Bashware: la tècnica que fa que el malware se salti la seguretat

Cada vegada ens trobem amb malware més sofisticat, que en moltes ocasions escapa tots els controls de seguretat. En part és gràcies a una tècnica anomenada Bashware. Aquesta tècnica permet a l'malware utilitzar una característica de Windows 10 anomenada Subsystem for Linux (WSL) i evita així el programari de seguretat instal·lat en l'equip.

Bashware: La tècnica que fa que el malware se salti la seguretat

Aquest WSL funciona amb les ordres de Bash, que els usuaris escriuen en una CLI. D'aquesta manera, converteixen les ordres de shell en els seus homòlegs de Windows. Les dades es processen dins el nucli de Windows i s'envia una resposta. Tant a la CLI de Bash com a un arxiu de Linux.

Bashware actiu des 2016

Bash va ser desenvolupat per Microsoft en el seu dia amb la idea que els usuaris que fan servir Linux veiessin el fàcil que és el seu ús en Windows 10. La funció WSL ha estat en desenvolupament des de 2016. Encara que Microsoft ja ha anunciat l'arribada d'una versió estable amb Windows 10 Fall Creators Update. Si ens centrem en concret en Bashware, es tracta d'una tècnica que permet utilitzar el shell de Linux secret a Windows 10. D'aquesta manera s'oculten operacions malicioses.

Investigadors diuen que els antivirus actuals no detecten aquestes operacions. Perquè no tenen suport per a processos Pico. Encara que, per sort Bashware no és un mètode infal·lible. Principalment perquè requereix permisos d'administrador. Aquells programes maliciosos que arriben a Windows 10 necessiten accés a nivell d'administració. Només així poden habilitar la funció WSL. Funció que ve desactivada per defecte.

El problema és que la superfície d'atac de Windows presenta molts errors EOP. Pel que no és massa complicat obtenir els permisos d'administrador. I quan l'atacant ho aconsegueix, pot posar Windows 10 en mode desenvolupador. Pel que el perill de Bashware és real.