Windows Subsystem for Linuxをターゲットにしたマルウェア 16
ストーリー by headless
発見 部門より
発見 部門より
Lumen Technologies の Black Lotus Labs は 16 日、Windows Subsystem for Linux (WSL) をターゲットとするマルウェアが複数見つかったことを発表した (プレスリリース、 Lumen のブログ記事、 The Register の記事)。
一連のマルウェアは主に Python 3 で書かれ、PyInstaller で Linux の ELF (Executable and Linkable Format) バイナリに変換されている。サンプルの中には MSFVenom や Meterpreter で生成した軽量ペイロードを含むものや、リモートサーバーからシェルコードのダウンロードを試みるものがあったという。初期のサンプルでは純粋に Python 3 のみで書かれていたが、最新のサンプルでは ctypes を用いて Windows API を呼び出すものや、PowerShell スクリプトをホストマシン上で実行するようなものに進化しているそうだ。
Windows 向けのエンドポイントエージェントは ELF ファイルを分析するシグネチャを持っていないとみられ、VirusTotal での各サンプル検知率は非常に低い。一方、同様の機能を持つ WSL 向けでないマルウェアはよく検知されているとのこと。
一連のマルウェアは主に Python 3 で書かれ、PyInstaller で Linux の ELF (Executable and Linkable Format) バイナリに変換されている。サンプルの中には MSFVenom や Meterpreter で生成した軽量ペイロードを含むものや、リモートサーバーからシェルコードのダウンロードを試みるものがあったという。初期のサンプルでは純粋に Python 3 のみで書かれていたが、最新のサンプルでは ctypes を用いて Windows API を呼び出すものや、PowerShell スクリプトをホストマシン上で実行するようなものに進化しているそうだ。
Windows 向けのエンドポイントエージェントは ELF ファイルを分析するシグネチャを持っていないとみられ、VirusTotal での各サンプル検知率は非常に低い。一方、同様の機能を持つ WSL 向けでないマルウェアはよく検知されているとのこと。
脅威度はまだ低い (スコア:1)
ローカル権限でマルウェアぽい挙動を再現できました
というだけですので
侵入経路がやすくないと脅威度はほぼありません
なによりWSLを有効にしているのは逸般人しかいません
メール添付ファイルやHTMLメールでは
今までと同じ脅威度で対応可能
ブラウザからのドライブバイ ダウンロード等へは
今までと同じ脅威度で対応可能
共有フォルダやドライブへの感染ファイルや自動実行ファイルへは
今までと同じ脅威度で対応可能
これらの基本を押さえてている逸般人なら問題ないかと
WSLを外部公開しろという無茶な業務命令下にある逸般人の方では
WSLでのFail2Ban等を実用化できるように努める必要はありそうですが
Re:脅威度はまだ低い (スコア:3, 参考になる)
> 侵入経路がやすくないと脅威度はほぼありません
ってのは大間違いですよ
元記事はタイトルからして「Theory confirmed: Lumen Black Lotus Labs discovers Linux executable files have been deployed as stealth Windows loaders」で
> 今までと同じ脅威度で対応可能
が間違いだと指摘する内容になっています
大雑把に内容を解説すると
- 今までのWindowsはELF形式のファイルを実行できなかった。だから現時点でウイルス対策ソフトなどはELF形式のファイルをチェックしていない
- 今後のWindowsはELF形式のファイルも実行できる。
- つまり現時点ではマルウェアであってもELF形式ならチェックなしで実行される
- 実際に攻撃に成功した
というものです
ですから「今までと同じ脅威度で対応可能」は大間違いです。ELF形式のファイルに対するチェック機能が実装されるまでは様々なリスクがあります
Re: (スコア:0)
Windows 12 の頃には Windfowsfx 上で Windows のエミュレータを載せてそう。古今東西、あらゆるマルウェアを実行できそうで楽しみ^H^H^H警戒が必要。
Re: (スコア:0)
手っ取り早い対策としてはLinux(と将来に向けてAndroid)向けのエージェントのエンジン/シグネチャをWindowsエージェントに組み込むしかないんだろうけど、
Sophos/Norton/Kaspersky/Trendmicro(!)は比較的早そうだけど、他はサーバー向けのものをどう移植するかで結構時間かかりそう。
一番厄介なのはMcAfeeで、Windows側は自分でエンジン作るのやめちゃったから連携が大変だと思う。
Re: (スコア:0)
実行ファイルをそうと認識して挙動を分析する系統の機能は働かないだろうけど、
ファイル内のパターンマッチは今でも余裕で出来てるからそっちでしのぐんじゃね
Re: (スコア:0)
今どきは攻撃側は攻撃手段を使い捨てにしてるから、パターンマッチは意味がないとは言わないけどあまり防御機構としては有効ではなくなってる。
(ただ、アンダーグラウンド市場に広く出回っている奴や時間差狙いに対しては依然として有効ではあるので、多層防御としては間近ってない。)
ウイルスチェックプログラム提供側もパターンマッチについてはTraditional functionといっているレベル。
なので、挙動監査が必要になるんだけど、WSLの仕組み上従来のWindows側だけだときついので、どうしましょうね?ってのが今の段階。
WSL自体が次期バージョンではサイレントインストールできそうな環境が整うので、結構厄介。
Re: (スコア:0)
つってもホントの使い捨て攻撃プログラムって挙動監査で引っかかるんかね?
ランサムウェア位激しい動作するプログラムなら比較的楽に挙動検知で引っ掛けられそうなものなんだけど、
ランサムウェアの実行を検知・ブロックするってそれ単体でウリ文句なる臭いし、
そうするとそこまでのウリがない挙動監視系のやつって実際の所何をどこまで見ているのやら。
ちょっとアレな挙動するプログラムとかたまーに書くけど、
パターンマッチの誤爆位しか食らったこと無いのよな……
ヒット位置を絞り込んでいくとFreeTypeの一部っぽかったり、
MSVCの標準ライブラリの一部(DLL用スタティック
Re: (スコア:0)
大雑把に内容を解説すると
- 今までのWindowsはELF形式のファイルを実行できなかった。だから現時点でウイルス対策ソフトなどはELF形式のファイルをチェックしていない
- 今後のWindowsはELF形式のファイルも実行できる。
- つまり現時点ではマルウェアであってもELF形式ならチェックなしで実行される
- 実際に攻撃に成功した
というものです
いやWindowsというOST上でLinuxというOSを実行しているのだから
Linux側にセキュリティ対策必要ってのは逸般人の嗜みの内なんじゃないかなぁ
- WSLはあまねく一般人が利用する
- WSLは上ノーガード
って前提で有ることの方に驚きを禁じえないのだけれども
その前提であればおっしゃるとおりでございます
# 逸般人が自力セキュアに使うのがLinux普及の一貫です みたいな
Re: (スコア:0)
- WSLはあまねく一般人が利用する
- WSLは上ノーガード
今後自分が意図した設定になっているかにかかわらず、そのような環境になってしまう可能性は十分にありうる。
例としては、攻撃の一段目として他の脆弱性を用いてスクリプトでWSLをインストールしてしまうこともできる。
そのあとは今のままだとやりたい放題だいね。
Re: (スコア:0)
> 攻撃の一段目として他の脆弱性を用いてスクリプトでWSLをインストール
WSLをインストールできるということはすでに管理者権限を持っているわけですが、何のためにそんな回りくどいことしなきゃならないんですかね
Re: (スコア:0)
要するにLinuxのセキュリティホール
これだから (スコア:1)
Perl にしておけって、口をすっぱくして言ってきたのに...。
Re: (スコア:0)
そっちか!
感動した (スコア:0)
PyInstallerでそんな複雑なことができるなんて
エンドポイントエージェント (スコア:0)
ってゲストOS上にゲストOS用のエージェント乗せる訳じゃないんだ
Re: (スコア:0)
Linux民はバイナリ提供を嫌がるし渡すとバラしてネットに上げるから…