Bashware: kỹ thuật làm cho phần mềm độc hại vượt qua bảo mật

Mỗi lần chúng tôi tìm thấy phần mềm độc hại tinh vi hơn, trong nhiều trường hợp thoát khỏi tất cả các kiểm soát bảo mật. Một phần là nhờ một kỹ thuật gọi là Bashware. Kỹ thuật này cho phép phần mềm độc hại sử dụng một tính năng của Windows 10 được gọi là Hệ thống con cho Linux (WSL) và do đó ngăn phần mềm bảo mật được cài đặt trên máy tính.

Bashware: Kỹ thuật làm cho phần mềm độc hại vượt qua bảo mật

WSL này hoạt động với các lệnh Bash, mà người dùng nhập vào CLI. Theo cách này, họ tạo các lệnh shell cho các đối tác Windows của họ. Dữ liệu được xử lý trong nhân Windows và phản hồi được gửi. Cả Bash CLI và tệp Linux.

Bashware hoạt động từ năm 2016

Bash được Microsoft phát triển vào thời đó với ý tưởng rằng người dùng Linux sẽ thấy việc sử dụng nó dễ dàng như thế nào trong Windows 10. Chức năng WSL đã được phát triển từ năm 2016. Mặc dù Microsoft đã thông báo về sự xuất hiện của phiên bản ổn định với bản cập nhật Windows 10 Fall Creators Update. Nếu chúng tôi tập trung cụ thể vào Bashware, thì đó là một kỹ thuật cho phép bạn sử dụng trình bao Linux bí mật trong Windows 10. Bằng cách này, các hoạt động độc hại được ẩn đi.

Các nhà nghiên cứu nói rằng phần mềm chống vi-rút hiện tại không phát hiện các hoạt động này. Bởi vì họ thiếu hỗ trợ cho các quy trình Pico. Mặc dù may mắn Bashware không phải là một phương pháp hoàn hảo. Chủ yếu là vì nó yêu cầu quyền quản trị viên. Những chương trình độc hại đạt Windows 10 cần quyền truy cập cấp quản trị. Chỉ sau đó họ có thể kích hoạt chức năng WSL. Chức năng bị tắt theo mặc định.

Vấn đề là bề mặt tấn công của Windows có nhiều lỗ hổng EoP. Vì vậy, nó không quá phức tạp để có được quyền của quản trị viên. Và khi kẻ tấn công thành công, anh ta có thể đưa Windows 10 vào chế độ nhà phát triển. Vì vậy, sự nguy hiểm của Bashware là có thật.