Fonctionne sous WSL : Le premier malware Linux est apparu sous Windows.
septembre 20, 2021Ce qui n’était encore qu’une théorie il y a quatre ans est désormais réel : des binaires ELF de Linux qui attaquent les systèmes Windows via leur propre API.
Des chercheurs en sécurité ont découvert pour la première fois un véritable logiciel malveillant qui abuse du sous-système Windows pour Linux (WSL) pour installer un code malveillant. Jusqu’à présent, la propagation de logiciels malveillants Linux sur Windows via WSL n’était que pure théorie. Aujourd’hui, cependant, un groupe de chercheurs de la société de télécommunications américaine Lumen Technologies a découvert des fichiers Python qui ont été traduits au format binaire ELF et qui, lorsqu’ils sont exécutés par WSL, téléchargent du code malveillant et l’injectent dans des processus Windows en cours d’exécution via des appels d’API Windows.
Pas de preuve de concept
Selon Lumen, le code malveillant semble être un véritable logiciel malveillant qui a été découvert dans la nature. Cependant, il est plutôt simple et a probablement été développé à des fins de test. Le logiciel malveillant tente d’abord de désactiver les programmes antivirus connus sur l’ordinateur, puis communique avec une adresse IP externe sur des ports compris entre 39000 et 48000. Les chercheurs en sécurité soupçonnent les développeurs du code malveillant d’avoir voulu tester des connexions VPN ou proxy avec celui-ci. Des ordinateurs infectés ont été découverts en France et en Équateur.
Le code malveillant a été écrit en Python 3 et traduit sous forme de fichier binaire ELF pour les systèmes Debian à l’aide de PyInstaller. Une version fonctionne entièrement avec Python et un autre échantillon du malware charge un script PowerShell via l’API Windows, qui exécute les principales fonctions du code malveillant. Pour être exécuté sur le système cible, le code malveillant doit être téléchargé par la victime et exécuté via WSL. Les chercheurs en sécurité ne semblent pas savoir quelle méthode spécifique l’attaquant a utilisée pour exécuter le fichier ELF dans la WSL.
VirusTotal brandit le code malveillant à travers
D’une part, la menace que représentent les logiciels malveillants WSL est jusqu’à présent très limitée, car le code malveillant proprement dit ne fait pas de choses particulièrement malveillantes jusqu’à présent et parce que les installations WSL ne sont actives que sur un petit nombre de systèmes Windows, principalement par des développeurs et des passionnés de technologie. En revanche, il est inquiétant de constater que le code malveillant décrit par Lumen n’a été détecté que par l’un des plus de 70 antivirus de VirusTotal au moment de sa découverte. L’une des versions du malware n’a même pas été démasquée par l’un des scanners. Cela indique clairement que les fabricants d’antivirus n’ont pas ou peu pris en compte ce type de malware.
Le vecteur d’attaque n’est plus une théorie
La première apparition d’un logiciel malveillant WSL dans la nature est importante surtout parce que ce type de menace était auparavant une pure théorie – ce qui explique probablement aussi le faible taux de détection du code malveillant par les programmes antivirus. Dès 2017, la société de sécurité Checkpoint avait trouvé un moyen d’attaquer Windows via la WSL. À l’époque, cependant, Checkpoint avait largement exagéré le risque de telles attaques – le scénario d’attaque était purement théorique et l’évaluation par Checkpoint des systèmes à risque était exagérée. En fin de compte, il a fallu quatre ans pour qu’apparaisse un code malveillant utilisant ce vecteur d’attaque. Même à ce stade, il n’y a aucune raison de paniquer. Toutefois, les fabricants d’antivirus et les administrateurs de systèmes sur lesquels le WSL est activé doivent désormais savoir que ces attaques ne sont définitivement plus une théorie et que nous devrons probablement nous attendre à l’avenir à ce que des logiciels malveillants plus dangereux attaquent les ordinateurs Windows par le biais des détournements du WSL.
Après tout, dans certains scénarios, il peut être tactiquement judicieux pour les attaquants d’attaquer les systèmes Windows avec des logiciels malveillants Linux. Si une organisation n’utilise que des machines Windows, il est fort possible que son service de sécurité ne considère pas du tout les logiciels malveillants Linux comme une menace. Et même si un seul administrateur a installé WSL sur son ordinateur pour des raisons de loisir, cela peut suffire à compromettre toute l’organisation si cet administrateur dispose de droits étendus sur le réseau. Ce n’est pas sans raison que les ordinateurs d’administration sont généralement la première priorité des attaquants lors d’un mouvement latéral dans le réseau cible – ils sont généralement une mine d’or pour les mots de passe, les certificats et les clés cryptographiques.