Działa pod WSL: Pierwsze linuksowe złośliwe oprogramowanie pojawiło się w Windows

To, co jeszcze cztery lata temu było teorią, teraz stało się rzeczywistością: binarki ELF Linuksa, które atakują systemy Windows poprzez ich własne API.

Badacze bezpieczeństwa po raz pierwszy odkryli prawdziwe złośliwe oprogramowanie, które wykorzystuje Windows Subsystem for Linux (WSL) do instalowania złośliwego kodu. Do tej pory rozprzestrzenianie się złośliwego oprogramowania linuksowego na Windows za pośrednictwem WSL było czystą teorią. Teraz jednak grupa badaczy z amerykańskiej firmy telekomunikacyjnej Lumen Technologies odkryła pliki Pythona, które zostały przetłumaczone na format binarny ELF i po uruchomieniu przez WSL pobierają złośliwy kod i wstrzykują go do uruchomionych procesów Windows poprzez wywołania Windows API.

Brak dowodu słuszności koncepcji

Według firmy Lumen, złośliwy kod wydaje się być prawdziwym złośliwym oprogramowaniem, które zostało odkryte w środowisku naturalnym. Jest on jednak dość prosty i prawdopodobnie został opracowany w celach testowych. Złośliwe oprogramowanie najpierw próbuje wyłączyć znane programy antywirusowe na komputerze, a następnie komunikuje się z zewnętrznym adresem IP na portach w zakresie od 39000 do 48000. Badacze bezpieczeństwa podejrzewają, że twórcy złośliwego kodu chcieli przetestować za jego pomocą połączenia VPN lub proxy. Zainfekowane komputery zostały wykryte we Francji i Ekwadorze.

Złośliwy kod został napisany w Pythonie 3 i przetłumaczony jako plik binarny ELF dla systemów Debian przy użyciu PyInstallera. Jedna z wersji działa w całości w Pythonie, natomiast inna próbka złośliwego oprogramowania ładuje za pośrednictwem Windows API skrypt PowerShell, który wykonuje główne funkcje złośliwego kodu. Aby złośliwy kod został wykonany na systemie docelowym, musi zostać pobrany przez ofiarę i wykonany za pośrednictwem WSL. Badacze bezpieczeństwa nie wiedzą, jaką konkretnie metodę wykorzystał atakujący do wykonania pliku ELF w WSL.

VirusTotal wykrywa złośliwy kod poprzez

Z jednej strony, zagrożenie ze strony złośliwego oprogramowania WSL jest jak na razie bardzo ograniczone, ponieważ sam złośliwy kod nie robi jak na razie szczególnie złośliwych rzeczy, a także dlatego, że instalacje WSL są aktywne tylko na niewielkiej liczbie systemów Windows, głównie przez programistów i entuzjastów technologii. Z drugiej strony, niepokojące jest to, że złośliwy kod opisany przez Lumen został wykryty tylko przez jeden z ponad 70 skanerów antywirusowych VirusTotal w momencie jego wykrycia. Jedna z wersji złośliwego oprogramowania nie została nawet zdemaskowana przez żaden ze skanerów. To wyraźnie wskazuje, że producenci antywirusów prawie wcale lub wcale nie mieli tego typu złośliwego oprogramowania na swoim radarze.

Wektor ataku nie jest już teorią

Pierwsze pojawienie się złośliwego oprogramowania WSL na wolności jest istotne przede wszystkim dlatego, że do tej pory tego typu zagrożenie było czystą teorią – co prawdopodobnie tłumaczy również niską wykrywalność złośliwego kodu przez programy antywirusowe. Już w 2017 roku firma ochroniarska Check Point znalazła sposób na zaatakowanie Windowsa za pośrednictwem WSL. W tamtym czasie Checkpoint jednak znacznie wyolbrzymiał ryzyko takich ataków – scenariusz ataku był czysto teoretyczny, a ocena Checkpointa dotycząca zagrożonych systemów była przesadzona. Ostatecznie, potrzeba było czterech lat, aby pojawił się złośliwy kod wykorzystujący ten wektor ataku. Nawet w tym momencie nie ma powodów do paniki. Producenci AV oraz administratorzy systemów, na których aktywowany jest WSL powinni jednak mieć świadomość, że tego typu ataki zdecydowanie przestały być teorią i w przyszłości prawdopodobnie będziemy musieli spodziewać się większej ilości groźnego złośliwego oprogramowania atakującego komputery z systemem Windows za pośrednictwem dywersji WSL.

W końcu, w niektórych scenariuszach atakowanie systemów Windows za pomocą złośliwego oprogramowania linuksowego może być taktycznie rozsądne. Jeśli w organizacji używane są tylko maszyny z systemem Windows, całkiem możliwe, że jej dział bezpieczeństwa w ogóle nie postrzega złośliwego oprogramowania dla Linuksa jako zagrożenia. I nawet jeśli tylko jeden administrator zainstalował WSL na swoim komputerze z powodów hobbystycznych, może to wystarczyć do skompromitowania całej organizacji, jeśli ten administrator ma daleko idące uprawnienia w sieci. Nie bez powodu komputery administratorów są zwykle pierwszym priorytetem atakujących podczas lateralnego przemieszczania się po sieci docelowej – są one zwykle kopalnią haseł, certyfikatów i kluczy kryptograficznych.