WSL — не только удобство, но и потенциальная угроза

Новости информационной безопасности




WSL — не только удобство, но и потенциальная угроза

Как стало известно Bleeping Computer, новая подсистема Windows 10, именуемая WSL (Windows Subsystem for Linux) и известная также как «Ubuntu в Windows 10», не застрахована от злоупотреблений. Экспертам Check Point удалось с помощью WSL успешно скрыть вредоносное ПО от антивирусных программ, установленных на компьютере пользователя.

Анонсированная в прошлом году подсистема WSL позволяет создать в среде Windows привычное для разработчиков Linux-окружение, притом без использования виртуализации. Бета-тестирование новинки недавно закончилось, и ожидается, что ее стабильная версия появится в середине октября, с выпуском Windows 10 Fall Creators Update.

WSL обеспечивает доступ к локальной Linux через оболочку Bash, преобразуя шелл-команды в аналоги Windows. Данные обрабатываются на уровне ядра Windows, и результат направляется на интерфейс командной строки Bash (CLI) и в локальную файловую систему Linux. В обеспечение операций WSL разработчик реализовал новый класс процессов — Pico, по сути являющихся контейнерами; в результате Windows воспринимает запуск Linux-приложений как пико-процессы, которые, к сожалению, не поддерживают современные антивирусы.

Этим и воспользовались исследователи из Check Point. Разработанный ими сценарий кросс-платформенной атаки, нареченной Bashware, позволяет уберечь Windows-зловреда от обнаружения с помощью WSL, но требует прав администратора. К сожалению, как отмечает репортер Bleeping Computer, система Windows предоставляет широкую площадь атаки с целью повышения привилегий.

Техника Bashware позволяет также автоматизировать все шаги, необходимые для запуска WSL (по умолчанию эта функция отключена): проверку наличия драйверов Pico (в случае отсутствия их можно загрузить с помощью утилиты DISM), активацию режима разработчика, установку файловой системы Linux с серверов Microsoft, перезагрузку и развертывание компонента. Включить режим разработчика довольно легко, достаточно лишь изменить пару ключей реестра. Перезагрузки системы можно дождаться или обманом заставить пользователя поторопиться (к примеру, вывести ошибку).

Развернув Linux-среду, злоумышленник получает возможность через команды взаимодействовать с Windows, скрытно совершая вредоносные действия, в том числе исполнить любое вредоносное Windows-приложение. Чтобы не модифицировать наличные скрипты, автор атаки может установить программу Wine, преобразующую вызовы Windows API в POSIX, а WSL обеспечит соответствующие операции Windows.

В Check Point опробовали технику Bashware на разных популярных антивирусных решениях; во всех случаях обход оказался успешным. Комментируя результаты своего исследования для Security Week, эксперты отметили: «Bashware является потенциальной угрозой для любого из 400 млн компьютеров, в настоящее время работающих на Windows 10 PC по всему миру».

Новый метод атаки на Windows не использует какой-либо недочет в реализации, как подчеркивают авторы исследования, и Microsoft сочла риск минимальным. «Чтобы получить искомый эффект, придется включить режим разработчика, затем установить компонент, осуществить перезапуск и установить Windows Subsystem for Linux, — пояснил представитель компании для Security Week. — Режим разработчика по умолчанию деактивирован».

В «Лаборатории Касперского» осознают сопряженные с WSL риски и уже разрабатывают технологию, позволяющую обнаружить любой зловред, использующий эту функцию. «В 2018 году все решения «Лаборатории Касперского» будут обновлены с внедрением специализированных техник, которые позволят детектировать по поведению и эвристически, а также блокировать любые Linux- и Windows-угрозы при включенном режиме WSL, — заявил представитель ИБ-компании в ответ на запрос Security Week. — В настоящее время все основные решения «Лаборатории Касперского» для Windows способны детектировать программы-загрузчики и Windows-составляющие вредоносных программ для Linux».

Дата: 2017-09-13 03:47:04

Источник: https://threatpost.ru/wsl_ne_tolko_udobstvo_no_i_potentsialnaja_ugroza/22271/

аналитика,вредоносные программы,главное,кибероборона,bash,check point,linux,windows,windows 10,абьюзы,антивирусы