Bashware技术：助力恶意软件利用Windows 10的Linux Shell绕过安全软件

Posted 2021-05-02 代码卫士

▌翻译：360代码卫士团队

Bashware是一种新技术，能让恶意软件使用Windows 10的新功能Subsystem for Linux (WSL) 绕过安装在某个终端商的安全软件。

2016年，微软宣布推出WSL作为运行Windows 10操作系统内部一个Linux shell (Bash) 的方式。这样做是为了吸引那些在编程相关方面易用的Linux的开发者社区。

WSL的工作流程是通过用于在CLI中输入的Bash命令，将shell命令转换为相对应的Windows命令，然后在Windows内核中处理数据，最后再给Bash CLI和一个本地Linux文件系统发送回一个相应。

自2016年3月起，WSL功能还处于测试阶段，不过微软最近称WSL会在今年秋季实现稳定版发布，10月17日将和Windows10秋季创作者更新版本同时发布。

现有安全软件无法检测到Bashware攻击

---

在最近几天发布的一份报告中，来自CheckPoint公司的安全研究员已公布了Bashware的技术详情。该技术能让恶意软件设备使用Windows 10的秘密Linux shell隐藏恶意操作。

研究人员表示现有的安全软件，包括下一代杀毒安全解决方案在内，都未能检测到这些操作。出现这种结果的原因是这些软件均缺乏对Pico进程的支持。该进程是一种新的Windows进程类，由微软为处理WSL操作而添加。

Bashware需要且能获取管理员权限

---

Bashware攻击并非一定能成功地在Windows执行恶意操作而不被人发现。Bashware攻击的成功首先需要拥有管理员权限。

存在于Windows10电脑上的恶意软件需要拥有管理员权限才能启用在默认情况下是禁用状态的WSL功能，然后打开Windows 10开发者模式。

遗憾的是，Windows的攻击面因很多权限提升(EoP) 漏洞受影响，攻击者可利用这些漏洞获取管理员权限开启WSL并通过DISM工具加载必要的驱动。打开WSL是一种静默操作，它需要有一个CLI命令。

另外，研究人员表示，已经获取管理员权限的攻击者让Windows10处于开发者模式并非难事。攻击者可修改一个注册键并等待（或强迫）用户重启电脑。

在这个阶段，攻击者已启用了WSL，但所安装的Linux系统尚未存在于用户电脑上。研究人员表示，用户系统上出现的多款工具能让攻击者从微软的服务器中静默下载Linux文件系统并完成WSL的安装。

当这个进程结束后，攻击者能利用新安装的BashCLI运行恶意操作。研究人员表示攻击者能通过Linux命令跟Windows电脑交互，而WSL会为攻击者转变所有内容；但是如果攻击者并不想修改已经存在的脚本，那么他能够安装Wine即针对Linux的一款Windows模拟器。

Wine能让攻击者执行由Wine转变为Linux命令且由WSL转换回Windows操作的恶意Windows命令，并在目标系统上运行。

安全软件需支持Pico进程

---

研究人员公布了关于Bashware攻击的详情，因此安全软件厂商能够在Windows 10秋季创作者更新发布之前研究并为WSL和Pico进程提供支持。

Bashware攻击的技术详情可见CheckPoint发布的一份报告。此外，研究人员还公布了一个演示Bashware攻击的视频。

首个指出WSL是Windows 10一个攻击面的安全研究员是CrowdStrike公司的Alex Ionescu，当时他在2016年欧洲黑帽大会上发表演讲时提出。

有兴趣及时了解WSL开发的研究人员可通过微软的WSL门户网站实现。

本文由360代码卫士编译，不代表360观点，转载请注明“转自360代码卫士www.codesafe.cn”。

---

360代码卫士

    长按二维码关注我们！