Bashware: la tecnica che fa in modo che il malware ignori la sicurezza

Ogni volta che troviamo malware più sofisticato, che in molte occasioni sfugge a tutti i controlli di sicurezza. In parte è grazie a una tecnica chiamata Bashware. Questa tecnica consente al malware di utilizzare una funzionalità di Windows 10 denominata Sottosistema per Linux (WSL) e quindi impedisce al software di sicurezza installato sul computer.

Bashware: la tecnica che rende il malware aggirare la sicurezza

Questo WSL funziona con i comandi Bash, che gli utenti digitano in una CLI. In questo modo, fanno i comandi della shell le loro controparti di Windows. I dati vengono elaborati all'interno del kernel di Windows e viene inviata una risposta. Sia l'interfaccia della riga di comando di Bash che un file Linux.

Bashware attivo dal 2016

Bash è stato sviluppato da Microsoft ai suoi tempi con l'idea che gli utenti Linux vedessero quanto fosse facile da usare in Windows 10. La funzione WSL è in fase di sviluppo dal 2016. Sebbene Microsoft abbia già annunciato l'arrivo di una versione stabile con Windows 10 Fall Creators Update. Se ci concentriamo specificamente su Bashware, è una tecnica che ti consente di utilizzare la shell segreta di Linux in Windows 10. In questo modo le operazioni dannose vengono nascoste.

I ricercatori affermano che l' attuale antivirus non rileva queste operazioni. Perché mancano di supporto per i processi Pico. Anche se fortunatamente Bashware non è un metodo infallibile. Principalmente perché richiede autorizzazioni di amministratore. Quei programmi dannosi che raggiungono Windows 10 richiedono l'accesso a livello di amministrazione. Solo allora possono abilitare la funzione WSL. Funzione disabilitata per impostazione predefinita.

Il problema è che la superficie di attacco di Windows presenta molti difetti EoP. Quindi non è troppo complicato ottenere le autorizzazioni di amministratore. E quando l'attaccante riesce, può mettere Windows 10 in modalità sviluppatore. Quindi il pericolo di Bashware è reale.