Поделиться
Linux, встроенный в Windows 10, делает трояны невидимыми для антивирусов
Подсистема Windows 10, в которой запускаются Linux-приложения, позволяет скрытно запускать в Windows давно известные вирусы, причем популярные защитные программы их не распознают.
Атака Bashware
Исследователи безопасности из компании Check Point Software Technologies разработали методику, которая позволяет незаметно запускать любое вредоносное ПО в Windows 10. Для этого атакуемая версия Windows должна поддерживать запуск приложений Linux без виртуализации. Эта возможность есть в Windows 10, и называется подсистемой для Linux (WSL).
Атака получила название Bashware, поскольку она использует командную оболочку Bash, через которую запускаются Linux-приложения.
По словам исследователей Гала Эльбаза (Gal Elbaz) и Двира Атиаса (Dvir Atias), Bashware способна скрыть уже известное вредоносное ПО от антивирусов, установленных в Windows 10. Исследователи сообщают, что опробовали технику на всех популярных защитных продуктах, но не говорят, на каких именно. По их мнению, сама WSL спроектирована хорошо, и проблема заключается в том, что производители антивирусного ПО еще не модифицировали под нее свои решения.
По просьбе издания Motherboard, разработчики некоторых антивирусов прокомментировали ситуацию. Компания Symantec заверила, что ее защита способна обнаружить вредоносное ПО, созданное с помощью WSL. «Лаборатория Касперского» сказала, что внесет необходимые изменения в свои продукты в 2018 г.
Активация функции
По мнению Эльбаза и Атиаса, создатели антивирусного ПО не обратили особого внимания на WSL потому, что уверены, будто ее нужно активировать вручную. Поскольку возможность запускать приложения Linux в Windows нужна в основном разработчикам, ее включает сравнительно небольшое количество пользователей. Как сообщает сама Microsoft, для этого нужно активировать режим разработчика, установить компонент, перезагрузить устройство, и тогда уже развернуть подсистему Windows для Linux.
Bashware автоматизирует эти шаги, и запускает новую функцию автоматически. Чтобы включить режим разработчика, достаточно изменить несколько разделов реестра. Это может быть сделано в фоне незаметно для пользователя. Что касается перезагрузки, то хакер может либо подождать, пока жертва выключит компьютер, либо инициировать критическую ошибку, которая повлечет за собой перезапуск ОС. Далее Bashware скачивает необходимую среду, созданную на базе Ubuntu, и запускает в ней вредоносное ПО. Драйверы WSL можно закачать на компьютер вручную и без перезагрузки, сейчас этот метод дорабатывается.
Дальнейшие действия
Windows расценивает запуск Linux-приложения как пико-процесс, то есть новый тип процесса, структурно отличающийся от тех, которые происходят при запуске программ Windows. Как выяснили исследователи, ни один антивирус не отслеживает эти процессы, несмотря на то, что Microsoft предоставила разработчикам антивирусов Pico API.
Для работы с Bashware не нужно писать специальные вирусы для Linux, которые будут потом запущены в атакуемой Windows с помощью WSL. Благодаря программе Wine можно использовать обычное вредоносное ПО для Windows, в том числе давно известное, поскольку оно все равно будет спрятано от антивирусов. Wine — это аналог WSL, программа, которая дает возможность запускать в Linux приложения Windows без виртуализации. Bashware устанавливает Wine в запущенной на Windows среде Ubuntu и уже в Wine запускает вирус. То есть, вредоносное ПО, изначально предназначенное для Windows, представляется ей в неопознаваемом виде.
Подсистема Windows для Linux
В Windows 10 присутствует слой, который обеспечивает совместимость системы с Linux-приложениями — так называемая подсистема Windows для Linux (WSL). Подсистема является результатом сотрудничества Microsoft с компанией Canonical, разработчиком Ubuntu. Впервые WSL появилась в Insider Preview Windows 10 build 14316 — сборке, выпущенной в апреле 2016 г. Она присутствует в Windows 10 Anniversary Update, которая появилась в августе того же года. Полностью поддерживаемой WSL станет в грядущем Fall Creators Update.
WSL дала возможность интегрировать в Windows дистрибутив Ubuntu, доступ к которому осуществляется посредством командной оболочки Bash, поскольку графический интерфейс в этой интеграции предусмотрен не был. После установки Ubuntu разработчик может запускать скрипты Bash, пользоваться инструментами командной строки Linux, такими как sed, awk и grep, а также использовать Ruby, Git и Python внутри Windows. В августе 2016 г. пользователи интернета подтвердили, что внутри Windows 10 можно запустить Unity — рабочий стол Ubuntu, что дает возможность работать в полном десктопном окружении Linux.
Короткая ссылка
