Un nouveau malware s’appuie sur Windows Subsystem for Linux

Des chercheurs en sécurité ont découvert un nouveau malware basé sur Linux et créé pour s'appuyer sur Windows Subsystem for Linux, le composant de Windows qui permet d'utiliser Linux sur Windows.

Les pirates cherchent à trouver une façon d'infecter une machine tout en restant furtif, dans le but de ne pas être détecté par les solutions antivirus. Visiblement, il s'intéresse de près à Windows Subsytem for Linux (WSL) puisque de premiers essais ont été détectés. En regardant les analyses sur le site VirusTotal, on peut voir effectivement que le virus passe entre les mailles du filet, pour le moment.

Ces premiers essais remontent au mois de mai dernier, et depuis, de nouveaux essais sont effectués toutes les deux ou trois semaines. Cela prouve que les pirates travaillent activement sur le sujet.

Le fichier malveillant qui cherche à s'appuyer sur WSL contient lui-même la souche malveillante, ou alors il la récupère depuis un serveur distant, d'après les chercheurs de chez Lumen. D'après eux, l'étape d'après serait d'injecter le malware dans un processus en cours d'exécution par l'intermédiaire d'un appel sur l'API Windows.

Ce fichier malveillant s'appuie sur Python 3 et il se présente sous la forme d'un exécutable ELF pour Debian. La majorité des solutions de sécurité pour Windows n'ont pas de signatures pour les fichiers au format ELF car ils ne sont pas communs sous Windows. Une variante basée à la fois sur PowerShell et Python a également été repérée et celle-ci serait capable de désactiver la solution antivirus de manière permanente grâce à un script qui tourne toutes les 20 secondes.

L'utilisation de WSL sur une machine Windows représente une porte d'entrée supplémentaire pour les attaques et de nouvelles possibilités, et ça les pirates l'ont bien compris. Néanmoins, WSL reste un système très intéressant et très pratique que j'adore personnellement.

Pour rappel, vous pouvez retrouver sur le site une série de 10 articles au sujet de l'utilisation de WSL sous Windows.

Source

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian BURNEL

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

Nombre de posts de cet auteur : 5470.Voir tous les posts

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.