check point软件科技有限公司的研究员利用bash开发了一种技术。bash是linux命令行接口或shell,现可用于windows系统,使已知恶意软件难以被发现。该技术被称为bashware。
check point的两个研究员gal elbaz和dvir atias与笔者分享了编写的报告,他们称“我们在市场上的大多数领先的杀毒和安全产品上测试了该技术,发现该恶意软件成功绕过了这些产品。”
(图片仅以示例)
windows 10的特性——windows subsystem for linux(wsl,指适用于linux的windows子系统),可用于诱骗linux应用,让其误认为正在与linux内核通信。linux内核是包括硬件驱动程序和基本服务在内的操作系统核心部分。实际上,这些应用正在与wsl通信,wsl将linux系统调用转换为windows内核调用。
wsl最初于2016年3月宣布,作为一项beta特性添加至2016年8月发布的windows 10周年更新中。微软称该特性会在即将发布的“秋季创作者更新”(fall creators update)得到完全支持。
“wsl 看上去是一种精心设计的特性。 bashware 之所以能成功绕过安全产品是因为各安全厂商还未意识到该恶意软件。
利用wsl,开发人员无需安装虚拟机即可在windows和linux中编写和测试代码。很多开发人员,不论是将windows作为主桌面操作系统还是将用于运行visual studio和其他开发工具,同样也喜欢利用linux命令行程序,因为这些程序可以很方便地与各种编程语言解释器和组件库进行交互。
目前,wsl默认情况下禁用。用户在使用该特性前需在系统中开启开发模式。然而,check point称bashware攻击会秘密地自动开启wsl,下载bashware自带的基于ubuntu的用户空间环境,然后在该环境中运行恶意软件。
通过wsl执行的linux程序会在windows系统中显示为“pico进程”,这种新进程在结构上与常规windows应用程序生成的进程不同。
check point的研究员在测试时发现尽管微软提供了一个特殊的应用程序编程接口pico api来监控pico进程,但安全产品均未对pico进程进行监控。研究员在报告中称,
“bashware并未利用wsl的设计中的任何逻辑缺陷或执行缺陷。” “实际上,wsl看上去是经过精心设计的。bashware之所以能绕过安全产品是因为各安全厂商还未意识到该恶意软件。这是因为该技术相对较新,而且跨越了windows操作系统的已知边界。”
由于安全厂商现在还未对wsl特性提起重视,人们普遍认为用户需手动开启这一特性,但大多数用户不会这样做,因为他们并不需要该特性。微软公司发言人在邮件中与笔者探讨check point的这一技术时称
“我们对该特性进行了审查,将其评估为低风险。” “若使这项技术生效,需开启开发者模式,安装组件,然后重启,最后安装wsl特性。开发者模式在默认情况下是禁用的。”
然而,bashware的创建者表示,开发者模式可通过修改数个注册表项实现,“这种方法鲜为人知”,而攻击者若有合适权限可能会在后台秘密操作开启开发者模式。
check point研究人员在给笔者的一封邮件中提到,正常情况下,要启用wsl,的确需要重启系统;但是,只要受害者关闭计算机或触发严重错误导致强制重启,就能被攻击者利用。应该还有一种方法可以手动加载wsl驱动,而无需重启计算机,但这种方法还在研究中。
“ 我们认为 , 安全厂商支持这个新技术不仅至关重要 , 而且迫在眉睫 , 唯有这样 , 才能阻止 bashware 之类的威胁。 ”
bashware麻烦的一点在于,攻击者无需编写恶意软件程序,让linux在windows系统中通过wsl运行这些程序。借助于wine程序,他们可利用该技术直接隐藏已知windows恶意软件。在某些方面,wine等同于linux系统中的wsl,因为它允许linux用户无需借助虚拟化,便可以在linux系统上运行windows程序。
bashware攻击中,攻击者可在下载的ubuntu用户空间环境中安装wine,通过wine启动windows恶意软件。借助于wsl,这些恶意程序会重新植入windows,成为pico进程,躲过安全软件的检测。
check point的gal elbaz和dvir atias并不是最先警告攻击者会利用wsl运行恶意软件的安全研究人员。在2016年美国黑帽大会和微软的蓝帽安全大会上的讲话中,著名的windows内构专家alex ionescu就曾提请人们注意这一风险。ionescu是安全公司crowdstrike的端点检测与响应策略副总裁,在github上维护着自己的wsl研究项目库。
一定程度上,bashware是基于ionescu之前的发现。不过,该技术根据wsl现状作了改动。显然,一年过去了,许多安全厂商还未做好应对这种新技术的准备。
获取windows计算机的管理员权限并不一定很难,至少攻击者一直都在做。然而,这些额外步骤给了安全产品检测、中止攻击链的机会,使攻击者无法利用bashware隐藏恶意流量。
check point研究人员拒绝透露哪些安全产品的检测机制可以被绕过,并表示,研究的目的是提请整个安全行业注意这个问题。在报告中,他们这么说:
“我们认为,安全厂商支持这个新技术不仅至关重要,而且迫在眉睫,唯有这样,才能阻止bashware之类的威胁。”
赛门铁克安全技术与响应高级副总裁adam bromwich表示,wsl不是一个常用攻击向量,若攻击者将其作为攻击源,首先需要将恶意软件下载到目标计算机中。“基于这种wsl架构,赛门铁克设计了扫描器、机器学习和防护技术,可扫描、检测使用wsl创建的恶意软件。”
卡巴斯基实验室在给笔者的一封邮件中提到,公司计划修改杀毒软件,以便未来可以检测这种类型的恶意软件。公司在一封邮件声明中透露,
“卡巴斯基实验室知道存在针对wsl创建恶意软件的可能性,因此正开发技术,以检测用户设备中的这种恶意软件。 实际上,2018年,卡巴斯基实验室会升级所有针对windows的解决方案,使用特殊技术,对于启用wsl模式的计算机中的linux和windows威胁进行行为和探索式检测以及拦截。”
卡巴斯基实验室表示,目前,公司的所有产品均可检测恶意软件下载程序以及此类攻击基于windows的部分。杀毒软件公司bitdefender未立即回应笔者请求,就此事发表看法。
原文发布时间:2017年9月12日
本文由:vice发布,版权归属于原作者
原文链接:http://toutiao.secjia.com/windows-linux-bashware#
本文来自云栖社区合作伙伴安全加,了解相关信息可以关注安全加网站