Встроенная в Windows 10 оболочка Linux таит угрозу безопасности

В прошлом году Microsoft по-настоящему удивила технологический мир, заявив, что в Windows можно будет запускать «родные» Linux-программы без виртуализации. Появившаяся в Windows 10 функция называется Windows Subsystem for Linux (WSL) и заставляет Linux-приложения «думать», будто они обращаются к ядру Linux. В настоящее время доступна только бета-версия WSL, а полная поддержка будет реализована в Windows Fall Creators Update.

Новая функция существенно упрощает жизнь разработчикам, но также таит в себе потенциальную угрозу. По мнению экспертов в области безопасности, ее также могут использовать киберпреступники для сокрытия вредоносного ПО от антивирусных продуктов.

Специалисты компании Check Point Software Technologies разработали метод, позволяющий с помощью WSL скрыть вредоносное ПО от обнаружения. Поскольку метод предполагает использование командной оболочки Bash, он получил название Bashware. Как сообщили исследователи Гал Элбаз (Gal Elbaz) и Двир Атиас (Dvir Atias) изданию Motherboard, метод позволяет скрыть вредонос практически от всех современных топовых антивирусных продуктов. Уточнить названия брендов и производителей эксперты отказались.

В настоящее время WSL отключена по умолчанию, и для ее активации необходимо включить на системе «режим разработчика». Тем не менее, атака Bashware автоматизирует все шаги, необходимые для незаметной активации WSL на компьютере жертвы.

Linux-программы, запускаемые на Windows через WSL, представляют собой так называемый пико-процесс, совершенно новый и существенно отличающийся от обычных приложений для Windows. В ходе исследования эксперты не обнаружили ни одного антивирусного продукта, способного осуществлять мониторинг пико-процессов, хотя Microsoft выпустила для этих целей специальный API – Pico API.

Для успешного осуществления атаки через WSL злоумышленникам даже не нужно писать вредоносный код под Linux. С помощью программы Wine они могут использовать Bashware для сокрытия Windows-вредоносов. Wine представляет собой эквивалент WSL для Linux и позволяет без виртуализации запускать на Linux приложения под Windows.

Метод Bashware предполагает незаметную установку Wine в загруженном пространстве пользователя Ubuntu и запуск через нее вредоносного ПО для Windows. Через WSL вредонос запустится на Windows в виде пико-процесса и тем самым обойдет антивирусные продукты.

Bash – усовершенствованная и модернизированная версия командной оболочки Bourne shell. Одна из наиболее популярных современных разновидностей командной оболочки UNIX. Особенно популярна в среде Linux, где часто используется в качестве предустановленной командной оболочки. Bash представляет собой командный процессор, работающий, как правило, в интерактивном режиме в текстовом окне и способный читать команды из скриптов.