Bashware: Kötü amaçlı yazılım bypass güvenliğini sağlayan teknik

Her seferinde, çoğu zaman tüm güvenlik kontrollerinden kaçan daha karmaşık kötü amaçlı yazılımlar buluyoruz. Kısmen Bashware adı verilen bir teknik sayesinde. Bu teknik, kötü amaçlı yazılımların Linux için Subsystem (WSL) adlı bir Windows 10 özelliğini kullanmasına izin verir ve böylece bilgisayarda yüklü güvenlik yazılımlarını önler.

Bashware: Kötü amaçlı yazılım bypass güvenliğini sağlayan teknik

Bu WSL, kullanıcıların bir CLI'ye yazdığı Bash komutlarıyla çalışır. Bu şekilde, Windows benzerlerine kabuk komutları yaparlar. Veriler Windows çekirdeğinde işlenir ve bir yanıt gönderilir. Hem Bash CLI hem de bir Linux dosyası.

Bashware 2016'dan beri aktif

Bash, Linux kullanıcıları Windows 10'da kullanmanın ne kadar kolay olduğunu görecekleri fikriyle Microsoft tarafından geliştirildi. WSL işlevi 2016'dan beri geliştirilmektedir. Windows 10 Fall Creators Güncellemesi ile. Özellikle Bashware'e odaklanırsak , Windows 10'da gizli Linux kabuğunu kullanmanıza izin veren bir tekniktir. Bu şekilde kötü amaçlı işlemler gizlenir.

Araştırmacılar, mevcut antivirüsün bu işlemleri algılamadığını söylüyor. Çünkü Pico süreçlerini desteklemiyorlar. Neyse ki Bashware kusursuz bir yöntem değildir. Temel olarak yönetici izinleri gerektirdiği için. Windows 10'a ulaşan kötü amaçlı programların yönetim düzeyinde erişime ihtiyacı vardır. Ancak bundan sonra WSL işlevini etkinleştirebilirler. Varsayılan olarak devre dışı bırakılan işlev.

Sorun, Windows saldırı yüzeyinin birçok EoP kusuru olması. Bu nedenle yönetici izinlerini almak çok karmaşık değildir. Saldırgan başarılı olduğunda, Windows 10'u geliştirici moduna geçirebilir. Bashware'in tehlikesi gerçek.