Windows Subsystem for Linuxを利用した新種のマルウェアが見つかる

Hacker

セキュリティ研修が、Windows 10上でLinuxを実行することができる「Windows Subsystem for Linux(WSL)」を利用してシステムを密かに攻撃する新種のマルウェアを発見したことがわかりました(BetaNews)。

マルウェアは悪意のあるLinuxバイナリを使用し、これまで理論上は可能であるものの確認されていなかった手法を用いて攻撃を行います。発見者であるBlack Lotus Labs社の研究者は「WSLを悪用して後続のペイロードをインストールする行為の最初の例」と説明しています。

主にPythonで書かれ、Debian OS用のLinuxバイナリフォーマットELF(Executable and Linkable Format)でコンパイルされた複数の悪意のあるファイルが確認されており、このファイルがリモートサーバーから取得したペイロードを実行するローダーとして機能し、WindowsのAPIコールを使って実行中のプロセスにマルウェアを注入します。

These files acted as loaders running a payload that was either embedded within the sample or retrieved from a remote server and was then injected into a running process using Windows API calls. While this approach was not particularly sophisticated, the novelty of using an ELF loader designed for the WSL environment gave the technique a detection rate of one or zero in Virus Total, depending on the sample, as of the time of this writing.

手法は特に洗練されていないものの、WSL環境用に設計されたELFローダーを使用するという目新しさが注目されています。マルウェアのバリエーションは2つ存在し、1つ目は純粋なPythonを使用したもので、2つ目はPythonからctypesを使用して様々なWindows APIを呼び出し、PowerShellスクリプトを起動するものだそうです。

Windows Subsystem for Linuxを使用することでユーザーが発見しづらく、Windows用のセキュリティソフトウェアが検出しづらい可能性があるとセキュリティ研究者は指摘しています。