Linux-Malware bedroht Windows
Es taucht immer mehr Malware auf, die das Windows Subsytem for Linux (WSL) als Einfallstor nutzt. Die Gefahr steigt, warnen Sicherheitsforscher.
Security-Spezialisten der US-amerikanischen Telekommunikationsfirma Lumen Technologies haben in den letzten sechs Monaten rund 100 Beispiele für Schadcode entdeckt und untersucht, der das Windows Subsystem for Linux (WSL) nutzt, um Windows zu attackieren. Die meiste Malware ist noch nicht sehr ausgereift, sodass sie keinen großen Schaden anrichten kann. Dennoch sehen die Sicherheitsforscher ein erhebliches Risiko.
Seit der Entdeckung erster Linux-Malware in Windows vor einem halben Jahr habe sich die Malware erheblich weiterentwickelt. Damit steige das Risiko, dass über das WSL gefährlicher Schadcode auf Windows-Rechner kommt, für den die meisten Antivirenprogramme derzeit blind sind.
Custom Module oder Open Source
In ihrem Bericht unterscheiden die Security-Forscher zwei Ansätze: eigens für diesen Zweck entwickelte Software (custom modules) sowie Software, die auf Open-Source-Tools aufsetzt. Als Beispiel für ein custom module nennen sie einen in Python geschrieben Keylogger, der Tastaturanschläge und Mausklicks in einer Datei protokolliert und diese per Mail verschickt. Andere Malware lässt sich übers Netz fernsteuern oder lädt Shell- oder Python-Skripte aus dem Internet nach. Teilweise versucht der Schadcode, den nachgeladenen Payload per Autostart oder Registry-Manipulationen auf dem betroffenen Windows-System zu verankern.
Eine Open-Source-basierte Malware setzt auf DiscordRAT auf, einem in Python geschriebenen Remote Administration Tool, das über Discord gesteuert wird und zahlreiche Funktionen wie das Ausführen beliebiger Kommandos, einen Keylogger oder den Up- und Download beliebiger Dateien bietet. Eine ähnliche Software war über Telegram steuerbar. Auch spezialisierte Malware wie ein über Discord steuerbaren Keylogger oder ein Passwort-Dumper war unter den Funden.
Auch wenn derzeit noch keine konkreten Gefahren drohen, raten die Sicherheitsforscher Unternehmen, die das WSL nutzen, zur Vorsicht. Sie empfehlen, mit einer Software wie Sysmon zu überwachen, welche Kommandos über das WSL-Terminal ausgeführt werden. Besonders brisant sei, dass das WSL vor allem von Admins und Entwicklern genutzt wird, die häufig mit erweiterten Rechten im Windows-Netz ausgestattet sind.
(odi)