WSLにも来ています
WSL使っていますか?
WSLはWindows Subsystem for Linuxです。
Windows環境でLinuxのアプリケーションをそのまま使うことができます。
このWSLを前提としたマルウェアが増えてきています。
最近確認されているものにはこういったものがあります。
- RAT-via-Telegram Botベースのマルウェア
RAT-via-Telegram BotはGitHubで公開されています。
公開されているソースコードを使うだけですでに高機能です。
しかもPythonで書かれているので拡張も多くのコードを自分で記述することなく実現できるかもしれません。
使い方のビデオも公開されています。
GoogleChromeおよびOperaWebブラウザーから認証Cookieを盗んだり、コマンドを実行したり、ファイルをダウンロードしたりすることができます。 - リバースシェルを実現するマルウェア
被害者コンピュータは攻撃者コンピュータの特定ポートに対して接続を確立します。
リバースシェルです。
大きな話題となったマルウェアはこのジャンルではまだないかもしれませんが、少しずつ実装や実証が進んでいる感じがします。
前述の2つの例においてもすでにスパイ用としては十分な機能を搭載していますし、追加ファイルのダウンロード機能も搭載していますので、すぐにメインの悪用ツールとして使うこともできそうです。
WSLはWindows10以降のWindowsで利用することのできる機能です。
リリースされた当初は少し面倒な手順で利用開始の儀式を実施する必要がありました。
しかしWindows 10 May 2020 Update以降になってからはコマンド1つで環境準備が整うものとなりました。
そうです、あなた自身が意識しなうちにいつのまにかあなたのWindowsではWSLが利用されているかもしれません。
「WSLなんて知らないし私は使っていないから関係ない」とか言えるでしょうか。
便利になっていくことはよいことです。
一方で便利さとともにやるべきことも増えていく感じがします。
参考記事(外部リンク):New Windows Subsystem for Linux malware steals browser auth
cookies
www.bleepingcomputer.com/news/security/new-windows-subsystem-for-linux-malware-steals-browser-auth-cookies/
