Форум | Новинки | Объявления | iMag | Подписка | Публикации журнала | Материалы

Новости проекта

Отраслевые новости

Угрозы

Преступления

Наказания

Партнеры


Журнал "Information Security"

Каталог "IT-Security"

Рекламодателям

Сотрудничество


Материалы

Форум

ITSec Weekly

Календарь

Публикации

Подписка

Контакты

Ссылки

Партнеры

Мероприятия

 
    Встроенная в Windows 10 оболочка Linux таит угрозу безопасности

Встроенная в Windows 10 оболочка Linux таит угрозу безопасности


12.09.2017

Встроенная в Windows 10 оболочка Linux таит угрозу безопасности

В прошлом году Microsoft по-настоящему удивила технологический мир, заявив, что в Windows можно будет запускать "родные" Linux-программы без виртуализации. Появившаяся в Windows 10 функция называется Windows Subsystem for Linux (WSL) и заставляет Linux-приложения "думать", будто они обращаются к ядру Linux. В настоящее время доступна только бета-версия WSL, а полная поддержка будет реализована в Windows Fall Creators Update.

 Новая функция существенно упрощает жизнь разработчикам, но также таит в себе потенциальную угрозу. По мнению экспертов в области безопасности, ее также могут использовать киберпреступники для сокрытия вредоносного ПО от антивирусных продуктов.

 Специалисты компании Check Point Software Technologies разработали метод, позволяющий с помощью WSL скрыть вредоносное ПО от обнаружения. Поскольку метод предполагает использование командной оболочки Bash, он получил название Bashware. Как сообщили исследователи Гал Элбаз (Gal Elbaz) и Двир Атиас (Dvir Atias) изданию Motherboard, метод позволяет скрыть вредонос практически от всех современных топовых антивирусных продуктов. Уточнить названия брендов и производителей эксперты отказались.

 В настоящее время WSL отключена по умолчанию, и для ее активации необходимо включить на системе "режим разработчика". Тем не менее, атака Bashware автоматизирует все шаги, необходимые для незаметной активации WSL на компьютере жертвы.

 Linux-программы, запускаемые на Windows через WSL, представляют собой так называемый пико-процесс, совершенно новый и существенно отличающийся от обычных приложений для Windows. В ходе исследования эксперты не обнаружили ни одного антивирусного продукта, способного осуществлять мониторинг пико-процессов, хотя Microsoft выпустила для этих целей специальный API – Pico API.

 Для успешного осуществления атаки через WSL злоумышленникам даже не нужно писать вредоносный код под Linux. С помощью программы Wine они могут использовать Bashware для сокрытия Windows-вредоносов. Wine представляет собой эквивалент WSL для Linux и позволяет без виртуализации запускать на Linux приложения под Windows.

 Метод Bashware предполагает незаметную установку Wine в загруженном пространстве пользователя Ubuntu и запуск через нее вредоносного ПО для Windows. Через WSL вредонос запустится на Windows в виде пико-процесса и тем самым обойдет антивирусные продукты.

 Bash – усовершенствованная и модернизированная версия командной оболочки Bourne shell. Одна из наиболее популярных современных разновидностей командной оболочки UNIX. Особенно популярна в среде Linux, где часто используется в качестве предустановленной командной оболочки. Bash представляет собой командный процессор, работающий, как правило, в интерактивном режиме в текстовом окне и способный читать команды из скриптов.

 


Securitylab


Добавить комментарий

Автор:
Компания:
E-mail:
Уведомлять о новых сообщениях в этой теме да
нет
Текст сообщения:
Введите код:









Реклама на сайте

ПОИСК

СВЕЖИЙ НОМЕР
ПОДПИСКА НА НОВОСТИ

 

 

 

 

Рейтинг@Mail.ru

Яндекс цитирования

Форум | Новинки | Объявления | iMag | Подписка | Публикации журнала | Материалы

Бесплатная подписка | Форум | Контакты | Ссылки | О чем этот сайт

Copyright © 2003-2013, ООО "Гротек"
Использование материалов сайта возможно при указании активной гиперссылки на главную страницу этого сайта. Ссылка должна выглядеть так: Itsec.Ru.