日前,据路透社报导称,安全专家最新发觉了一种惊人的功击技术,名为“Bashware”攻击,借助该技术,功击者可以隐藏恶意软件,即使是主流的安全产品(包括下一代防病毒软件、防恐吓软件等)也难以测量出。
2016年3月,谷歌公司宣布将WindowsSubsystemforLinux(简称WSLlinux版qq,指适用于Linux的Windows子系统)作为一项Beta特点添加至2016年8月发布的Windows10华诞更新中。谷歌还称该特点会在明年10月发布的“秋季创作者更新”(FallCreatorsUpdate)上得到完全支持。
借助这些WSL功能,开发人员将无需安装虚拟机即可在Windows和Linux中编撰和测试代码。并且,近期有研究人员表示,此举可能会被功击者拿来运行恶意软件并逃避检查。
据安全公司CheckPoint的研究人员介绍,专为Linux设计的恶意软件可以在Windows系统上运行,但是未能被测量到。这些新型的功击技术被称为“Bashware”,它容许恶意代码逃避为Windows系统编撰的防病毒解决方案的测量。
功击演示视频
DemonstrationoftheBashware_腾讯视频
CheckPoint发布的剖析报告强调,
现有的安全解决方案始终不适用于检测运行在Windows系统上的Linux可执行文件的进程,这些混和概念容许同时启动Linux和Windows系统的组合。这么一来,可能会为这些盼望在逃避检查的情况下运行其恶意代码的犯罪分子敞开房门,并准许她们使用WSL(windows下的Linux子系统)提供的功能来逃避这些仍未集成正确检查机制的安全产品的监测。
安全研究人员早已否认,Bashware功击可以逃避目前市场上大多数安全产品的测量,它可能会影响早已运行Windows10设备的4亿Windows系统用户。
剖析报告继续写道,
Bashware的出现确实是令人惊讶的结果,由于它显示了功击者可以借助WSL机制轻松地运行恶意软件并逃避安全产品检查。我们早已测试了市场上现存的大多数防病毒和安全检查产品,发觉它们根本没法测量到这些技术。这就意味着,Bashware功击可能会对目前全球运行Windows10设备的4亿用户导致恐吓。
据悉,CheckPoint研究人员还表示linux攻击软件,尽管WSL功能须要用户自动激活,并且Bashware技术可以秘密地自行启用WSL,下载Bashware自带的基于Ubuntu的用户空间环境,并在该环境中运行恶意软件。
CheckPoint研究人员称,
Bashware并没有借助WSL设计中的任何逻辑或实现漏洞。实际上,WSL看起来是经过悉心设计的,而Bashware之所以能绕开安全产品检查主要是因为各安全厂商还未意识到该恶意软件,由于这些技术还是相对较新的,但是跨越了Windows操作系统的已知边界。
另外,值得注意的是,使用Bashware的功击者无需为Linux编撰恶意软件程序来让其在Windows系统中通过WSL运行那些程序。相反地,Bashware会自行安装一个名为“Wine”的程序,该程序就能直接隐藏已知的Windows恶意软件。研究人员表示,在个别方面linux定时器,Wine就好似Linux系统中的WSL,它容许Linux用户在无需依靠虚拟化的情况下在Linux系统上运行Windows程序。
目前,值得欣喜的好消息是,功击者为了借助Bashware,需先在被害者的计算机上获得管理员权限。不过,鉴于网路犯罪分子的手段不断升级,通过网路垂钓功击和/或抢劫的账簿来获取管理员权限早已不是哪些难事了。但是,这种额外的功击可能会给安全产品检查和终止功击提供机会,制止功击者借助Bashware隐藏恶意软件。CheckPoint表示,
我们觉得安全厂商支持这项新技术除了至关重要,但是迫在眉睫,这么一来,就能制止像Bashware所展示的这些恐吓方式。
目前,谷歌公司早已采取举措帮助安全厂商处理这些功击。在谈及Bashware功击的问题时,谷歌发言人表示,
我们早已审查并评估了这些恐吓,并觉得其风险是有限的,由于该技术生效的前提是要开启开发者模式,而开发者模式在默认情况下是禁用的。
尽管截止目前,Bashware能否成功绕开什么安全产品依然是未知的,并且据路透社报导称,赛门铁克和卡巴斯基都宣称其安全产品才能测量出这些功击方式。赛门铁克安全技术与响应中级总工裁AdamBromwich表示,
基于这些WSL构架,赛门铁克设计了扫描器、机器学习和防护技术linux攻击软件,借以扫描和测量使用WSL创建的恶意软件。
卡巴斯基实验室也在一封电邮申明中表示,
卡巴斯基实验室晓得针对WSL创建恶意软件的可能性,并正在开发相应地技术来测量用户设备上的这种恶意软件。事实上,到2018年,卡巴斯基实验室会使用特殊技术对所有用于Windows系统的解决方案进行更新升级,这种技术可以在WSL模式启动时,用行为和探求式方式检查并拦截Linux和Windows系统中的恐吓。