Bashware es el nombre de una nueva técnica que permite que el malware pueda utilizar una nueva característica de Windows 10 llamada Subsistema para Linux WSL
Microsoft anunció WSL como una manera de ejecutar un shell Linux (Bash) dentro del sistema operativo Windows 10. Esto se hizo para atraer a la comunidad de desarrolladores que se utiliza principalmente Linux debido a su facilidad de uso cuando se trata de tareas relacionados con la programación.WSL funciona tomando Bash comandos de los usuarios escriben en una CLI, la conversión de los comandos de la shell a sus homólogos de Windows, el procesamiento de los datos dentro del núcleo de Windows, y el envío de vuelta una respuesta, tanto al Bash CLI y un sistema de archivos de Linux local.
La característica WSL ha estado en desarrollo en una fase beta desde marzo de 2016, pero Microsoft ha anunciado recientemente WSL alcanzaría una versión estable este otoño con el lanzamiento del Windows 10 Creadores actualización, prevista para el 17 de octubre.
Bashware es invisible para el software de seguridad actual
En un informe publicado el 11 de septiembre, los investigadores de seguridad de Check Point han publicado detalles técnicos sobre Bashware, una técnica que permite a los desarrolladores de malware que utilizan Linux shell secreto de Windows 10 para ocultar las operaciones maliciosos.Los investigadores dicen que el software de seguridad actual, incluyendo las soluciones antivirus de nueva generación, no logran detectar estas operaciones.
Esto sucede debido a la falta de apoyo para todos los procesos de Pico, una nueva clase de procesos de Windows que Microsoft añadió para manejar las operaciones de WSL.
Bashware necesita acceso de administrador, pero puede no ser un problema
El ataque Bashware no es un método infalible para ejecutar operaciones maliciosos detectados en Windows. Un ataque Bashware, sobre todo, requiere privilegios de administrador.El malware que llega a un PC con Windows 10 necesita acceso a nivel de administrador para que pueda activar la función de WSL, que viene desactivado por defecto y, a continuación, gire en Windows 10 el modo de desarrollo.
La mala noticia es que la superficie de ataque de Windows está plagada de muchos EOP (elevación de privilegios) defectos que los atacantes pueden explotar para obtener acceso a nivel de administrador para activar el WSL y cargar los controladores necesarios mediante la utilidad de DISM. Encendido de WSL es una operación silenciosa, lo que requiere un solo comando CLI.
Un atacante que ha ganado privilegios de administrador no tendrá ningún problema para poner Windows 10 en modo desarrollador. Los atacantes pueden lograr esto mediante la modificación de una clave de registro y esperando (o fuerza) de un usuario que reinicie su PC.
En esta etapa, el atacante ha permitido WSL, pero el sistema de instalación de Linux que todavía no existe en el ordenador del usuario. Los investigadores dicen que las herramientas presentes en el sistema del usuario permiten que el agresor la descarga de forma silenciosa el sistema de archivos de Linux desde los servidores de Microsoft y complete la instalación WSL.
Cuando este proceso termina, el atacante puede utilizar el recién instalado Bash CLI para ejecutar operaciones maliciosos. Los investigadores dicen que el atacante puede utilizar comandos de Linux para interactuar con los PC con Windows, WSL traduciendo todo para el atacante, pero si el atacante no quiere modificar los scripts ya existentes, se pueden instalar Wine - un emulador de Windows para Linux.
Básicamente Wine, permite al atacante ejecutar comandos maliciosos de Windows que Wine traduce en comandos de Linux, que WSL se transforma de nuevo a operaciones de Windows, y se ejecuta en un sistema de destino.
