Bashware: a técnica que faz com que o malware desvie da segurança

Sempre que encontramos malware mais sofisticado, que muitas vezes escapa a todos os controles de segurança. Em parte, é graças a uma técnica chamada Bashware. Essa técnica permite que o malware use um recurso do Windows 10 chamado Subsistema para Linux (WSL) e, portanto, impede o software de segurança instalado no computador.

Bashware: a técnica que faz com que o malware ignore a segurança

Este WSL trabalha com comandos Bash, que os usuários digitam em uma CLI. Dessa maneira, eles fazem dos comandos do shell seus equivalentes no Windows. Os dados são processados ​​no kernel do Windows e uma resposta é enviada. A CLI do Bash e um arquivo Linux.

Bashware ativo desde 2016

O Bash foi desenvolvido pela Microsoft em sua época com a ideia de que os usuários do Linux veriam como é fácil usar no Windows 10. A função WSL está em desenvolvimento desde 2016. Embora a Microsoft já tenha anunciado a chegada de uma versão estável com o Windows 10 Fall Creators Update. Se focarmos especificamente no Bashware, é uma técnica que permite usar o shell secreto do Linux no Windows 10. Dessa maneira, operações maliciosas ficam ocultas.

Os pesquisadores dizem que o antivírus atual não detecta essas operações. Porque eles não têm suporte para os processos do Pico. Embora, felizmente, o Bashware não seja um método infalível. Principalmente porque requer permissões de administrador. Esses programas maliciosos que atingem o Windows 10 precisam de acesso no nível de administração. Somente então eles podem ativar a função WSL. Função que está desativada por padrão.

O problema é que a superfície de ataque do Windows tem muitas falhas de EoP. Portanto, não é muito complicado obter permissões de administrador. E quando o invasor obtém êxito, ele pode colocar o Windows 10 no modo de desenvolvedor. Portanto, o perigo do Bashware é real.