Erstmals haben Sicherheitsforscher Malware entdeckt, die zur
Installation von Schadcode das Windows Subsystem for Linux (WSL)
ausnutzt. Diese Art der Verbreitung von Linux-Schadcode war bisher
nur Theorie - entsprechende Python-Dateien, die in das Binärformat
ELF
übersetzt wurden und bei Ausführung Schadcode in laufende
Windows-Prozesse schleusen, wurden nun jedoch von einer Forschergruppe
der US-amerikanischen Telekommunikationsfirma Lumen Technologies
entdeckt.
Bei dem Schadcode soll es sich um echte, im Umlauf befindliche
Malware handeln. Die Malware versuche erst, bekannte Anti-Viren-Programme
auszuschalten, um anschließend mit einer externen IP-Adresse
auf Ports im Bereich 39000 bis 48000 zu kommunizieren. Wahrscheinlich
wurde sie zu Testzwecken entwickelt. Für die Ausführung
auf dem Zielsystem muss das Opfer den Schadcode herunterladen und
über WSL ausführen.
Der von Lumen beschriebene Schadcode soll zum Zeitpunkt seiner
Entdeckung nur von einem der über 70 Virenscanner von VirusTotal
entdeckt worden sein. Eine Version der Malware sei sogar von keinem
der Scanner erkannt worden. Die Sicherheitsfirma Checkpoint hat
bereits 2017 eine Möglichkeit zum Angriff von Windows über
das WSL gefunden. Während derartige Angriffe damals nur reine
Theorie waren, sollten AV-Hersteller und Admins von Systemen, auf
denen WSL aktiviert ist, ab sofort mit gefährlicherer Malware
rechnen.
(jb, hannover)
(siehe auch: Heise-News-Ticker)
Hannover · EDV-Beratung ·
Linux · Novell · Microsoft · Seminar ·
IT-Consult · Netzwerk · LPIC · CLE
|