パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Windows Subsystem for Linuxをターゲットにしたマルウェア」記事へのコメント

  • by Anonymous Coward

    ローカル権限でマルウェアぽい挙動を再現できました
    というだけですので
    侵入経路がやすくないと脅威度はほぼありません
    なによりWSLを有効にしているのは逸般人しかいません

    メール添付ファイルやHTMLメールでは
    今までと同じ脅威度で対応可能

    ブラウザからのドライブバイ ダウンロード等へは
    今までと同じ脅威度で対応可能

    共有フォルダやドライブへの感染ファイルや自動実行ファイルへは
    今までと同じ脅威度で対応可能

    これらの基本を押さえてている逸般人なら問題ないかと

    WSLを外部公開しろという無茶な業務命令下にある逸般人の方では
    WSLでのFail2Ban等を実用化できるように努める必要はありそうですが

    • Re: (スコア:3, 参考になる)

      by Anonymous Coward

      > 侵入経路がやすくないと脅威度はほぼありません

      ってのは大間違いですよ

      元記事はタイトルからして「Theory confirmed: Lumen Black Lotus Labs discovers Linux executable files have been deployed as stealth Windows loaders」で

      > 今までと同じ脅威度で対応可能

      が間違いだと指摘する内容になっています

      大雑把に内容を解説すると
      - 今までのWindowsはELF形式のファイルを実行できなかった。だから現時点でウイルス対策ソフトなどはELF形式のファイルをチェックしていない
      - 今後のWindowsはELF形式のフ

      • by Anonymous Coward

        手っ取り早い対策としてはLinux(と将来に向けてAndroid)向けのエージェントのエンジン/シグネチャをWindowsエージェントに組み込むしかないんだろうけど、
        Sophos/Norton/Kaspersky/Trendmicro(!)は比較的早そうだけど、他はサーバー向けのものをどう移植するかで結構時間かかりそう。
        一番厄介なのはMcAfeeで、Windows側は自分でエンジン作るのやめちゃったから連携が大変だと思う。

        • by Anonymous Coward

          実行ファイルをそうと認識して挙動を分析する系統の機能は働かないだろうけど、
          ファイル内のパターンマッチは今でも余裕で出来てるからそっちでしのぐんじゃね

          • by Anonymous Coward on 2021年09月21日 15時37分 (#4116659)

            今どきは攻撃側は攻撃手段を使い捨てにしてるから、パターンマッチは意味がないとは言わないけどあまり防御機構としては有効ではなくなってる。
            (ただ、アンダーグラウンド市場に広く出回っている奴や時間差狙いに対しては依然として有効ではあるので、多層防御としては間近ってない。)
            ウイルスチェックプログラム提供側もパターンマッチについてはTraditional functionといっているレベル。
            なので、挙動監査が必要になるんだけど、WSLの仕組み上従来のWindows側だけだときついので、どうしましょうね?ってのが今の段階。
            WSL自体が次期バージョンではサイレントインストールできそうな環境が整うので、結構厄介。

            親コメント
            • by Anonymous Coward

              つってもホントの使い捨て攻撃プログラムって挙動監査で引っかかるんかね?
              ランサムウェア位激しい動作するプログラムなら比較的楽に挙動検知で引っ掛けられそうなものなんだけど、
              ランサムウェアの実行を検知・ブロックするってそれ単体でウリ文句なる臭いし、
              そうするとそこまでのウリがない挙動監視系のやつって実際の所何をどこまで見ているのやら。

              ちょっとアレな挙動するプログラムとかたまーに書くけど、
              パターンマッチの誤爆位しか食らったこと無いのよな……
              ヒット位置を絞り込んでいくとFreeTypeの一部っぽかったり、
              MSVCの標準ライブラリの一部(DLL用スタティック

192.168.0.1は、私が使っている IPアドレスですので勝手に使わないでください --- ある通りすがり

処理中...