Questo strano strano mondo dell’informatica continua a stupirci. Dall’amore di Microsoft per tutto quello che è open-source fino alla pubblicazione di Edge su Linux, questi due mondi -un tempo agli antipodi e con grandi faide tra i loro utilizzatori- si stanno mischiando sempre di più.
Ma bisogna stare attenti a mischiare le cose, soprattutto quando tra i due ambienti conviventi non si riesce ad avere il controllo al 100%.
E’ il caso di quanto scoperto in questi giorni da Black Lotus Labs, che studiando una serie di casi ha portato alla luce quello che si pensava fosse solo teoria fino ad adesso, ovvero un nuovo malware per Windows sottoforma di eseguibile Linux.
Sfruttando l’oramai famoso Windows Subsystem for Linux, il sistema dell’azienda di Redmond lanciato nel 2016 e revisionato in WSL2 nel 2019 e che ha portato un kernel Linux dentro il famoso sistema WIndows, questo malware viene distribuito in formato ELF (Executable and Linkable Format) ed è pensato per girare sotto Debian e derivate. Considerando che forse la principale distribuzione utilizzata in WSL2 è Ubuntu, il cerchio si chiude.
Sono state trovate diverse varianti di questo malware, da una scritta in Python e che potenzialmente attacca sia Windows che Linux, ad uno che utilizza la PowerShell per interagire con le API di Windows. Inoltre il metodo di propagazione del payload (ovvero il codice dell’attacco vero e proprio dentro al malware) è differente, avendo trovato eseguibili che lo contengono direttamente ed altri che lo scaricano remotamente. Insomma, seppur la struttura del malware sia la medesima, è decisamente poliedrico come vettore di attacco.
To our knowledge, this small set of samples denotes the first instance of an actor abusing WSL to install subsequent payloads […] We hope that by illuminating this distinct tradecraft, we can help drive better detection and alerting before its use becomes more rampant.
Da quel che sappiamo, questo piccolo gruppo di esempi denotano la prima istanza di un attore che abusa di WSL per installare dei payload […] Speriamo che mettendo alla luce questo trend, possiamo aiutare a migliorare i sistemi di rilevamento ed allarme prima che il suo uso diventi più diffuso.
Già perchè questo veicolo di trasmissione è stato scelto proprio perchè, trovandosi in un substrato del sistema Windows, questo non viene al momento rilevato dai vari sistemi antivirus normalmente utilizzati su Windows.
La Black Lotus Labs consiglia al momento di abilitare e tenere sott’occhio il sistema WSL, se lo avete installato, per controllare attività sospette. Nell’attesa che anche questo nuovo veicolo di attacco venga rilevato.
Utente Linux/Unix da più di 20 anni, cerco sempre di condividere il mio know-how; occasionalmente, litigo con lo sviluppatore di Postfix e risolvo piccoli bug in GNOME. Adoro tutto ciò che può essere automatizzato e reso dinamico, l’HA e l’universo container. Autore dal 2011, provo a condividere quei piccoli tips&tricks che migliorano il lavoro e la giornata.
Lascia un commento