check point軟體科技有限公司的研究員利用bash開發了一種技術。bash是linux指令行接口或shell,現可用于windows系統,使已知惡意軟體難以被發現。該技術被稱為bashware。
check point的兩個研究員gal elbaz和dvir atias與筆者分享了編寫的報告,他們稱“我們在市場上的大多數領先的殺毒和安全産品上測試了該技術,發現該惡意軟體成功繞過了這些産品。”
(圖檔僅以示例)
windows 10的特性——windows subsystem for linux(wsl,指适用于linux的windows子系統),可用于誘騙linux應用,讓其誤認為正在與linux核心通信。linux核心是包括硬體驅動程式和基本服務在内的作業系統核心部分。實際上,這些應用正在與wsl通信,wsl将linux系統調用轉換為windows核心調用。
wsl最初于2016年3月宣布,作為一項beta特性添加至2016年8月釋出的windows 10周年更新中。微軟稱該特性會在即将釋出的“秋季創作者更新”(fall creators update)得到完全支援。
“wsl 看上去是一種精心設計的特性。 bashware 之是以能成功繞過安全産品是因為各安全廠商還未意識到該惡意軟體。
利用wsl,開發人員無需安裝虛拟機即可在windows和linux中編寫和測試代碼。很多開發人員,不論是将windows作為主桌面作業系統還是将用于運作visual studio和其他開發工具,同樣也喜歡利用linux指令行程式,因為這些程式可以很友善地與各種程式設計語言解釋器群組件庫進行互動。
目前,wsl預設情況下禁用。使用者在使用該特性前需在系統中開啟開發模式。然而,check point稱bashware攻擊會秘密地自動開啟wsl,下載下傳bashware自帶的基于ubuntu的使用者空間環境,然後在該環境中運作惡意軟體。
通過wsl執行的linux程式會在windows系統中顯示為“pico程序”,這種新程序在結構上與正常windows應用程式生成的程序不同。
check point的研究員在測試時發現盡管微軟提供了一個特殊的應用程式程式設計接口pico api來監控pico程序,但安全産品均未對pico程序進行監控。研究員在報告中稱,
“bashware并未利用wsl的設計中的任何邏輯缺陷或執行缺陷。” “實際上,wsl看上去是經過精心設計的。bashware之是以能繞過安全産品是因為各安全廠商還未意識到該惡意軟體。這是因為該技術相對較新,而且跨越了windows作業系統的已知邊界。”
由于安全廠商現在還未對wsl特性提起重視,人們普遍認為使用者需手動開啟這一特性,但大多數使用者不會這樣做,因為他們并不需要該特性。微軟公司發言人在郵件中與筆者探讨check point的這一技術時稱
“我們對該特性進行了審查,将其評估為低風險。” “若使這項技術生效,需開啟開發者模式,安裝元件,然後重新開機,最後安裝wsl特性。開發者模式在預設情況下是禁用的。”
然而,bashware的建立者表示,開發者模式可通過修改數個系統資料庫項實作,“這種方法鮮為人知”,而攻擊者若有合适權限可能會在背景秘密操作開啟開發者模式。
check point研究人員在給筆者的一封郵件中提到,正常情況下,要啟用wsl,的确需要重新開機系統;但是,隻要受害者關閉計算機或觸發嚴重錯誤導緻強制重新開機,就能被攻擊者利用。應該還有一種方法可以手動加載wsl驅動,而無需重新開機計算機,但這種方法還在研究中。
“ 我們認為 , 安全廠商支援這個新技術不僅至關重要 , 而且迫在眉睫 , 唯有這樣 , 才能阻止 bashware 之類的威脅。 ”
bashware麻煩的一點在于,攻擊者無需編寫惡意軟體程式,讓linux在windows系統中通過wsl運作這些程式。借助于wine程式,他們可利用該技術直接隐藏已知windows惡意軟體。在某些方面,wine等同于linux系統中的wsl,因為它允許linux使用者無需借助虛拟化,便可以在linux系統上運作windows程式。
bashware攻擊中,攻擊者可在下載下傳的ubuntu使用者空間環境中安裝wine,通過wine啟動windows惡意軟體。借助于wsl,這些惡意程式會重新植入windows,成為pico程序,躲過安全軟體的檢測。
check point的gal elbaz和dvir atias并不是最先警告攻擊者會利用wsl運作惡意軟體的安全研究人員。在2016年美國黑帽大會和微軟的藍帽安全大會上的講話中,著名的windows内構專家alex ionescu就曾提請人們注意這一風險。ionescu是安全公司crowdstrike的端點檢測與響應政策副總裁,在github上維護着自己的wsl研究項目庫。
一定程度上,bashware是基于ionescu之前的發現。不過,該技術根據wsl現狀作了改動。顯然,一年過去了,許多安全廠商還未做好應對這種新技術的準備。
擷取windows計算機的管理者權限并不一定很難,至少攻擊者一直都在做。然而,這些額外步驟給了安全産品檢測、中止攻擊鍊的機會,使攻擊者無法利用bashware隐藏惡意流量。
check point研究人員拒絕透露哪些安全産品的檢測機制可以被繞過,并表示,研究的目的是提請整個安全行業注意這個問題。在報告中,他們這麼說:
“我們認為,安全廠商支援這個新技術不僅至關重要,而且迫在眉睫,唯有這樣,才能阻止bashware之類的威脅。”
賽門鐵克安全技術與響應進階副總裁adam bromwich表示,wsl不是一個常用攻擊向量,若攻擊者将其作為攻擊源,首先需要将惡意軟體下載下傳到目标計算機中。“基于這種wsl架構,賽門鐵克設計了掃描器、機器學習和防護技術,可掃描、檢測使用wsl建立的惡意軟體。”
卡巴斯基實驗室在給筆者的一封郵件中提到,公司計劃修改防毒軟體,以便未來可以檢測這種類型的惡意軟體。公司在一封郵件聲明中透露,
“卡巴斯基實驗室知道存在針對wsl建立惡意軟體的可能性,是以正開發技術,以檢測使用者裝置中的這種惡意軟體。 實際上,2018年,卡巴斯基實驗室會更新所有針對windows的解決方案,使用特殊技術,對于啟用wsl模式的計算機中的linux和windows威脅進行行為和探索式檢測以及攔截。”
卡巴斯基實驗室表示,目前,公司的所有産品均可檢測惡意軟體下載下傳程式以及此類攻擊基于windows的部分。防毒軟體公司bitdefender未立即回應筆者請求,就此事發表看法。
原文釋出時間:2017年9月12日
本文由:vice釋出,版權歸屬于原作者
原文連結:http://toutiao.secjia.com/windows-linux-bashware
本文來自雲栖社群合作夥伴安全加,了解相關資訊可以關注安全加網站