Bashware: техника, которая позволяет вредоносным программам обходить безопасность

Каждый раз мы обнаруживаем все более изощренное вредоносное ПО, которое во многих случаях выходит за рамки контроля безопасности. Отчасти это благодаря технике под названием Bashware. Этот метод позволяет вредоносным программам использовать функцию Windows 10, называемую Subsystem for Linux (WSL), и, таким образом, предотвращает установку на компьютер программного обеспечения безопасности.

Bashware: техника, которая позволяет вредоносным программам обходить безопасность

Этот WSL работает с командами Bash, которые пользователи вводят в CLI. Таким образом, они делают команды оболочки своими аналогами Windows. Данные обрабатываются в ядре Windows и отправляется ответ. И интерфейс командной строки Bash, и файл Linux.

Посуда активна с 2016 года

Bash был разработан Microsoft в свое время с мыслью, что пользователи Linux увидят, как легко использовать ее в Windows 10. Функция WSL разрабатывается с 2016 года. Хотя Microsoft уже объявила о выпуске стабильной версии. с Windows 10 Fall Creators Update. Если мы сосредоточимся именно на Bashware, то это метод, который позволяет вам использовать секретную оболочку Linux в Windows 10. Таким образом, вредоносные операции скрыты.

Исследователи говорят, что текущий антивирус не обнаруживает эти операции. Потому что им не хватает поддержки процессов Пико. Хотя, к счастью, Bashware не является надежным методом. Главным образом потому, что это требует прав администратора. Тем вредоносным программам, которые достигают Windows 10, необходим доступ на уровне администрирования. Только тогда они могут включить функцию WSL. Функция, которая отключена по умолчанию.

Проблема в том, что поверхность атаки Windows имеет много недостатков EoP. Так что не так уж сложно получить права администратора. И когда злоумышленник преуспевает, он может перевести Windows 10 в режим разработчика. Так что опасность Bashware реальна.