Lumen Black Lotus Labsのセキュリティ研究者は9月16日(現地時間)、「No Longer Just Theory: Black Lotus Labs Uncovers Linux Executables Deployed as Stealth Windows Loaders」において、Windows Subsystem for Linux(WSL)を悪用する新しいタイプのマルウェアが発見されたことを報告した。

このマルウェアはWSLの仕組みを悪用することで、自身の存在がアンチウイルス・ソフトウェアに検出されることを回避するという。これまでも理論上は可能と言われてきた手法だが、実際に悪用が確認されたのはこれが初めてとのこと。

Linuxなどで利用されている実行ファイルは「Executable and Linkable Format(ELF)」と呼ばれる形式であり、通常はWindows上では動作しないが、WSLを使えばWindows上でも実行することが可能となる。Black Lotus Labsの研究者によって発見されたのは、主にPythonで記述され、Debian用のELFとしてコンパイルされたバイナリ形式の実行ファイルである。このELFファイルは後続のペイロードを実行するためのローダーとして機能し、サンプル内に埋め込まれたコードや、リモートから取得した悪意のあるファイルを、Windows API呼び出しを使用して実行中のプロセスに挿入するという。

取り立てて目新しいとは言えない手法だが、ほとんどのWindows向けのアンチウイルス・ソフトウェアがELFファイルの検出をサポートしていないために、これらの悪意を持ったELFファイルのVirusTotalでの検出率は非常に低かったとのことだ。同様の機能を持つ非WSLのマルウェアであれば、一般的なアンチウイルス・ソフトウェアでも高頻度に検出されているという。

Black Lotus Labsのレポートでは、この新しいマルウェアによる攻撃手法の詳細が解説されている。レポートは、「WSLを有効にした防御側は、このタイプの攻撃技術を検出するために適切なロギングを確保することを推奨する」と締めくくられている。

  • No Longer Just Theory: Black Lotus Labs Uncovers Linux Executables Deployed as Stealth Windows Loaders

    No Longer Just Theory: Black Lotus Labs Uncovers Linux Executables Deployed as Stealth Windows Loaders