Windows Subsystem for Linuxをターゲットにしたマルウェア

Lumen Technologies の Black Lotus Labs は 16 日、Windows Subsystem for Linux (WSL) をターゲットとするマルウェアが複数見つかったことを発表した (プレスリリース、 Lumen のブログ記事、 The Register の記事)。

一連のマルウェアは主に Python 3 で書かれ、PyInstaller で Linux の ELF (Executable and Linkable Format) バイナリに変換されている。サンプルの中には MSFVenom や Meterpreter で生成した軽量ペイロードを含むものや、リモートサーバーからシェルコードのダウンロードを試みるものがあったという。初期のサンプルでは純粋に Python 3 のみで書かれていたが、最新のサンプルでは ctypes を用いて Windows API を呼び出すものや、PowerShell スクリプトをホストマシン上で実行するようなものに進化しているそうだ。

Windows 向けのエンドポイントエージェントは ELF ファイルを分析するシグネチャを持っていないとみられ、VirusTotal での各サンプル検知率は非常に低い。一方、同様の機能を持つ WSL 向けでないマルウェアはよく検知されているとのこと。　

スラドのコメントを読む | Linuxセクション | Linux | Debian | セキュリティ | Windows | Python

　関連ストーリー：
Windows 10 Insider Preview ビルド21376、WSLのLinux GUIアプリサポートで発生していた問題を解決 2021年05月08日
Windows 10 Insider PreviewのLinux GUIアプリ実行サポート、現時点ではHaswell世代以降のCPUが必要 2021年04月29日
ESR曰く、WindowsはそのうちLinuxカーネルになる 2020年09月30日