Встроенная в Windows 10 оболочка Linux таит угрозу безопасности
Встроенная в Windows 10 оболочка Linux таит угрозу безопасности
Встроенная в Windows 10 оболочка Linux таит угрозу безопасности
12.09.2017
В прошлом году Microsoft по-настоящему удивила технологический мир, заявив, что в Windows можно будет запускать "родные" Linux-программы без виртуализации. Появившаяся в Windows 10 функция называется Windows Subsystem for Linux (WSL) и заставляет Linux-приложения "думать", будто они обращаются к ядру Linux. В настоящее время доступна только бета-версия WSL, а полная поддержка будет реализована в Windows Fall Creators Update.
Новая функция существенно упрощает жизнь разработчикам, но также таит в себе потенциальную угрозу. По мнению экспертов в области безопасности, ее также могут использовать киберпреступники для сокрытия вредоносного ПО от антивирусных продуктов.
Специалисты компании Check Point Software Technologies разработали метод, позволяющий с помощью WSL скрыть вредоносное ПО от обнаружения. Поскольку метод предполагает использование командной оболочки Bash, он получил название Bashware. Как сообщили исследователи Гал Элбаз (Gal Elbaz) и Двир Атиас (Dvir Atias) изданию Motherboard, метод позволяет скрыть вредонос практически от всех современных топовых антивирусных продуктов. Уточнить названия брендов и производителей эксперты отказались.
В настоящее время WSL отключена по умолчанию, и для ее активации необходимо включить на системе "режим разработчика". Тем не менее, атака Bashware автоматизирует все шаги, необходимые для незаметной активации WSL на компьютере жертвы.
Linux-программы, запускаемые на Windows через WSL, представляют собой так называемый пико-процесс, совершенно новый и существенно отличающийся от обычных приложений для Windows. В ходе исследования эксперты не обнаружили ни одного антивирусного продукта, способного осуществлять мониторинг пико-процессов, хотя Microsoft выпустила для этих целей специальный API – Pico API.
Для успешного осуществления атаки через WSL злоумышленникам даже не нужно писать вредоносный код под Linux. С помощью программы Wine они могут использовать Bashware для сокрытия Windows-вредоносов. Wine представляет собой эквивалент WSL для Linux и позволяет без виртуализации запускать на Linux приложения под Windows.
Метод Bashware предполагает незаметную установку Wine в загруженном пространстве пользователя Ubuntu и запуск через нее вредоносного ПО для Windows. Через WSL вредонос запустится на Windows в виде пико-процесса и тем самым обойдет антивирусные продукты.
Bash – усовершенствованная и модернизированная версия командной оболочки Bourne shell. Одна из наиболее популярных современных разновидностей командной оболочки UNIX. Особенно популярна в среде Linux, где часто используется в качестве предустановленной командной оболочки. Bash представляет собой командный процессор, работающий, как правило, в интерактивном режиме в текстовом окне и способный читать команды из скриптов.
Copyright © 2018-2022, ООО "ГРОТЕК"