セキュリティ企業のBlack Lotus Labsが2021年9月16日にWindows上でLinuxを使用できるWindows Subsystem for Linux(WSL)を利用して動作するマルウェアを発見しました。このマルウェアはウイルス対策等のセキュリティソフトウェアによる検出を困難にしてしまう特徴があるとのことです。
WSLといえば、仮想マシン(VM)と異なり、内部的に別のOSを起動することなく、Linux上で使用できるコマンドやツール類を使用できる方法として、2016年の「Windows 10 Anniversary Update」から導入されました。当初はMicrosoftが独自開発したLinuxカーネル互換のソフトウェア上で動作していましたが、2019年のWSL2からは本家本元のLinuxカーネルで動作する仕組みに改善されています。
本来であれば、Linuxネイティブで動くようになることで、多くのコマンドがユーザーの想定通りの動作が予期されるようになるため、通常であれば歓迎すべきことです。しかし、Black Lotus Labsが発見したWSL用のマルウェアは標的となるPCを「誰にも検知されずに攻撃する」ために使用されていたとのことです。
同社の技術者によると、「このマルウェアは一般的なLinuxディストリビューションとして知られるDebianやその派生版であるUbuntu等で動作するように設計されたELF(Executable and Linkable Format)ファイルを介して配布されている」ようで、これらのファイルはWSL上に直接設置されたり、遠隔地から送り込まれるケースもあるとしています。これらのELFファイルには主に2種類あり「LinuxとWindowsの標準ライブラリを使用するもの」「PowerShellを使ってWindows API」が存在します。
画像: Flickr(osde8info)
Black Lotus Labsのセキュリティ技術者は「今回発見されたマルウェアの手法は感染したPC上では『検知しづらい』ため、攻撃者にとっては『安全に』活動することが可能になります」と語っており、実際に70を超えるセキュリティソフトで検知を試みた同社の実験では「検出率は0%か1%程度」であることが確認されたそうです。
同社は今回の脆弱性情報を公開した理由ついて「今回発見したマルウェアの例はWSLを悪用しようとする攻撃者の例を示しています。私達が今回の独特な手法を明らかにすることで、マルウェアによる被害が拡大する前にセキュリティソフトでの検知が可能な対策が取られることを期待しています」と語り、今後のセキュリティ被害の拡大を防ぐ目的があると説明しています。