nicht bekannt zu sein.

Auf der einen Seite hält sich die Bedrohung durch die WSL-Malware bisher sehr in Grenzen, weil der eigentliche Schadcode bisher nicht besonders bösartige Dinge tut und weil WSL-Installationen nur auf einer kleinen Anzahl von Windows-Systemen, meist von Entwicklern und Tech-Liebhabern, aktiv sind. Auf der anderen Seite ist es aber beunruhigend, dass der von Lumen beschriebene Schadcode bei seiner Entdeckung nur von einem der über 70 Virenscanner von VirusTotal entdeckt wurde. Eine der Versionen der Malware wurde sogar von keinem der Scanner enttarnt. Das weist eindeutig darauf hin, dass Anti-Viren-Hersteller diese Art von Malware bisher kaum oder gar nicht auf dem Schirm haben.

Das erste Auftauchen von WSL-Malware in der freien Wildbahn ist vor allem deswegen signifikant, weil diese Art von Bedrohung bisher reine Theorie war – was wohl auch die geringe Entdeckungsrate des Schadcodes bei Anti-Viren-Programmen erklärt. Bereits 2017 hatte die Sicherheitsfirma Checkpoint eine Möglichkeit gefunden, Windows über das WSL aus anzugreifen. Damals hatte Checkpoint das Risiko solcher Angriffe allerdings stark überdramatisiert – das Angriffsszenario war rein theoretisch und Checkpoints Einschätzung der gefährdeten Systeme war übertrieben. Schließlich hat es dann doch vier Jahre gedauert, bis wirklich Schadcode auftaucht, der diesen Angriffsvektor nutzt. Auch zu diesem Zeitpunkt gibt es noch keinen Grund zur Panik. Allerdings sollten AV-Hersteller und Admins von Systemen, auf denen WSL aktiviert ist, sich ab sofort bewusst sein, dass derartige Angriffe nun endgültig keine Theorie mehr sind und wir in Zukunft wohl mit gefährlicherer Malware rechnen müssen, die Windows-Rechner über den Umweg des WSL angreift.

Schließlich könnte es in manchen Szenarien für Angreifer taktisch klug sein, Windows-Systeme mit Linux-Schadcode anzugreifen. Wenn eine Organisation nur Windows-Rechner im Einsatz hat, kann es durchaus vorkommen, dass deren Sicherheitsabteilung Linux-Schadcode gar nicht als Gefahr sieht. Und auch wenn nur ein Admin aus Hobby-Gründen das WSL auf seinem Rechner installiert hat, kann das genügen, um die ganze Organisation zu kompromittieren, wenn dieser Admin weitreichende Rechte im Netzwerk hat. Nicht ohne Grund sind Admin-Rechner meist die erste Priorität von Angreifern beim Lateral Movement durchs Ziel-Netzwerk – sie sind meist eine Goldgrube für Passwörter, Zertifikate und Krypto-Schlüssel.

(fab)