Bashware: Wine w Linuksie na Windowsie 10 pozwala na niewidzialne malware

Bashware: Wine w Linuksie na Windowsie 10 pozwala na niewidzialne malware12.09.2017 15:37

Bashware – taką nazwę otrzymała opracowana przez twórcówzłośliwego oprogramowania nowa technika ataku na Windowsa 10, którapozwala obejść wszystkie wykorzystywane dziś programyantywirusowe. Jak sugeruje nazwa, wykorzystywana jest w tym celupowłoka bash, część Windows Subsystem for Linux (WSL) –linuksowego podsystemu Windowsa.

PowerShell jest niewątpliwie bardzo dobrą i zaawansowanąpowłoką systemową, ale świat używa przede wszystkim uniksowychtechnologii i brak czegoś, co pozwoliłoby uruchamiać normalne,dobrze znane narzędzia konsolowe znacząco utrudniał Microsoftowikonkurowanie z Apple o programistów spoza światka Visual Studio.Wbudowanie w Windows 10 wziętego z Ubuntu środowiska linuksowego,uruchamianego na podsystemie windowsowego kernela, zmieniło tęsytuację.

W marcu zeszłego roku WSL zadebiutowałw Windowsie 10, a rok później był już na tyle dojrzały, żemożna było z nim śmiałopracować. Microsoft zapowiada, że WSL stanie się domyślnączęścią Windowsa 10 wraz z wydaniem aktualizacji Fall CreatorsUpdate. I wraz z tym, stanie się kolejną drogą do ataków naWindowsa.

Badacze z firmy Check Point przedstawiliwłaśnie bardzo skuteczną metodę ukrycia złośliwejaktywności w Windowsie 10 przed nawet najskuteczniejszymiantywirusami, która korzysta z możliwości, jakie oferuje wbudowanyw ten system operacyjny linuksowy podsystem. Chodzi tu o nową klasęprocesów o nazwie Pico, które po prostu są dla antywirusówniewidzialne, a które wykorzystywane są przy uruchamianiulinuksowych programów.

Procesy Pico są minimalnymi kontenerami zawierającymi linuksowebinarki typu ELF, pozbawionymi całej typowej dla procesów WindowsaNT struktury. Zarówno aplikacje linuksowe jak i system działają wcałości w pojedynczym procesie, w izolowanym środowisku wprzestrzeni użytkownika. Wszystkie linuksowe wywołania systemowetrafiają do kernela Windowsa, po drodze konwertowane przezsterowniki lxss.sys i lxcore.sys w normalne wywołania API Windowsa.

Mimo jednak kompletnego braku cech charakterystycznych procesówWindowsa, Pico mają takie same możliwości jak one. Dzięki temuotwierają drogę do Bashware: naprawdę pomysłowego obejściawindowsowych zabezpieczeń w czterech krokach.

  1. Napastnik musi sprawdzić, czy WSL jest włączone. Sprawdza wtym celu stan sterowników Pico, a jeśli ich nie ma, to doinstalujeje systemowym narzędziem DISM. Jedna komenda wydana w tle jestniewidzialna dla użytkownika, nie budzi żadnych alarmów.
  1. WSL do działania wymaga włączenia trybu deweloperskiego –ma to być ochrona przed nadużyciami. Można to jednak zrobić wniezauważony dla użytkownika sposób, ustawiając dwa klucze wRejestrze. Co prawda potrzeba do tego uprawnień lokalnegoadministratora, ale mało to jest na Windowsa znanych atakówpodwyższenia uprawnień? Co więcej, chwilę po przeprowadzeniu tejoperacji, Bashware może z powrotem zmienić Rejestr, niepozostawiając żadnych śladów uaktywnienia WSL.
  1. Kolejny krok to zainstalowanie Linuksa, ponieważ linuksowainstancja nie ma wciąż żadnego systemu plików. Robi się tojednym poleceniem, Lxrun /install – w tle po cichu pobrany zostanieobraz Ubuntu 16.04, który za chwilę stanie się całkowiciesprawnym, niezależnym od Windowsa i jego zabezpieczeń środowiskiemuruchomieniowym. Co można dalej zrobić?
  1. Teraz czas na prawdziwie multiplatformowe malware. W tym celuBashware instaluje w środowisku WSL… Wine. Tak, ta opensource’owawarstwa kompatybilności Windowsa dla systemów uniksowych działajuż po pewnych poprawkach w WSL, pozwalając uruchomić windowsowebinarki wewnątrz linuksowego systemu działającego w ramachwindowsowego systemu. Wine konwertuje wywołania Windows API nawywołania zgodne z POSIX. Tak więc windowsowe malware uruchomione wWine zostaje przekonwertowane na POSIX, by następnie zostaćprzekonwertowane przez sterownik Pico na wywołania jądra NT, którewykona bez oporów to, co dostarczyło lxcore.sys.

W ten sposób, jak demonstrują badacze CheckPointa, można naWindowsie uruchomić dowolne windowsowe malware, całkowicie pozazasięgiem antywirusów.

To jednak nie koniec problemów z WSL: przypadkiem okazało się,że instalator Linuksa w Windowsie LxRun.exe jest podatny na sytuacjęhazardu (race condition). Jeśli napastnik zmodyfikuje pobieraneprzez instalator archiwum plików po tym, jak zostało pobrane, aleprzed jego rozpakowaniem, napastnik może dowolnie zmodyfikowaćpobrany obraz Linuksa – zapomniano o sprawdzeniu jegoautentyczności. Windows nawet podpowiada, kiedy zrobić tępodmianę, po pobraniu archiwum generuje jego skrót SHA256 izapisuje go do pliku… nic z tym skrótem więcej nie robiąc.

Zmieniony linuksowy system plików to zaś wielka okazja: z jegopoziomu mamy dostęp do systemów plików NTFS, podpiętych wLinuksie jako /mnt, z pełnymi uprawnieniami do czytania, pisania iuruchamiania windowsowych plików z poziomu WSL, z obejściemmechanizmów UAC.

Zademonstrowany przez CheckPointa atak jest spełnieniemprzepowiedni Alexa Ionescu z firmy Crowdstrike, który podczaszeszłorocznej konferencji BlackHat ostrzegał, że Ubuntu osadzone wWindowsie jest znacznie mniej bezpieczne, niż normalne dystrybucjeLinuksa. Jest tak, ponieważ problemy z kompatybilnością wymogływyłączenie większości mechanizmów ochronnych jądra. Ionescuostrzegał też wówczas, że złośliwy linuksowy kod mógłbywywoływać API Windowsa, przeprowadzając trudne do wychwyceniaprzez mechanizmy obronne Microsoftu ataki.

Dzięki zastosowaniu Wine jest jak widać jeszcze lepiej. Pókiprogramy antywirusowe nie nauczą się analizować procesów Pico,użytkownicy Windowsa 10 pozostaną przed takimi atakami bezbronni.

Źródło artykułu:www.dobreprogramy.pl
© dobreprogramy·Redakcja·Regulamin·Polityka prywatności·Reklama·Kontakt
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.

Przejdź na