Данный метод обхода уже назвали Bashware — производное от Bash и Malware. Вредоносные программы используют новую функцию Windows 10 под названием «Подсистема для Linux» (Windows Subsystem for Linux, WSL) для обхода установленных систем безопасности.
В 2016 году Microsoft анонсировала WSL как способ использования оболочки Linux, Bash, в операционных системах Windows 10. Данным шагом компания стремилась привлечь внимание разработчиков, привыкших к работе с Linux, к своей системе. WSL конвертирует команды Bash, которые пользователь набирает в командной строке, в команды оболочки Windows, отправляя их в ядро ОС и возвращая результат, конвертировав его обратно в Bash.
Bashware-атаки не видны системе безопасности
Bashware использует WSL для скрытия вредоносных процессов от всех нынешних антивирусов и систем безопасности. Это происходит из-за отсутствия у антивирусов поддержки Pico-процессов, добавленных Microsoft специально для обработки WSL-запросов.
Вредоносные программы, попадающие на компьютер с Windows 10, прежде всего нуждаются в правах администратора для включения опции WSL, отключённой по умолчанию. Для её активации пользователю необходимо перейти в «режим разработчика». Однако, атака Bashware может автоматизировать все эти шаги для скрытого включения WSL и с её помощью запускаться на Windows в виде Pico-процесса, тем самым представая для системы безопасности обыкновенным Linux процессом.
Антивирусы должны поддерживать Pico-процессы
Исследователи заранее опубликовали свои находки, чтобы компании-разработчики антивирусов в предверии выхода новой версии Windows 10 смогли добавить поддержку Pico-процессов в свои продукты. Также опубликовано видео, демонстрирующее атаку Bashware.
Источник: Bleeping Computer
