Díky nové funkci ve Windows 10 vznikl neodhalitelný malware. Antiviry jsou na něj krátké

Díky nové funkci ve Windows 10 vznikl neodhalitelný malware. Antiviry jsou na něj krátké

Tým počítačových expertů z bezpečnostní společnosti Check Point vytvořil nový druh škodlivého kódu pro Windows 10, který nedokáže zachytit žádné antivirový software. Infiltrační technika spoléhá na unixový shell, který je volitelnou součástí systému Windows 10. Na hrozbu upozornil web iTWire.

Připomeňme, že Microsoft loni překvapil svým rozhodnutím integrovat do operačního systému Windows 10 plnohodnotný příkazový shell interpreter Bash. Následně, 3. srpna 2016, byl uvolněn komplexní balík aktualizací známý pod názvem Anniversary Update a unixový příkazový řádek se tak stal součástí Windows 10.

Funkce Windows Subsystem for Linux (WSL), která je zodpovědná za běh unixového shellu, využívá pro svou činnost sadu speciálních ovladačů a služeb. Za účelem maximální kompatibility byly zavedeny i takzvané Pico procesy umožňující spouštění ELF souborů v prostředí systému Windows.

V praxi jsou všechny vstupy inicializované přes WSL transformovány na ekvivalentní volání, které lze spustit v jádru systému Windows. Následně se s požadavky pracuje tak, jakoby je inicializovala běžná aplikace vytvořená pro Windows. Reálně však nejde o virtualizaci, ale o nativní překlad systémových volání.

Výzkumníci ve své zprávě upozornili, že funkce WSL by mohla být zneužita na dokonalé zamaskování záškodnické aktivity. Během testování vytvořili vzorek škodlivého kódu, kterým průběžně infikovali počítače se špičkovými bezpečnostními produkty. Výsledkem je, že se jim podařilo obejít každý z nich a úspěšně spustili infiltraci.

Dostal jméno Bashware

Experti upozorňují, že tzv. Bashware pro svou činnost nevyužívá žádné logické, ani programátorské chyby ve WSL. Podle jejich slov je útok možný kvůli nedostatečnému zájmu ze strany výrobců a dodavatelů bezpečnostních produktů.

Problémem má být zejména mylné přesvědčení, že funkce WSL musí být manuálně povolena přes režim určený pro vývojáře. Proto v současnosti neexistuje výraznější snaha o její antivirové ošetření.

Funkce WSL je skutečně volitelná a standardně není aktivní. Podle výzkumníků však stačí jednoduchým skriptem upravit několik klíčů v registru systému Windows a celá činnost se provede nenápadně na pozadí. Jediné, co musí potenciální oběť udělat, je spustit podstrčený soubor. Počítač se následně může infikovat malwarem či vyděračským virem nového typu.

V rámci demonstrace bylo zveřejněno i názorné video:

První část videa prezentuje reálnou funkčnost nespecifikovaného antivirového softwaru. Ve druhé části se spustí malware zneužívající WSL. Komplexní škodlivý kód průběžně aktivuje WSL, vývojářské prostředí, nainstaluje rozhraní Wine a nakonec spustí samotnou infiltraci. Závěrečná část prezentuje spuštění a činnost vyděračské viru.

Společnost Check Point odmítla specifikovat, které bezpečnostní produkty selhaly. Cílem výzkumu údajně bylo vzbudit zájem tvůrců antivirů o zajištění funkce WSL.

Diskuze (15) Další článek: 7 kroků, jak přežít GDPR: Jak uřídit data? Nepotřebné vyhoďte (2)

Témata článku: Software, Microsoft, Windows, Linux, Windows 10, Bezpečnost, Operační systémy, Malware, Antivirus, Anniversary Update, Bashe, Vyděračský vir, Druhá část, Operační systém, Check Point, Funkce, Názorné video, Volitelná součást, Speciální ovladač, Nová funkce, Nový typ, Reálná funkčnost, Picasa, Shell, První část

Určitě si přečtěte


Aktuální číslo časopisu Computer

Zachraňte nefunkční Windows

Jak nakupovat a prodávat kryptoměny

Otestovali jsme konvertibilní notebooky

Velký test 14 herních myší