Trovato un malware su Windows nascosto… in Linux?
Questo strano strano mondo dell’informatica continua a stupirci. Dall’amore di Microsoft per tutto quello che è open-source fino alla pubblicazione di Edge su Linux, questi due mondi -un tempo agli antipodi e con grandi faide tra i loro utilizzatori- si stanno mischiando sempre di più.
Ma bisogna stare attenti a mischiare le cose, soprattutto quando tra i due ambienti conviventi non si riesce ad avere il controllo al 100%.
E’ il caso di quanto scoperto in questi giorni da Black Lotus Labs, che studiando una serie di casi ha portato alla luce quello che si pensava fosse solo teoria fino ad adesso, ovvero un nuovo malware per Windows sotto forma di eseguibile Linux.
Sfruttando l’oramai famoso Windows Subsystem for Linux, il sistema dell’azienda di Redmond lanciato nel 2016 e revisionato in WSL2 nel 2019 e che ha portato un kernel Linux dentro il famoso sistema WIndows, questo malware viene distribuito in formato ELF (Executable and Linkable Format) ed è pensato per girare sotto Debian e derivate. Considerando che forse la principale distribuzione utilizzata in WSL2 è Ubuntu, il cerchio si chiude.
Sono state trovate diverse varianti di questo malware, da una scritta in Python e che potenzialmente attacca sia Windows che Linux, ad uno che utilizza la PowerShell per interagire con le API di Windows. Inoltre il metodo di propagazione del payload (ovvero il codice dell’attacco vero e proprio dentro al malware) è differente, avendo trovato eseguibili che lo contengono direttamente ed altri che lo scaricano remotamente. Insomma, seppur la struttura del malware sia la medesima, è decisamente poliedrico come vettore di attacco.
To our knowledge, this small set of samples denotes the first instance of an actor abusing WSL to install subsequent payloads […] We hope that by illuminating this distinct tradecraft, we can help drive better detection and alerting before its use becomes more rampant.
Da quel che sappiamo, questo piccolo gruppo di esempi denotano la prima istanza di un attore che abusa di WSL per installare dei payload […] Speriamo che mettendo alla luce questo trend, possiamo aiutare a migliorare i sistemi di rilevamento ed allarme prima che il suo uso diventi più diffuso.
Già perchè questo veicolo di trasmissione è stato scelto proprio perchè, trovandosi in un substrato del sistema Windows, questo non viene al momento rilevato dai vari sistemi antivirus normalmente utilizzati su Windows.
La Black Lotus Labs consiglia al momento di abilitare e tenere sott’occhio il sistema WSL, se lo avete installato, per controllare attività sospette. Nell’attesa che anche questo nuovo veicolo di attacco venga rilevato.
Utente Linux/Unix da più di 20 anni, cerco sempre di condividere il mio know-how; occasionalmente, litigo con lo sviluppatore di Postfix e risolvo piccoli bug in GNOME. Adoro tutto ciò che può essere automatizzato e reso dinamico, l’HA e l’universo container. Autore dal 2011, provo a condividere quei piccoli tips&tricks che migliorano il lavoro e la giornata.
Fonte: https://www.miamammausalinux.org/2021/09/trovato-un-malware-su-windows-nascosto-in-linux/
Se vuoi sostenerci, puoi farlo acquistando qualsiasi cosa dai diversi link di affiliazione che abbiamo nel nostro sito o partendo da qui oppure alcune di queste distribuzioni GNU/Linux che sono disponibili sul nostro negozio online, quelle mancanti possono essere comunque richieste, e su cui trovi anche PC, NAS e il ns ServerOne. Se ti senti generoso, puoi anche donarmi solo 1€ o più se vuoi con PayPal e aiutarmi a continuare a pubblicare più contenuti come questo. Grazie!
Hai dubbi o problemi? Ti aiutiamo noi!
Se vuoi rimanere sempre aggiornato, iscriviti al nostro canale Telegram.Se vuoi ricevere supporto per qualsiasi dubbio o problema, iscriviti alla nostra community Facebook o gruppo Telegram.
Cosa ne pensi? Fateci sapere i vostri pensieri nei commenti qui sotto.
Ti piace quello che leggi? Per favore condividilo con gli altri.
