Funciona sob WSL: o primeiro malware Linux apareceu no Windows

O que ainda era uma teoria há quatro anos é agora real: os binários Linux ELF que atacam os sistemas Windows através de sua própria API.

Os pesquisadores de segurança descobriram pela primeira vez um verdadeiro malware que abusa do subsistema Windows para Linux (WSL) para instalar código malicioso. Até agora, a propagação de malware Linux no Windows via WSL era pura teoria. Agora, entretanto, um grupo de pesquisadores da empresa americana de telecomunicações Lumen Technologies descobriu arquivos Python que foram traduzidos para o formato binário ELF e, quando executados pela WSL, baixam código malicioso e o injetam na execução de processos Windows através de chamadas API do Windows.

Nenhuma prova de conceito

Segundo a Lumen, o código malicioso parece ser um verdadeiro malware que foi descoberto na natureza. Entretanto, é bastante simples e provavelmente foi desenvolvido para fins de teste. O malware primeiro tenta desativar programas antivírus conhecidos no computador e depois se comunica com um endereço IP externo em portas na faixa de 39000 a 48000. Os pesquisadores de segurança suspeitam que os desenvolvedores do código malicioso quiseram testar conexões VPN ou proxy com ele. Computadores infectados foram descobertos na França e no Equador.

O código malicioso foi escrito em Python 3 e traduzido como um arquivo binário ELF para sistemas Debian usando o PyInstaller. Uma versão funciona inteiramente com Python e outra amostra do malware carrega um script PowerShell através da API do Windows, que executa as principais funções do código malicioso. Para ser executado no sistema alvo, o código malicioso deve ser baixado pela vítima e executado via WSL. Os pesquisadores de segurança não parecem saber qual método específico o atacante usou para executar o arquivo ELF na WSL.

VirusTotal acena o código malicioso através

Por um lado, a ameaça do malware WSL é até agora muito limitada porque o código malicioso real não faz coisas particularmente maliciosas até agora e porque as instalações WSL só estão ativas em um pequeno número de sistemas Windows, principalmente por desenvolvedores e entusiastas da tecnologia. Por outro lado, é preocupante que o código malicioso descrito pela Lumen só tenha sido detectado por um dos mais de 70 scanners de vírus do VirusTotal quando foi descoberto. Uma das versões do malware não foi sequer desmascarada por nenhum dos scanners. Isto indica claramente que os fabricantes de anti-vírus quase não tinham ou não tinham este tipo de malware em seu radar.

O vetor de ataque não é mais uma teoria

O primeiro aparecimento de malware WSL na natureza é significativo acima de tudo porque este tipo de ameaça era anteriormente pura teoria – o que provavelmente também explica a baixa taxa de detecção do código malicioso por programas antivírus. Já em 2017, a empresa de segurança Checkpoint havia encontrado uma maneira de atacar o Windows através da WSL. Na época, porém, a Checkpoint havia dramatizado muito o risco de tais ataques – o cenário de ataque era puramente teórico e a avaliação da Checkpoint sobre os sistemas em risco era exagerada. No final, foram necessários quatro anos para que aparecesse o código malicioso que utilizava este vetor de ataque. Mesmo neste ponto, não há motivo para pânico. Entretanto, os fabricantes de AV e administradores de sistemas nos quais a WSL é ativada devem estar cientes de agora em diante que tais ataques definitivamente não são mais uma teoria e que provavelmente teremos que contar com malware mais perigoso atacando computadores Windows através dos desvios da WSL no futuro.

Afinal, em alguns cenários pode ser tacticamente sensato que os atacantes ataquem os sistemas Windows com malware Linux. Se uma organização só tem máquinas Windows em uso, é bem possível que seu departamento de segurança não veja o malware Linux como uma ameaça. E mesmo que apenas um administrador tenha instalado WSL em seu computador por razões de hobby, isto pode ser suficiente para comprometer toda a organização se este administrador tiver direitos de longo alcance na rede. Não é sem razão que os computadores administrativos são geralmente a primeira prioridade dos atacantes durante o movimento lateral através da rede alvo – eles são geralmente uma mina de ouro para senhas, certificados e chaves criptográficas.