Подсистема Windows 10 для Linux: вот как хакеры могут использовать ее для скрытия вредоносного ПО

Исследователи из Check Point говорят, что они нашли способ использовать подсистему Microsoft Windows 10 для Linux (WSL), чтобы запустить вирус на компьютере

WSL позволяет использовать исполняемые файлы Linux ELF для Windows. Microsoft представила эту функцию, чтобы расширить поддержку инструмента командной строки Windows и помочь разработчикам запустить терминал Bash в Windows 10 для таких целей, как администрирование и управление разработкой приложений.

Это будет полностью поддерживаемая функция в Windows 10 Fall Creators Update, выпущенная в октябре.

Исследователи придумали термин Bashware для описания техники, которая использует среду WSL для запуска вредоносной программы Windows из экземпляра Linux и обхода большинства продуктов безопасности Windows в процессе. Поскольку WSL поставляется только с Windows 10, это может потенциально повлиять на 500 миллионов ПК, запускающих его.

Возможности WSL проходят через эмулированное ядро ​​Linux и «процессы pico» или контейнеры, в которых запускаются двоичные файлы ELF. WSL также направляет системные вызовы Linux в ядро ​​Windows. Как отметили Check Point, два ключевых драйвера .sys эмулируют ядро ​​Linux и переводят вызовы Linux для API-интерфейсов ядра Windows NT.

Bashware позволяет злоумышленнику запускать вредоносное ПО ELF или Windows EXE незаметно, используя сходство между возможностями процессов pico и процессами Windows NT, согласно Check Point.

Атака имеет четыре шага, которые, вероятно, уменьшат количество уязвимых машин. Во-первых, необходимо проверить, что WSL включен, что маловероятно для большинства потребителей. Затем злоумышленнику необходимо будет вручную включить режим разработчика.

В любом случае, если злоумышленник Bashware может выполнить все эти шаги, ему необходимо будет установить экземпляр Linux в целевой среде Windows, а также файловую систему Linux и Wine, программу с открытым исходным кодом для запуска программного обеспечения Windows на Linux, MacOS и других систем.

Конечной целью исследователя было доказать, что они могут запускать вредоносное ПО, которое атакует Windows из экземпляра Linux, для которого не предназначен WSL. Wine также разрешал им запускать вредоносную программу Windows из WSL, обеспечивая прикрытие оболочкой из продуктов безопасности.

Как отмечают исследователи, Bashware не использует недостатки в реализации WSL в Microsoft, а скорее WSL — это новый инструмент, «расширяющий известные границы» Windows, для которого в настоящее время просматривается большинство продуктов безопасности.

Тем не менее, поставщики безопасности должны использовать средства совместимости с WSV-антивирусами и брандмауэром, которые Microsoft предоставила.

 

Microsoft сообщила The Register, что считает, что риск этой атаки был низким из-за шагов, необходимых для ее эффективности.

Читайте самые интересные новости HiTech технологий в соцсетях:

Вам также могут понравиться Еще от автора

Комментарии

Подписывайтесь на новости и будьте в курсе новостей Hi Tech технологий