In den letzten sechs Monaten haben Security-Spezialisten der US-amerikanischen Telekommunikationsfirma Lumen Technologies etwa 100 Beispiele für Schadcode, der das Windows Subsystem for Linux (WSL) für Angriffe ausnutzt, entdeckt und untersucht. Trotzdessen die Malware noch nicht sehr ausgereift sei, sehen die Sicherheitsforscher ein hohes Risiko. Die Linux-Malware in Windows habe sich seit seiner erstmaligen Entdeckung vor einem halben Jahr erheblich weiterentwickelt.

Neben eigens für diesen Zweck entwickelter Software (custom modules) unterscheiden die Forscher in ihrem Bericht auch Software, die auf Open-Source-Tools aufsetzt. Ein in Python geschriebener Keylogger wird als Beispiel für ein custom module genannt. Eine Open-Source-basierte Malware setzt auf das in Python geschriebenen Remote Administration Tool DiscordRAT auf. Dieses bietet zahlreiche Funktionen, wie das Ausführen beliebiger Kommandos, einen Keylogger oder den Up- und Download beliebiger Dateien. Eine ähnliche Software sei über Telegram steuerbar gewesen.

Unternehmen, die das WSL nutzen, wird zur Vorsicht geraten. Da das WSL häufig von Administratoren und Entwicklern mit erweiterten Rechten im Windows-Netz genutzt werde, sei das Gefahrenpotenzial besonders hoch. Die Überwachung der über das WSL-Terminal ausgeführten Kommandos mit einer Software wie Sysmon wird empfohlen.

(jb, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE