Subsistema Windows da Microsoft para o Linux (WSL) Explorado como um Portal Seguro para Malware seguro
Embora a atualização do Windows 10 Anniversary, lançada em agosto de 2016, ofereça muitos aprimoramentos, foi a introdução do Windows Subsystem para Linux (WSL) que atraiu a maior atenção. Desenvolvida em parceria com a Canonical Ltd., editora da distribuição Ubuntu do Linux, a WSL fornece um ambiente para a execução de aplicativos Linux em máquinas Windows 10 de 64 bits da mesma maneira que a camada de compatibilidade de código aberto do Wine oferece aos usuários do Linux a oportunidade de executar programas de software personalizados para o Microsoft Windows em suas máquinas baseadas em Unix. Embora as duas plataformas pareçam facilitar a vida dos apoiadores dos dois sistemas operacionais, elas também podem representar riscos significativos à segurança se usadas por motivos errados. Uma pesquisa recente mostrou que os cibercriminosos poderiam contrabandear malware para um sistema Windows 10 usando uma técnica conhecida como Bashware. Nomeado após o popular shell Bash Linux, o Bashware usa uma combinação de comandos WSL e Wine para ignorar os scanners AV até que seja tarde demais para evitar uma infecção.
Índice
O Principal Pré-Requisito
Para iniciar os executáveis binários do Linux em Executable and Linkable Format (ELF) no Windows 10, a WSL conta com o tradicional Linux Borne-Again SHell (shell BASH). Como o WSL não contém um kernel Linux padrão, esses binários ELF devem redirecionar as chamadas do sistema Linux que fazem para o kernel do Windows. Isso é possível devido aos novos processos do Pico que transforma as chamadas do sistema Linu nos APIs do NT com a ajuda de um driver emparelhado. Infelizmente, esse sistema híbrido, que permite que os programas Windows e Linux sejam executados em dois ambientes diferentes ao mesmo tempo, oferece aos criminosos muitas oportunidades para transformar um recurso legítimo, como o FSM, em um gateway de malware indetectável.
Como a maioria dos programas de segurança AV ainda não incorporou ferramentas para verificar os executáveis do Linux em execução no Windows 10, todos os criminosos precisam executar um .EXE malicioso no FSM.
Espere Um Segundo, os .EXEs não são Detectados pelos Digitalizadores AV por Padrão?
Sim, eles estão. No entanto, os programas antivírus só detectam o malware executável se ele for executado como um processo padrão do Windows NT. Por outro lado, os executáveis binários do Linux são executados nos processos do Pico. Embora ambos possam compartilhar funções semelhantes, eles são fundamentalmente diferentes, e é por isso que os processos do NT caem no radar dos AVs, enquanto os processos do Pico não.
OK, Entendi. Como a Infecção Real se Desdobra?
Se um bandido decidir atacar via Bashware, ele/ela terá que:
- Ative o modo de desenvolvedor do sistema
- Ativar FSM
- Instale a imagem do Linux
- Execute malware na WSL e oculte-o usando o Wine
Em teoria, as duas primeiras ações só podem ser executadas manualmente pelo usuário. Na realidade, os criminosos cibernéticos podem fazer isso remotamente adulterando algumas chaves do Registro (para ativar o modo de desenvolvedor) e utilizar a ferramenta DISM da Microsoft para ativar o WSF antes de baixar a imagem do Ubuntu na Windows Store. Por fim, eles instalam a camada de compatibilidade do Wine para executar o malware direcionado ao Windows em um ambiente Linux. Como o Wine transforma chamadas do sistema NT em chamadas da interface do sistema operacional portátil (POSIX), ele também converte o arquivo .EXE malicioso. Quando os processos do Pico restauram as chamadas POSIX para as APIs do NT, a infecção já começou.
Embora seja uma questão de tempo até que a maioria das empresas de segurança implemente uma solução para a ameaça Bashware, os pesquisadores da Microsoft compilaram um conjunto de diretrizes para os fornecedores de antivírus sobre o Bashware.