Według ekspertów z Check Point, większość popularnych programów antywirusowych nie radzi sobie z wykryciem takiej próby ataku.
Bashware to nazwa nowej formy ataku, z którego poprawnym wykryciem nie na radzą sobie nawet te najpopularniejsze programy antywirusowe. Luka znajduje się w systemie Windows 10, co oznacza, że liczba zagrożonych użytkowników może być nawet dziewięciocyfrowa (choć biorąc pod uwagę wszystkie wymogi, w rzeczywistości jest ich znacznie mniej).
Metoda została opisana przez firmę Check Point Software Technologies. Wykorzystuje ona wprowadzone przez Microsoft rozwiązanie Windows Subsystem for Linux, umożliwiające uruchamianie linuksowych aplikacji w „Dziesiątce” bez jako-takiej wirtualizacji, dzięki interfejsowi wiersza poleceń Bash (stąd zresztą nazwa).
WSL ułatwia pracę programistom, którzy muszą testować kod zarówno w środowisku Windows, jak i Linux. I choć domyślnie jest on wyłączony, to według Check Point atak Bashware umożliwia jego „ciche” uruchomienie, pobranie odpowiednich składników i aktywowanie złośliwego oprogramowania. Jest tak ze względu na brak monitorowania „pikoprocesów” przez antywirusy (choć teoretycznie jest taka możliwość).
„Przetestowaliśmy tę technikę na większości popularnych programów antywirusowych i wszystkie poległy” – twierdzą eksperci z Check Point.
Microsoft twierdzi, że nie jest to duże zagrożenie, ponieważ konieczne jest aktywowanie „trybu dewelopera” i wykonanie jeszcze kilku innych czynności. Autorzy Bashware twierdzą jednak, że to pierwsze da się osiągnąć w stosunkowo prosty sposób w tle – poprzez modyfikację kilku kluczy rejestru.
Najciekawsze w Bashware jest jednak to, że do infekcji wcale nie trzeba wykorzystywać złośliwego oprogramowania pisanego pod Linuksa. Spokojnie można zrobić użytek z „windowsowego” malware’u, ponieważ z pomocą przychodzi dobrze znana aplikacja Wine (która, jak wiemy, nie jest emulatorem). Poniżej demonstracja:
Dokładny opis metody znajduje się na stronie Check Point.
Skuteczne wykonanie takiego ataku nie należy do najprostszych, a cyberprzestępca, zanim będzie mógł wykorzystać Bashware, będzie musiał po drodze zrobić jeszcze kilka kroków. Dlatego też nie ma raczej większych powodów do obaw. Twórcy oprogramowania antywirusowego natomiast dostosują pewnie swoje produkty.
Symantec twierdzi, że jego system operaty na uczeniu maszynowym poradzi sobie z wykrywaniem złośliwego oprogramowania dostarczanego w ten sposób. Podobnie, Kaspersky zapowiada aktualizację eliminującą to zagrożenie.
Źródło: Motherboard. Ilustracja: Check Point
Komentarze
2