Cada vez nos encontramos con malware más sofisticado, que en muchas ocasiones escapa todos los controles de seguridad. En parte es gracias a una técnica llamada Bashware. Esta técnica permite al malware usar una característica de Windows 10 llamada Subsystem for Linux (WSL) y evita así el software de seguridad instalado en el equipo.
Bashware: La técnica que hace que el malware se salte la seguridad
Este WSL funciona con los comandos de Bash, que los usuarios escriben en una CLI. De esta manera, convierten los comandos de shell en sus homólogos de Windows. Los datos se procesan dentro del kernel de Windows y se envía una respuesta. Tanto a la CLI de Bash como a un archivo de Linux.
Bashware activo desde 2016
Bash fue desarrollado por Microsoft en su día con la idea de que los usuarios que usan Linux vieran lo fácil que es su uso en Windows 10. La función WSL ha estado en desarrollo desde 2016. Aunque Microsoft ya ha anunciado la llegada de una versión estable con Windows 10 Fall Creators Update. Si nos centramos en concreto en Bashware, se trata de una técnica que permite usar el shell de Linux secreto en Windows 10. De esta forma se ocultan operaciones maliciosas.
Investigadores dicen que los antivirus actuales no detectan estas operaciones. Porque carecen de soporte para procesos Pico. Aunque, por suerte Bashware no es un método infalible. Principalmente porque requiere permisos de administrador. Aquellos programas maliciosos que llegan a Windows 10 necesitan acceso a nivel de administración. Sólo así pueden habilitar la función WSL. Función que viene deshabilitada por defecto.
[irp]
El problema es que la superficie de ataque de Windows presenta muchos fallos EoP. Por lo que no es demasiado complicado obtener los permisos de administrador. Y cuando el atacante lo logra, puede poner Windows 10 en modo desarrollador. Por lo que el peligro de Bashware es real.