میلیون‌ها رایانه در معرض Bashware قرار دارند

امتیاز کاربران

ستاره غیر فعالستاره غیر فعالستاره غیر فعالستاره غیر فعالستاره غیر فعال
 

q88

 

نفوذگرها با استفاده از Bashware، دیگر به برای نوشتن برنامه‌های بدافزاری برای لینوکس و اجرای آنها از طریق WSL در رایانه‌های ویندوز نیازی ندارند.

تقریبا سه‌سال است که مایکروسافت علاقه‌ خود را به لینوکس بیان کرد، ولی علاقه‌ مایکروسافت دست‌وپاگیر است. سال گذشته، مایکروسافت با اعلام ورود زیرسامانه‌ لینوکس (WSL) به ویندوز ۱۰ که موجب خط فرمان لینوکس در ویندوز می‌شود، همه را شگفت‌زده کرد. این موضوع به کاربران اجازه می‌دهد تا بدون مجازی‌سازی، برنامه‌های لینوکس را در سامانه‌ ویندوز اجرا کنند.

با این حال، محققان شرکت امنیتی فناوری‌های نرم‌افزاری چک‌پوینت، یک موضوع امنیتی پنهانی با ویژگی WSL را کشف کردند که می‌تواند به خانواده‌ بدافزارهای طراحی‌شده برای لینوکس اجازه دهد تا رایانه‌های با سامانه‌ ویندوز را هدف قرر دهند. این بدافزارها برای تمامی نرم‌افزارهای امنیتی موجود، شناسایی نشده‌است. محققان یک روش حمله‌ جدید با نام Bashware معرفی کرده‌اند که از قابلیت‌های ویندوز ساخته شده با ویژگی WSL استفاده می‌کند که در‌حال‌حاضر نسخه‌ بتای آن موجود بوده و قرار است در اکتبر ۲۰۱۷ میلادی به‌روز شود.

حمله‌ Bashware توسط تمامی راه‌حل‌های ضدبدافزاری و امنیتی، غیرقابل شناسایی است. به‌گفته محققان چک‌پوینت، روش حمله‌ Bashware می‌تواند حتی توسط یک خانواده‌ بدافزاری شناخته‌شده‌ لینوکس، مورد بهره‌برداری قرار گیرد، زیرا راهکارهای امنیتی ویندوز برای تشخیص چنین تهدیداتی طراحی نشده‌است. این حمله‌ جدید به مهاجم اجازه می‌دهد تا هرگونه بدافزار لینوکس را از حتی رایج‌ترین راهکارهای امنیتی، ازجمله نسل جدید نرم‌افزارهای ضدبدافزاری، ابزار بازرسی بدافزار، راهکارهای ضدباج‌افزاری و سایر ابزارها، پنهان کند.

محققان معتقدند بسته‌های نرم‌افزاری امنیتی موجود برای سامانه‌های ویندوز، به‌منظور نظارت بر فرایندهای اجرایی لینوکس در حال اجرا بر روی سیستم‌عامل ویندوز، هنوز اصلاح نشده‌اند. محققان چک‌پوینت می‌گویند: «راهکارهای امنیتی موجود با نظارت بر فرایندهای اجرایی لینوکس در حال اجرا بر روی سیستم‌عامل ویندوز، یک مفهوم ترکیبی که اجازه می‌دهد تا ترکیبی از سیستم‌های لینوکس و ویندوز به‌صورت هم‌زمان اجرا شود، هنوز سازگار نیستند. این امر ممکن است دری را برای مجرمان اینترنتی مایل به اجرای کد مخرب غیرقابل کشف خود باز کند و به آنها اجازه می‌دهد تا از ویژگی‌های ارائه شده توسط WSL برای پنهان شدن از محصولات امنیتی که هنوز سازوکار تشخیصی مناسبی ندارند، استفاده کنند.»

مایکروسافت به‌منظور اجرای برنامه‌های لینوکس در یک محیط جداگانه، «فرایندهای پیکو» را معرفی کرد که اجرای پرونده‌های باینری ELF را در سیستم‌عامل ویندوز اجازه می‌دهد. محققان چک‌پوینت طی آزمایش‌های خود توانستند حمله‌ Bashware را بر روی «محصولات ضدبدافزاری و امنیتی پیشرو در بازار» آزمایش کرده و با موفقیت تمامی آنها را دور بزنند. به همین دلیل است که هیچ محصول امنیتی فرایندهای پیکو را نظارت نمی‌کند، حتی زمانی‌که واسط‌های برنامه‌نویسی پیکو مایکروسافت، یک رابط برنامه‌نویسی کاربردی ویژه را آماده کرد که می‌تواند توسط شرکت‌های امنیتی برای نظارت بر روی چنین فرایندهایی استفاده شود.

محققان نتیجه گرفتند: «آنچه که Bashware را قادر می‌سازد تا این‌گونه عمل کند، کمبود آگاهی توسط فروشندگان امنیتی مختلف است، زیرا این فناوری نسبتا جدید بوده و مرزهای شناخته شده‌ سیستم‌عامل ویندوز را گسترش می‌دهد.»

مهاجمان Bashware به دسترسی‌های مدیر وب‌سایت نیاز دارند. آیا این موضوع در ویندوز رایانه‌های شخصی مشکل است؟ بله، Bashware به دسترسی‌های مدیریتی در رایانه‌های هدف نیاز دارد، اما دسترسی به امتیازات مدیر در ویندوز رایانه‌های شخصی از طریق حملات فیشینگ و یا سرقت گواهی‌نامه‌های مدیر برای یک مهاجم باانگیزه کار دشواری نیست. با این حال، این حملات اضافی می‌توانند هشداری برای محصولات ضدبدافزاری و امنیتی باشند، این حملات، پیش از حمله‌ واقعی Bashware، می‌توانند برای پنهان کردن بدافزار اجرا شوند.

از آنجایی که WSL به‌طور پیش‌فرض روشن نبوده و به‌منظور فعال کردن آن و راه‌اندازی مجدد سامانه، لازم است، کاربران به‌صورت دستی «حالت توسعه» را در سامانه‌ رایانه‌های خود فعال کنند، خطرات ناشی از این ویژگی تا حدودی کاهش می‌یابد. با این حال، محققان چک‌پوینت می‌گویند که این یک واقعیت کمتر شناخته‌شده است که حالت توسعه‌دهنده را می‌توان با اصلاح چند کلید رجیستری فعال کرد که می‌تواند توسط مهاجمان در سکوت و در پس‌زمینه و با امتیازات مناسب انجام شود. روش حمله‌ Bashware، خودکارسازی رویه‌های مورد نیاز و بارگذاری اجزای WSL در سکوت، فعال کردن حالت توسعه‌دهنده، حتی بارگیری و استخراج پرونده‌ سامانه‌ لینوکس از کارگزارهای مایکروسافت و اجرای بدافزار است.

نفوذگرها با استفاده از Bashware، دیگر به برای نوشتن برنامه‌های بدافزاری برای لینوکس و اجرای آنها از طریق WSL در رایانه‌های ویندوز نیازی ندارند. این تلاش اضافی با استفاده از روش Bashware، که برنامه‌ Wine را درون محیط کاربری اوبونتو نصب کرده سپس از طریق آن بدافزار شناخته‌شده‌ ویندوز را راه‌اندازی می‌کند، ذخیره شده‌است. سپس، بدافزار به‌عنوان فرایندهای پیکو در ویندوز آغاز به کار می‌کند که آن را از نرم‌افزارهای امنیتی پنهان خواهد کرد.

این روش حمله‌ جدید در اجرای آسیب‌پذیری WSL هیچ نقشی ندارد، اما از عدم توجه و آگاهی فروشندگان امنیتی مختلف نسبت به WSL ناشی می‌شود. از آنجایی که کالبد لینوکس در‌حال‌حاضر برای کاربران ویندوز در دسترس است، محققان بر این باورند که Bashware به‌طور بالقوه می‌تواند ۴۰۰ میلیون رایانه‌ای را که در سراسر جهان ویندوز ۱۰ را اجرا می‌کنند، تحت‌تاثیر قرار دهد.

محققان چک‌پوینت گفتند که در‌حال‌حاضر، شرکت‌شان راهکارهای امنیتی خود را برای مبارزه با چنین حملاتی ارتقا داده و از فروشندگان امنیتی دیگر خواستند که بر این اساس، نسل بعدی محصولات ضدبدافزاری و امنیتی خود را تغییر داده و به‌روزرسانی کنند.