近日,据外媒报道称,安全专家最新发现了一种惊人的攻击技术,名为“Bashware”攻击,利用该技术,攻击者可以隐藏恶意软件,即便是主流的安全产品(包括下一代防病毒软件、防勒索软件等)也无法检测出。
2016年3月,微软公司宣布将Windows Subsystem for Linux(简称WSL,指适用于Linux的Windows子系统)作为一项Beta特性添加至2016年8月发布的Windows 10周年更新中。微软还称该特性会在今年10月发布的“秋季创作者更新”(Fall Creators Update)上得到完全支持。
利用这种WSL功能,开发人员将无需安装虚拟机即可在Windows和Linux中编写和测试代码。但是,近日有研究人员表示,此举可能会被攻击者用来运行恶意软件并逃避检测。
据安全公司Check Point的研究人员介绍,专为Linux设计的恶意软件可以在Windows系统上运行,并且无法被检测到。这种新型的攻击技术被称为“Bashware”,它允许恶意代码逃避为Windows系统编写的防病毒解决方案的检测。
攻击演示视频
Check Point发布的分析报告指出,
现有的安全解决方案仍然不适用于监测运行在Windows系统上的Linux可执行文件的进程,这种混合概念允许同时启动Linux和Windows系统的组合。如此一来,可能会为那些渴望在逃避检测的情况下运行其恶意代码的犯罪分子敞开大门,并允许他们使用WSL(windows下的Linux子系统)提供的功能来逃避那些尚未集成正确检测机制的安全产品的检测。
安全研究人员已经证实,Bashware攻击可以逃避目前市场上大多数安全产品的检测,它可能会影响已经运行Windows 10设备的4亿Windows系统用户。
分析报告继续写道,
Bashware的出现确实是令人震惊的结果,因为它显示了攻击者可以利用WSL机制轻松地运行恶意软件并逃避安全产品检测。我们已经测试了市场上现存的大多数防病毒和安全检测产品,发现它们根本无法检测到这种技术。这就意味着,Bashware攻击可能会对目前全球运行Windows 10设备的4亿用户造成威胁。
此外,Check Point研究人员还表示,虽然WSL功能需要用户手动激活,但是Bashware技术可以秘密地自行启用WSL,下载Bashware自带的基于Ubuntu的用户空间环境,并在该环境中运行恶意软件。
Check Point研究人员称,
Bashware并没有利用WSL设计中的任何逻辑或实现漏洞。实际上,WSL看上去是经过精心设计的,而Bashware之所以能绕过安全产品检测主要是由于各安全厂商还未意识到该恶意软件,因为这种技术还是相对较新的,而且跨越了Windows操作系统的已知边界。
另外,值得注意的是,使用Bashware的攻击者无需为Linux编写恶意软件程序来让其在Windows系统中通过WSL运行这些程序。相反地,Bashware会自行安装一个名为“Wine”的程序,该程序能够直接隐藏已知的Windows恶意软件。研究人员表示,在某些方面,Wine就如同Linux系统中的WSL,它允许Linux用户在无需借助虚拟化的情况下在Linux系统上运行Windows程序。
目前,值得欣慰的好消息是,攻击者为了利用Bashware,需先在受害者的计算机上获得管理员权限。不过,鉴于网络犯罪分子的手段不断升级,通过网络钓鱼攻击和/或盗窃的凭证来获取管理员权限已经不是什么难事了。然而,这些额外的攻击可能会给安全产品检测和中止攻击提供机会,阻止攻击者利用Bashware隐藏恶意软件。Check Point 表示,
我们认为安全厂商支持这项新技术不仅至关重要,而且迫在眉睫,如此一来,才能阻止像Bashware所展示的这种威胁形式。
目前,微软公司已经采取措施帮助安全厂商处理这种攻击。在谈及Bashware攻击的问题时,微软发言人表示,
我们已经审查并评估了这种威胁,并认为其风险是有限的,因为该技术生效的前提是要开启开发者模式,而开发者模式在默认情况下是禁用的。
虽然截至目前,Bashware能够成功绕过哪些安全产品仍然是未知的,但是据外媒报道称,赛门铁克和卡巴斯基都声称其安全产品能够检测出这种攻击形式。赛门铁克安全技术与响应高级副总裁Adam Bromwich表示,
基于这种WSL架构,赛门铁克设计了扫描器、机器学习和防护技术,旨在扫描和检测使用WSL创建的恶意软件。
卡巴斯基实验室也在一封邮件声明中表示,
卡巴斯基实验室知道针对WSL创建恶意软件的可能性,并正在开发相应地技术来检测用户设备上的此类恶意软件。事实上,到2018年,卡巴斯基实验室会使用特殊技术对所有用于Windows系统的解决方案进行更新升级,这些技术可以在WSL模式启动时,用行为和探索式方法检测并拦截Linux和Windows系统中的威胁。
