Lumen Technologies の Black Lotus Labs は 16 日、Windows Subsystem for Linux (WSL) をターゲットとするマルウェアが複数見つかったことを発表した (プレスリリース、 Lumen のブログ記事、 The Register の記事)。

一連のマルウェアは主に Python 3 で書かれ、PyInstaller で Linux の ELF (Executable and Linkable Format) バイナリに変換されている。サンプルの中には MSFVenom や Meterpreter で生成した軽量ペイロードを含むものや、リモートサーバーからシェルコードのダウンロードを試みるものがあったという。初期のサンプルでは純粋に Python 3 のみで書かれていたが、最新のサンプルでは ctypes を用いて Windows API を呼び出すものや、PowerShell スクリプトをホストマシン上で実行するようなものに進化しているそうだ。

Windows 向けのエンドポイントエージェントは ELF ファイルを分析するシグネチャを持っていないとみられ、VirusTotal での各サンプル検知率は非常に低い。一方、同様の機能を持つ WSL 向けでないマルウェアはよく検知されているとのこと。

すべて読む | Linuxセクション | Linux | Debian | セキュリティ | Windows | Python |

関連ストーリー：
Windows 10 Insider Preview ビルド21376、WSLのLinux GUIアプリサポートで発生していた問題を解決 2021年05月08日
Windows 10 Insider PreviewのLinux GUIアプリ実行サポート、現時点ではHaswell世代以降のCPUが必要 2021年04月29日
ESR曰く、WindowsはそのうちLinuxカーネルになる 2020年09月30日
Microsoft、WSL 2をWindows 10バージョン1903/1909にバックポート 2020年08月24日
Windows 10　Build 20150、WSL上でCUDAが利用可能に 2020年06月26日
Windows 10 Insider Preview ビルド19603、エクスプローラーにLinuxアイコンが追加される 2020年04月11日
WSL 2のLinuxカーネル、Windows Update経由での配布に変更へ 2020年03月20日
Microsoft、技術イベント「Build 2019」でさまざまな発表を行う 2019年05月07日
Windows 10上での実行に特化したLinuxディストリビューション「WLinux」 2018年09月27日
Windows 10 Insider Preview、AF_UNIXソケットによるWSLアプリとWin32アプリの相互通信が可能に 2018年02月11日
WindowsストアでLinuxが提供されてもWindows 10 Sでは使用できない 2017年05月24日
Windows 10のLinuxサブシステムは新たな攻撃経路となるか 2016年08月09日
Windows 10 Insider Preview ビルド14316、Bashが利用可能に 2016年04月09日
Canonical、仮想化ではない「Ubuntu on Windows」を発表 2016年04月01日