Ẩn mã độc nhờ lợi dụng tính năng Bash trên hệ điều hành Windows

Tính năng này có tên Windows Subsystem for Linux (WSL), là một cơ sở hạ tầng được Microsoft tạo ra để tương thích với Linux chạy trên và trong nhân hệ thống (kernel) Windows. Nói cách khác, WSL lừa các ứng dụng Linux tưởng là nó đang giao tiếp với hạt nhân Linux – phần cốt lõi của hệ điều hành bao gồm trình điều khiển phần cứng và các dịch vụ thiết yếu. Nhưng thực tế là các ứng dụng này giao tiếp với WSL để biên dịch các yêu cầu hệ thống sang phần tương đương cho hạt nhân Windows.

Ẩn mã độc nhờ lợi dụng tính năng Bash trên hệ điều hành Windows

Hai chuyên gia Gal Elbaz và Dvir Atias của Check Point cho biết: “Chúng tôi đã thử nghiệm kỹ thuật này trên hầu hết các sản phẩm bảo mật và diệt virus hàng đầu trên thị trường, và đã vượt qua chúng thành công”.

WSL được công bố lần đầu tiên vào tháng 3/2016 và được phát hành vào phát hàng tháng 08/2016, với mục đích hỗ trợ các nhà phát triển viết và kiểm tra mã cả trong Windows và Linux dễ dàng hơn mà không cần dùng máy ảo.

Điều thú vị về Bashware là kẻ tấn công không phải viết các chương trình mã độc cho Linux để chạy chúng thông qua WSL trên Windows, mà nhờ vào một chương trình có tên Wine, tin tặc có thể sử dụng kỹ thuật này để trực tiếp ẩn các mã độc Windows đã được biết đến. Trong một số trường hợp, Wine tương đương với WSL trên Linux vì nó cho phép người dùng Linux chạy các chương trình Windows trên các hệ thống này mà không cần môi trường ảo.

Hai chuyên gia Gal Elbaz và Dvir Atias của Check Point không phải là những người đầu tiên cảnh báo về khả năng lợi dụng WSL để chạy phần mềm độc. Chuyên gia nổi tiếng Alex Ionescu của Windows cũng đã lưu ý những rủi ro tương tự trong năm 2016 tại các cuộc hội thảo Black Hat USA và hội nghị BlueHat của Microsoft. Ionescu, Phó chủ tịch mảng chiến lược ứng phó và phát hiện thiết bị đầu cuối tại công ty bảo mật CrowdStrike, cũng đã liên tục công bố các nghiên cứu của ông về WSL trên diễn đàn Github.

Theo Mother Board