下一次更新定於 10 月 17 日進行,Windows 10 的 Linux 子系統– 它允許您本地運行 Linux 程序,目前處於測試階段 – 將成為功能完善。這應該會讓喜歡 shell 指令的有經驗的使用者感到滿意。但這也可能吸引更容易感染 Windows 工作站的駭客。無論如何,這正是 Check Point Software 的安全研究人員 Gal Elbaz 和 Dvir Atias 所擔心的。
根據主機板這兩位專家開發了一種名為「Bashware」的方法,將眾所周知的惡意軟體隱藏在 Linux 子系統中,而防毒軟體無法偵測到它。為了什麼 ?因為防毒發行商尚未對這項新技術進行部署。在 Linux 的 Windows 子系統中,程式會以「pico」進程執行,其結構與 Windows 進程不同。據 Check Point 稱,目前市場上的任何防毒產品都不會掃描這些特殊進程,儘管微軟提供了一個程式設計介面(Pico API)來實現這一點。因此,在 Linux 子系統中執行的惡意軟體不會被注意到。
一杯酒來簡化攻擊
這還不是全部。駭客甚至不需要重寫他的軟體。使用 Wine(Linux 的 Windows 模擬器),可以在 Windows 的 Linux 子系統中輕鬆運行為 Windows 編碼的軟體。這項變更使您無需更改一行程式碼即可繞過防毒軟體。實際的。
面對 Motherboard 的質疑,微軟認為這種攻擊是「低風險」的,因為 Linux 子系統預設並未激活,需要重新啟動機器。但根據 Check Point 的說法,要實現這一目標並不難。研究人員表示,只需更改幾個註冊表項即可啟動該子系統。至於重新啟動,等待用戶在一天結束時關閉電腦就足夠了。顯然,這一切仍然需要擁有管理員權限。這不一定很難獲得(特別是如果機器不是最新的),但它使攻擊更加複雜。在安裝將駐留在 Linux 子系統中的第二個惡意軟體之前,您必須先使用第一個惡意軟體成為 root。
無論如何,研究人員認為,“防毒產品供應商支持這項新技術至關重要且緊迫”以避免此類攻擊。就賽門鐵克而言,它相信其檢測引擎能夠應對這一問題。我們拭目以待。
