Windows 10上的Linux子系统允许恶意软件完全不可检测
相关标签: # linux# 服务器# 监控# 勒索# 缺陷
去年,微软宣布在Windows 10中引入Windows Subsystem for Linux(WSL),这让所有人都大吃一惊,它将Linux命令行shell引入Windows,允许用户在Windows系统上运行本机Linux应用程序,而无需虚拟化。
然而,来自安全公司Check Point Software Technologies的安全研究人员发现,WSL功能存在一个潜在的安全问题,这可能会导致针对Linux的恶意软件家族将目标锁定在Windows计算机上,未被所有当前安全软件检测到。
研究人员设计了一种新的攻击技术,称为Bashware,它利用了Windows内置的WSL功能,该功能现在已经过测试版,并将于2017年10月在Windows 10 Fall Creators更新中发布。
所有杀毒软件都无法检测到Bashware攻击,提出安全解决方案
根据CheckPoint研究人员的说法,Bashware攻击技术甚至可能被已知的Linux恶意软件家族滥用,因为Windows安全解决方案的设计目的不是检测此类威胁。这种新的攻击可以让攻击者隐藏任何Linux恶意软件,即使是最常见的安全解决方案,包括下一代杀毒软件、恶意软件检查工具、反勒索软件解决方案和其他工具。
Check Point研究人员说:“现有的安全解决方案仍然不适合监控Windows操作系统上运行的Linux可执行文件的进程,这是一种混合概念,允许Linux和Windows系统同时运行”。“这可能会为希望在未被发现的情况下运行其恶意代码的网络罪犯打开一扇门,并允许他们使用WSL提供的功能对尚未集成适当检测机制的安全产品进行隐藏”。
谁是罪魁祸首?微软还是安全供应商?
为了在隔离的环境中运行目标Linux应用程序,Microsoft引入了“微微过程“:容器,允许在Windows操作系统上运行ELF二进制文件。在测试过程中,Check Point研究人员能够对“市场上大多数领先的防病毒和安全产品”测试Bashware攻击,并成功绕过所有这些攻击。
这是因为没有任何安全产品监控Pico进程,即使微软已经提供了Pico API,这是一种特殊的应用程序编程接口,可供安全公司用于监控此类进程。
研究人员总结道:“Bashware在WSL的设计中没有利用任何逻辑或实现缺陷。事实上,WSL似乎设计得很好”。“Bashware之所以能够以这种方式运行,是因为各种安全供应商缺乏意识,因为这项技术相对较新,并且扩展了Windows操作系统的已知边界”。
Bashware攻击者需要管理员权限,这对Windows PC来说难吗?
是的,Bashware需要在目标计算机上具有管理员访问权限,但通过网络钓鱼攻击和/或被盗的管理员凭据在Windows PC上获得管理员权限对于有动机的攻击者来说并不困难。由于WSL在默认情况下不会打开,用户需要手动激活其计算机系统上的“开发模式”,以便使用它并重新启动系统,因此该功能带来的风险在一定程度上得到了缓解。
然而,Check Point的研究人员表示,一个鲜为人知的事实是,开发者模式可以通过修改几个注册表项来启用,攻击者可以在后台以正确的权限悄悄地完成这些操作。
Bashware攻击技术通过静默加载WSL组件、启用开发人员模式、甚至从Microsoft服务器下载和提取Linux文件系统,以及运行恶意软件,自动化了所需的过程。
不需要编写单独的恶意软件程序
Bashware有什么有趣的地方?使用Bashware的黑客不需要为Linux编写恶意软件程序,就可以在Windows计算机上通过WSL运行它们。Bashware技术节省了额外的工作量,它在下载的Ubuntu用户空间环境中安装了一个名为Wine的程序,然后通过该程序启动已知的Windows恶意软件。
然后,该恶意软件会在pico进程中启动进入Windows,从而对安全软件进行隐藏。
4亿台可能暴露于Bashware的计算机
新发现的攻击技术没有利用WSL漏洞的任何实现,而是由于各个安全供应商对WSL缺乏兴趣和意识。由于Linux外壳现在可供Windows用户使用,研究人员认为,Bashware可能会影响目前全球运行Windows 10的4亿台PC中的任何一台。
Check Point研究人员表示,他们的公司已经升级了其安全解决方案,以应对此类攻击,并敦促其他安全供应商相应地修改和更新其下一代防病毒和安全解决方案。
特别声明:以上内容(图片及文字)均为互联网收集或者用户上传发布,本站仅提供信息存储服务!如有侵权或有涉及法律问题请联系我们。
举报
