Díky nové funkci ve Windows 10 vznikl neodhalitelný malware. Antiviry jsou na něj krátké

Díky nové funkci ve Windows 10 vznikl neodhalitelný malware. Antiviry jsou na něj krátké

Tým počítačových expertů z bezpečnostní společnosti Check Point vytvořil nový druh škodlivého kódu pro Windows 10, který nedokáže zachytit žádné antivirový software. Infiltrační technika spoléhá na unixový shell, který je volitelnou součástí systému Windows 10. Na hrozbu upozornil web iTWire.

Připomeňme, že Microsoft loni překvapil svým rozhodnutím integrovat do operačního systému Windows 10 plnohodnotný příkazový shell interpreter Bash. Následně, 3. srpna 2016, byl uvolněn komplexní balík aktualizací známý pod názvem Anniversary Update a unixový příkazový řádek se tak stal součástí Windows 10.

Funkce Windows Subsystem for Linux (WSL), která je zodpovědná za běh unixového shellu, využívá pro svou činnost sadu speciálních ovladačů a služeb. Za účelem maximální kompatibility byly zavedeny i takzvané Pico procesy umožňující spouštění ELF souborů v prostředí systému Windows.

V praxi jsou všechny vstupy inicializované přes WSL transformovány na ekvivalentní volání, které lze spustit v jádru systému Windows. Následně se s požadavky pracuje tak, jakoby je inicializovala běžná aplikace vytvořená pro Windows. Reálně však nejde o virtualizaci, ale o nativní překlad systémových volání.

Výzkumníci ve své zprávě upozornili, že funkce WSL by mohla být zneužita na dokonalé zamaskování záškodnické aktivity. Během testování vytvořili vzorek škodlivého kódu, kterým průběžně infikovali počítače se špičkovými bezpečnostními produkty. Výsledkem je, že se jim podařilo obejít každý z nich a úspěšně spustili infiltraci.

Dostal jméno Bashware

Experti upozorňují, že tzv. Bashware pro svou činnost nevyužívá žádné logické, ani programátorské chyby ve WSL. Podle jejich slov je útok možný kvůli nedostatečnému zájmu ze strany výrobců a dodavatelů bezpečnostních produktů.

Problémem má být zejména mylné přesvědčení, že funkce WSL musí být manuálně povolena přes režim určený pro vývojáře. Proto v současnosti neexistuje výraznější snaha o její antivirové ošetření.

Funkce WSL je skutečně volitelná a standardně není aktivní. Podle výzkumníků však stačí jednoduchým skriptem upravit několik klíčů v registru systému Windows a celá činnost se provede nenápadně na pozadí. Jediné, co musí potenciální oběť udělat, je spustit podstrčený soubor. Počítač se následně může infikovat malwarem či vyděračským virem nového typu.

V rámci demonstrace bylo zveřejněno i názorné video:

První část videa prezentuje reálnou funkčnost nespecifikovaného antivirového softwaru. Ve druhé části se spustí malware zneužívající WSL. Komplexní škodlivý kód průběžně aktivuje WSL, vývojářské prostředí, nainstaluje rozhraní Wine a nakonec spustí samotnou infiltraci. Závěrečná část prezentuje spuštění a činnost vyděračské viru.

Společnost Check Point odmítla specifikovat, které bezpečnostní produkty selhaly. Cílem výzkumu údajně bylo vzbudit zájem tvůrců antivirů o zajištění funkce WSL.

Témata článku: Software, Microsoft, Windows, Linux, Bezpečnost, Operační systémy, Windows 10, Antivirus, Anniversary Update, Malware, Škodlivý kód, Shell, Vyděračský vir, Unixový shell, Maximální kompatibilita, Závěrečná část, Speciální ovladač, Funkce, Operační systém, Potenciální oběť, Check Point, Picasa, WSL, Jednoduchý skript, Vývojářské prostředí

15 komentářů

Nejnovější komentáře

  • umiyaki.cz 14. 9. 2017 8:51:06
    To je zase bulvár.
  • Petr Griga 13. 9. 2017 14:51:10
    To je vtip? "Podle výzkumníků však stačí jednoduchým skriptem upravit...
  • astray 13. 9. 2017 14:23:44
    Tak přece jen měl velký Bill pravdu, že tenhleten Linuks je virus.
Určitě si přečtěte

Co mohou USA poslat Japonsku a Jižní Koreji proti Kimovi?

Co mohou USA poslat Japonsku a Jižní Koreji proti Kimovi?

** Donald Trump nedávno zatweetoval, že USA nabídnou Japonsku a Jižní Koreji podstatně větší množství výzbroje ** Postavit nové lodě, letadla nebo rakety ale zabere hodně dlouhou dobu ** Pokud to USA myslí s pomocí vážně, tak Američané zřejmě sáhnou do vlastních zásob

13.  9.  2017 | Stanislav Mihulka | 3

CCleaner obsahuje softwarovou havěť! Tvůrcům se do kódu dostali hackeři

CCleaner obsahuje softwarovou havěť! Tvůrcům se do kódu dostali hackeři

** Masově oblíbený program pro softwarovou očistu Windows ovládli hackeři ** Narušení se podařilo zavčas odhalit, unikla jen data o počítačích uživatelů ** Je paradoxní, že CCleaner byl slabě zabezpečen, když jej letos koupil Avast

Včera | David Polesný | 45

Jak tankují bombardéry: Z létající benzinky šest kilometrů nad Českem

Jak tankují bombardéry: Z létající benzinky šest kilometrů nad Českem

** Bombardéry tankují z létající benzinky Boeing KC-135 Stratotanker ** Tu americké letectvo pro doplňování paliva jiných letounů ve vzduchu využívá už více jak půlstoletí ** Tankování probíhá přes speciální výsuvné čerpací rameno na zádi

17.  9.  2017 | Natoaktual.cz


Aktuální číslo časopisu Computer

Vyplatí se ještě těžit kryptoměny?

Velký test studentských notebooků

Test pěti levných soundbarů

Nejlepší chytré hodinky