パスワードを忘れた? アカウント作成
15424531 story
Debian

Windows Subsystem for Linuxをターゲットにしたマルウェア 16

ストーリー by headless
発見 部門より
Lumen Technologies の Black Lotus Labs は 16 日、Windows Subsystem for Linux (WSL) をターゲットとするマルウェアが複数見つかったことを発表した (プレスリリースLumen のブログ記事The Register の記事)。

一連のマルウェアは主に Python 3 で書かれ、PyInstaller で Linux の ELF (Executable and Linkable Format) バイナリに変換されている。サンプルの中には MSFVenom や Meterpreter で生成した軽量ペイロードを含むものや、リモートサーバーからシェルコードのダウンロードを試みるものがあったという。初期のサンプルでは純粋に Python 3 のみで書かれていたが、最新のサンプルでは ctypes を用いて Windows API を呼び出すものや、PowerShell スクリプトをホストマシン上で実行するようなものに進化しているそうだ。

Windows 向けのエンドポイントエージェントは ELF ファイルを分析するシグネチャを持っていないとみられ、VirusTotal での各サンプル検知率は非常に低い。一方、同様の機能を持つ WSL 向けでないマルウェアはよく検知されているとのこと。
  • by Anonymous Coward on 2021年09月20日 15時45分 (#4116098)

    ローカル権限でマルウェアぽい挙動を再現できました
    というだけですので
    侵入経路がやすくないと脅威度はほぼありません
    なによりWSLを有効にしているのは逸般人しかいません

    メール添付ファイルやHTMLメールでは
    今までと同じ脅威度で対応可能

    ブラウザからのドライブバイ ダウンロード等へは
    今までと同じ脅威度で対応可能

    共有フォルダやドライブへの感染ファイルや自動実行ファイルへは
    今までと同じ脅威度で対応可能

    これらの基本を押さえてている逸般人なら問題ないかと

    WSLを外部公開しろという無茶な業務命令下にある逸般人の方では
    WSLでのFail2Ban等を実用化できるように努める必要はありそうですが

    ここに返信
    • by Anonymous Coward on 2021年09月20日 21時07分 (#4116259)

      > 侵入経路がやすくないと脅威度はほぼありません

      ってのは大間違いですよ

      元記事はタイトルからして「Theory confirmed: Lumen Black Lotus Labs discovers Linux executable files have been deployed as stealth Windows loaders」で

      > 今までと同じ脅威度で対応可能

      が間違いだと指摘する内容になっています

      大雑把に内容を解説すると
      - 今までのWindowsはELF形式のファイルを実行できなかった。だから現時点でウイルス対策ソフトなどはELF形式のファイルをチェックしていない
      - 今後のWindowsはELF形式のファイルも実行できる。
      - つまり現時点ではマルウェアであってもELF形式ならチェックなしで実行される
      - 実際に攻撃に成功した
      というものです

      ですから「今までと同じ脅威度で対応可能」は大間違いです。ELF形式のファイルに対するチェック機能が実装されるまでは様々なリスクがあります

      • by Anonymous Coward

        Windows 12 の頃には Windfowsfx 上で Windows のエミュレータを載せてそう。古今東西、あらゆるマルウェアを実行できそうで楽しみ^H^H^H警戒が必要。

      • by Anonymous Coward

        手っ取り早い対策としてはLinux(と将来に向けてAndroid)向けのエージェントのエンジン/シグネチャをWindowsエージェントに組み込むしかないんだろうけど、
        Sophos/Norton/Kaspersky/Trendmicro(!)は比較的早そうだけど、他はサーバー向けのものをどう移植するかで結構時間かかりそう。
        一番厄介なのはMcAfeeで、Windows側は自分でエンジン作るのやめちゃったから連携が大変だと思う。

        • by Anonymous Coward

          実行ファイルをそうと認識して挙動を分析する系統の機能は働かないだろうけど、
          ファイル内のパターンマッチは今でも余裕で出来てるからそっちでしのぐんじゃね

          • by Anonymous Coward

            今どきは攻撃側は攻撃手段を使い捨てにしてるから、パターンマッチは意味がないとは言わないけどあまり防御機構としては有効ではなくなってる。
            (ただ、アンダーグラウンド市場に広く出回っている奴や時間差狙いに対しては依然として有効ではあるので、多層防御としては間近ってない。)
            ウイルスチェックプログラム提供側もパターンマッチについてはTraditional functionといっているレベル。
            なので、挙動監査が必要になるんだけど、WSLの仕組み上従来のWindows側だけだときついので、どうしましょうね?ってのが今の段階。
            WSL自体が次期バージョンではサイレントインストールできそうな環境が整うので、結構厄介。

            • by Anonymous Coward

              つってもホントの使い捨て攻撃プログラムって挙動監査で引っかかるんかね?
              ランサムウェア位激しい動作するプログラムなら比較的楽に挙動検知で引っ掛けられそうなものなんだけど、
              ランサムウェアの実行を検知・ブロックするってそれ単体でウリ文句なる臭いし、
              そうするとそこまでのウリがない挙動監視系のやつって実際の所何をどこまで見ているのやら。

              ちょっとアレな挙動するプログラムとかたまーに書くけど、
              パターンマッチの誤爆位しか食らったこと無いのよな……
              ヒット位置を絞り込んでいくとFreeTypeの一部っぽかったり、
              MSVCの標準ライブラリの一部(DLL用スタティック

      • by Anonymous Coward

        大雑把に内容を解説すると
        - 今までのWindowsはELF形式のファイルを実行できなかった。だから現時点でウイルス対策ソフトなどはELF形式のファイルをチェックしていない
        - 今後のWindowsはELF形式のファイルも実行できる。
        - つまり現時点ではマルウェアであってもELF形式ならチェックなしで実行される
        - 実際に攻撃に成功した
        というものです

        いやWindowsというOST上でLinuxというOSを実行しているのだから
        Linux側にセキュリティ対策必要ってのは逸般人の嗜みの内なんじゃないかなぁ
        - WSLはあまねく一般人が利用する
        - WSLは上ノーガード
        って前提で有ることの方に驚きを禁じえないのだけれども
        その前提であればおっしゃるとおりでございます

        # 逸般人が自力セキュアに使うのがLinux普及の一貫です みたいな

        • by Anonymous Coward

          - WSLはあまねく一般人が利用する
          - WSLは上ノーガード

          今後自分が意図した設定になっているかにかかわらず、そのような環境になってしまう可能性は十分にありうる。
          例としては、攻撃の一段目として他の脆弱性を用いてスクリプトでWSLをインストールしてしまうこともできる。
          そのあとは今のままだとやりたい放題だいね。

          • by Anonymous Coward

            > 攻撃の一段目として他の脆弱性を用いてスクリプトでWSLをインストール

            WSLをインストールできるということはすでに管理者権限を持っているわけですが、何のためにそんな回りくどいことしなきゃならないんですかね

    • by Anonymous Coward

      要するにLinuxのセキュリティホール

  • by Anonymous Coward on 2021年09月20日 17時34分 (#4116144)

    Perl にしておけって、口をすっぱくして言ってきたのに...。

    ここに返信
  • by Anonymous Coward on 2021年09月20日 13時25分 (#4116052)

    PyInstallerでそんな複雑なことができるなんて

    ここに返信
  • by Anonymous Coward on 2021年09月20日 14時38分 (#4116067)

    ってゲストOS上にゲストOS用のエージェント乗せる訳じゃないんだ

    ここに返信
    • by Anonymous Coward

      Linux民はバイナリ提供を嫌がるし渡すとバラしてネットに上げるから…

typodupeerror

犯人は巨人ファンでA型で眼鏡をかけている -- あるハッカー

読み込み中...