Bashware: техніка, яка дозволяє захистити шкідливі програми безпекою

Кожного разу ми знаходимо все складніші зловмисні програми, які в багатьох випадках уникають усіх засобів безпеки. Частково це завдяки техніці під назвою Bashware. Ця методика дозволяє зловмисним програмам використовувати функцію Windows 10 під назвою Підсистема для Linux (WSL) і, таким чином, запобігає встановленню на комп'ютері програмного забезпечення безпеки.

Bashware: техніка, завдяки якій безпека шкідливого програмного забезпечення обходить

Цей WSL працює з командами Bash, які користувачі вводять у CLI. Таким чином, вони роблять команди оболонки своїми аналогами Windows. Дані обробляються в ядрі Windows і надсилається відповідь. І Bash CLI, і файл Linux.

Bashware активний з 2016 року

Bash був розроблений корпорацією Майкрософт ще в той час, коли користувачі Linux побачили, як легко користуватися в Windows 10. Функція WSL розробляється з 2016 року. Хоча Microsoft вже оголосила про прихід стабільної версії з оновленням для Windows 10 Fall Creators. Якщо ми зосередимось саме на Bashware, це техніка, яка дозволяє використовувати таємну оболонку Linux у Windows 10. Таким чином приховуються шкідливі операції.

Дослідники стверджують, що поточний антивірус не виявляє цих операцій. Тому що їм не вистачає підтримки процесів Піко. Хоча, на щастя, Bashware - це не дурний метод. Переважно тому, що для цього потрібні дозволи адміністратора. Тим зловмисним програмам, які охоплюють Windows 10, потрібен доступ для адміністративного рівня. Тільки тоді вони можуть увімкнути функцію WSL. Функція, відключена за замовчуванням.

Проблема полягає в тому, що поверхня атаки Windows має багато недоліків EoP. Отож отримати права доступу адміністратора не надто складно. А коли зловмиснику вдасться, він може перевести Windows 10 в режим розробника. Тож небезпека Bashware реальна.