Hackers onderzoeken actief in welke mate ze het Windows Subsysteem voor Linux kunnen misbruiken om malware te vermommen. Beveiligingsonderzoekers ontdekten al malafide code.
Beveiligingsonderzoekers van Black Lotus Labs ontdekten bibliotheken met daarin malafide code, gericht op het Windows Subsysteem voor Linux (WSL). Malware die een systeem probeert te compromitteren via WSL, lijkt veel beter bestand tegen detectie door klassieke beveiligingsoplossingen. Voorlopig testen hackers vooral wat mogelijk is en blijft misbruik beperkt.
Vermomde aanval
De malware gebruikt voornamelijk Python 3 en is verpakt als ELF-bestand voor Debian met PyInstaller. VirusTotal laat zien dat endpointbeveiliging voor Windows niet goed overweg kan met ELF-bestanden. De analyse is ondermaats, zodat kwaadaardige code door de mazen van het net glipt. De beveiligingstools zijn wel in staat gelijkaardige malware te detecteren die niet via WSL werkt, wat het nut van de aanpak voor hackers in de verf zet.
Nadat de code in WSL geladen wordt, gebruikt de malware API’s om malware in Windows-processen te injecteren. Zo raakt een Windowssysteem uiteindelijk gecompromitteerd. De samples die de onderzoekers bemachtigden zijn niet consistent. Dat impliceert volgens hen dat de malware nog in de ontwikkelingsfase zit, al vermoeden ze dat het finale product bijna op punt staat. Het is nu aan beveiligingsspecialisten om het onderzoek ter harte te nemen en endpointbeveiliging te helpen om aanvallen via WSL te detecteren.