محققان یک روش حمله جدید با نام Bashware معرفی کردهاند که از قابلیتهای ویندوز ساخته شده با ویژگی WSL استفاده میکند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، تقریبا سهسال است که مایکروسافت علاقه خود را به لینوکس بیان کرد، ولی علاقه مایکروسافت دستوپاگیر است. سال گذشته، مایکروسافت با اعلام ورود زیرسامانه لینوکس (WSL) به ویندوز ۱۰ که موجب خط فرمان لینوکس در ویندوز میشود، همه را شگفتزده کرد. این موضوع به کاربران اجازه میدهد تا بدون مجازیسازی، برنامههای لینوکس را در سامانه ویندوز اجرا کنند.
با این حال، محققان شرکت امنیتی فناوریهای نرمافزاری چکپوینت، یک موضوع امنیتی پنهانی با ویژگی WSL را کشف کردند که میتواند به خانواده بدافزارهای طراحیشده برای لینوکس اجازه دهد تا رایانههای با سامانه ویندوز را هدف قرر دهند. این بدافزارها برای تمامی نرمافزارهای امنیتی موجود، شناسایی نشدهاست. محققان یک روش حمله جدید با نام Bashware معرفی کردهاند که از قابلیتهای ویندوز ساخته شده با ویژگی WSL استفاده میکند که درحالحاضر نسخه بتای آن موجود بوده و قرار است در اکتبر ۲۰۱۷ میلادی بهروز شود.
حمله Bashware توسط تمامی راهحلهای ضدبدافزاری و امنیتی، غیرقابل شناسایی است. بهگفته محققان چکپوینت، روش حمله Bashware میتواند حتی توسط یک خانواده بدافزاری شناختهشده لینوکس، مورد بهرهبرداری قرار گیرد، زیرا راهکارهای امنیتی ویندوز برای تشخیص چنین تهدیداتی طراحی نشدهاست. این حمله جدید به مهاجم اجازه میدهد تا هرگونه بدافزار لینوکس را از حتی رایجترین راهکارهای امنیتی، ازجمله نسل جدید نرمافزارهای ضدبدافزاری، ابزار بازرسی بدافزار، راهکارهای ضدباجافزاری و سایر ابزارها، پنهان کند.
محققان معتقدند بستههای نرمافزاری امنیتی موجود برای سامانههای ویندوز، بهمنظور نظارت بر فرایندهای اجرایی لینوکس در حال اجرا بر روی سیستمعامل ویندوز، هنوز اصلاح نشدهاند. محققان چکپوینت میگویند: «راهکارهای امنیتی موجود با نظارت بر فرایندهای اجرایی لینوکس در حال اجرا بر روی سیستمعامل ویندوز، یک مفهوم ترکیبی که اجازه میدهد تا ترکیبی از سیستمهای لینوکس و ویندوز بهصورت همزمان اجرا شود، هنوز سازگار نیستند. این امر ممکن است دری را برای مجرمان اینترنتی مایل به اجرای کد مخرب غیرقابل کشف خود باز کند و به آنها اجازه میدهد تا از ویژگیهای ارائه شده توسط WSL برای پنهان شدن از محصولات امنیتی که هنوز سازوکار تشخیصی مناسبی ندارند، استفاده کنند.»
مایکروسافت بهمنظور اجرای برنامههای لینوکس در یک محیط جداگانه، «فرایندهای پیکو» را معرفی کرد که اجرای پروندههای باینری ELF را در سیستمعامل ویندوز اجازه میدهد. محققان چکپوینت طی آزمایشهای خود توانستند حمله Bashware را بر روی «محصولات ضدبدافزاری و امنیتی پیشرو در بازار» آزمایش کرده و با موفقیت تمامی آنها را دور بزنند. به همین دلیل است که هیچ محصول امنیتی فرایندهای پیکو را نظارت نمیکند، حتی زمانیکه واسطهای برنامهنویسی پیکو مایکروسافت، یک رابط برنامهنویسی کاربردی ویژه را آماده کرد که میتواند توسط شرکتهای امنیتی برای نظارت بر روی چنین فرایندهایی استفاده شود.
محققان نتیجه گرفتند: «آنچه که Bashware را قادر میسازد تا اینگونه عمل کند، کمبود آگاهی توسط فروشندگان امنیتی مختلف است، زیرا این فناوری نسبتا جدید بوده و مرزهای شناخته شده سیستمعامل ویندوز را گسترش میدهد.»
مهاجمان Bashware به دسترسیهای مدیر وبسایت نیاز دارند. آیا این موضوع در ویندوز رایانههای شخصی مشکل است؟ بله، Bashware به دسترسیهای مدیریتی در رایانههای هدف نیاز دارد، اما دسترسی به امتیازات مدیر در ویندوز رایانههای شخصی از طریق حملات فیشینگ و یا سرقت گواهینامههای مدیر برای یک مهاجم باانگیزه کار دشواری نیست. با این حال، این حملات اضافی میتوانند هشداری برای محصولات ضدبدافزاری و امنیتی باشند، این حملات، پیش از حمله واقعی Bashware، میتوانند برای پنهان کردن بدافزار اجرا شوند.
از آنجایی که WSL بهطور پیشفرض روشن نبوده و بهمنظور فعال کردن آن و راهاندازی مجدد سامانه، لازم است، کاربران بهصورت دستی «حالت توسعه» را در سامانه رایانههای خود فعال کنند، خطرات ناشی از این ویژگی تا حدودی کاهش مییابد. با این حال، محققان چکپوینت میگویند که این یک واقعیت کمتر شناختهشده است که حالت توسعهدهنده را میتوان با اصلاح چند کلید رجیستری فعال کرد که میتواند توسط مهاجمان در سکوت و در پسزمینه و با امتیازات مناسب انجام شود. روش حمله Bashware، خودکارسازی رویههای مورد نیاز و بارگذاری اجزای WSL در سکوت، فعال کردن حالت توسعهدهنده، حتی بارگیری و استخراج پرونده سامانه لینوکس از کارگزارهای مایکروسافت و اجرای بدافزار است.
نفوذگرها با استفاده از Bashware، دیگر به برای نوشتن برنامههای بدافزاری برای لینوکس و اجرای آنها از طریق WSL در رایانههای ویندوز نیازی ندارند. این تلاش اضافی با استفاده از روش Bashware، که برنامه Wine را درون محیط کاربری اوبونتو نصب کرده سپس از طریق آن بدافزار شناختهشده ویندوز را راهاندازی میکند، ذخیره شدهاست. سپس، بدافزار بهعنوان فرایندهای پیکو در ویندوز آغاز به کار میکند که آن را از نرمافزارهای امنیتی پنهان خواهد کرد.
این روش حمله جدید در اجرای آسیبپذیری WSL هیچ نقشی ندارد، اما از عدم توجه و آگاهی فروشندگان امنیتی مختلف نسبت به WSL ناشی میشود. از آنجایی که کالبد لینوکس درحالحاضر برای کاربران ویندوز در دسترس است، محققان بر این باورند که Bashware بهطور بالقوه میتواند ۴۰۰ میلیون رایانهای را که در سراسر جهان ویندوز ۱۰ را اجرا میکنند، تحتتاثیر قرار دهد.
محققان چکپوینت گفتند که درحالحاضر، شرکتشان راهکارهای امنیتی خود را برای مبارزه با چنین حملاتی ارتقا داده و از فروشندگان امنیتی دیگر خواستند که بر این اساس، نسل بعدی محصولات ضدبدافزاری و امنیتی خود را تغییر داده و بهروزرسانی کنند.