Linux-ELF-Binaries Maleware die über das Windows Subsystem für Linux (WSL) angreift
September 20, 2021Eine Forschergruppe der US-amerikanischen Telekommunikationsfirma Lumen Technologies Python-Dateien entdeckt, die in das Binärformat ELF übersetzt wurden und bei der Ausführung durch das WSL Schadcode herunterladen und diesen über Windows-API-Aufrufe in laufende Windows-Prozesse einschießen. Die Maleware ist eher simpel gestrickt und wurde wohl zu Testzwecken entwickelt. alware versucht zuerst, bekannte Anti-Viren-Programme auf dem Rechner auszuschalten und kommuniziert dann mit einer externen IP-Adresse auf Ports im Bereich 39000 bis 48000.
Funktion der Maleware
Der Schadcode wurde in Python 3 geschrieben und mittels PyInstaller als ELF-Binärdatei für Debian-Systeme übersetzt. Eine Version funktioniert dabei gänzlich mit Python und ein anderes Sample der Malware lädt über die Windows-API ein PowerShell-Skript, welches die Hauptfunktionen des Schadcodes ausführt. Um auf dem Zielsystem ausgeführt zu werden, muss der Schadcode vom Opfer heruntergeladen und per WSL ausgeführt werden.