Bashware: de techniek die ervoor zorgt dat malware de beveiliging omzeilt

Elke keer vinden we meer geavanceerde malware, die in veel gevallen aan alle veiligheidscontroles ontsnapt. Mede dankzij een techniek genaamd Bashware. Met deze techniek kan malware een functie van Windows 10 gebruiken, Subsystem for Linux (WSL) genaamd , en wordt zo voorkomen dat beveiligingssoftware op de computer wordt geïnstalleerd.

Bashware: de techniek die ervoor zorgt dat malware de beveiliging omzeilt

Deze WSL werkt met Bash-opdrachten, die gebruikers in een CLI typen. Op deze manier maken ze shell-opdrachten aan hun Windows-tegenhangers. De gegevens worden verwerkt binnen de Windows-kernel en er wordt een antwoord verzonden. Zowel de Bash CLI als een Linux-bestand.

Bashware actief sinds 2016

Bash is destijds door Microsoft ontwikkeld met het idee dat Linux-gebruikers zouden zien hoe gemakkelijk het is om te gebruiken in Windows 10. De WSL-functie is sinds 2016 in ontwikkeling. Hoewel Microsoft al de komst van een stabiele versie heeft aangekondigd met Windows 10 Fall Creators Update. Als we ons specifiek op Bashware concentreren, is dit een techniek waarmee je de geheime Linux-shell in Windows 10 kunt gebruiken. Op deze manier worden kwaadaardige handelingen verborgen.

Onderzoekers zeggen dat de huidige antivirus deze bewerkingen niet detecteert. Omdat ze geen ondersteuning hebben voor Pico- processen. Hoewel Bashware gelukkig geen waterdichte methode is. Vooral omdat het beheerdersrechten vereist. De schadelijke programma's die Windows 10 bereiken, hebben toegang op beheerdersniveau nodig. Alleen dan kunnen ze de WSL-functie inschakelen. Functie die standaard is uitgeschakeld.

Het probleem is dat het Windows-aanvalsoppervlak veel EoP-gebreken heeft. Het is dus niet te ingewikkeld om de beheerdersrechten te krijgen. En als de aanvaller slaagt, kan hij Windows 10 in de ontwikkelaarsmodus zetten. Het gevaar van Bashware is dus reëel.