Linux-Malware bedroht Windows | heise online

Published by hyph on


Security-Spezialisten der US-amerikanischen Telekommunikationsfirma Lumen Technologies haben in den letzten sechs Monaten rund 100 Beispiele für Schadcode entdeckt und untersucht, der das Windows Subsystem for Linux (WSL) nutzt, um Windows zu attackieren. Die meiste Malware ist noch nicht sehr ausgereift, sodass sie keinen großen Schaden anrichten kann. Dennoch sehen die Sicherheitsforscher ein erhebliches Risiko.

Seit der Entdeckung erster Linux-Malware in Windows vor einem halben Jahr habe sich die Malware erheblich weiterentwickelt. Damit steige das Risiko, dass über das WSL gefährlicher Schadcode auf Windows-Rechner kommt, für den die meisten Antivirenprogramme derzeit blind sind.

In ihrem Bericht unterscheiden die Security-Forscher zwei Ansätze: eigens für diesen Zweck entwickelte Software (custom modules) sowie Software, die auf Open-Source-Tools aufsetzt. Als Beispiel für ein custom module nennen sie einen in Python geschrieben Keylogger, der Tastaturanschläge und Mausklicks in einer Datei protokolliert und diese per Mail verschickt. Andere Malware lässt sich übers Netz fernsteuern oder lädt Shell- oder Python-Skripte aus dem Internet nach. Teilweise versucht der Schadcode, den nachgeladenen Payload per Autostart oder Registry-Manipulationen auf dem betroffenen Windows-System zu verankern.

Eine Open-Source-basierte Malware setzt auf DiscordRAT auf, einem in Python geschriebenen Remote Administration Tool, das über Discord gesteuert wird und zahlreiche Funktionen wie das Ausführen beliebiger Kommandos, einen Keylogger oder den Up- und Download beliebiger Dateien bietet. Eine ähnliche Software war über Telegram steuerbar. Auch spezialisierte Malware wie ein über Discord steuerbaren Keylogger oder ein Passwort-Dumper war unter den Funden.

Auch wenn derzeit noch keine konkreten Gefahren drohen, raten die Sicherheitsforscher Unternehmen, die das WSL nutzen, zur Vorsicht. Sie empfehlen, mit einer Software wie Sysmon zu überwachen, welche Kommandos über das WSL-Terminal ausgeführt werden. Besonders brisant sei, dass das WSL vor allem von Admins und Entwicklern genutzt wird, die häufig mit erweiterten Rechten im Windows-Netz ausgestattet sind.

Mehr von iX Magazin

Mehr von iX Magazin

Mehr von iX Magazin

Mehr von iX Magazin


(odi)

Zur Startseite

Categories: Uncategorized