Chủ đề

(Không gian mạng) - Ngày 11/09, hãng bảo mật Check Point (Israel) khám phá kỹ thuật tấn công mới lợi dụng tính năng Bash trên hệ điều hành Windows – một giao diện dòng lệnh Linux có sẵn trong Windows 10 – để giúp cho mã độc không thể bị phát hiện.

Tính năng này có tên Windows Subsystem for Linux (WSL), là một cơ sở hạ tầng được Microsoft tạo ra để tương thích với Linux chạy trên và trong nhân hệ thống (kernel) Windows. Nói cách khác, WSL lừa các ứng dụng Linux tưởng là nó đang giao tiếp với hạt nhân Linux – phần cốt lõi của hệ điều hành bao gồm trình điều khiển phần cứng và các dịch vụ thiết yếu. Nhưng thực tế là các ứng dụng này giao tiếp với WSL để biên dịch các yêu cầu hệ thống sang phần tương đương cho hạt nhân Windows.

Ẩn mã độc nhờ lợi dụng tính năng Bash trên hệ điều hành Windows

Ẩn mã độc nhờ lợi dụng tính năng Bash trên hệ điều hành Windows

Hai chuyên gia Gal Elbaz và Dvir Atias của Check Point cho biết: “Chúng tôi đã thử nghiệm kỹ thuật này trên hầu hết các sản phẩm bảo mật và diệt virus hàng đầu trên thị trường, và đã vượt qua chúng thành công”.

WSL được công bố lần đầu tiên vào tháng 3/2016 và được phát hành vào phát hàng tháng 08/2016, với mục đích hỗ trợ các nhà phát triển viết và kiểm tra mã cả trong Windows và Linux dễ dàng hơn mà không cần dùng máy ảo.

Điều thú vị về Bashware là kẻ tấn công không phải viết các chương trình mã độc cho Linux để chạy chúng thông qua WSL trên Windows, mà nhờ vào một chương trình có tên Wine, tin tặc có thể sử dụng kỹ thuật này để trực tiếp ẩn các mã độc Windows đã được biết đến. Trong một số trường hợp, Wine tương đương với WSL trên Linux vì nó cho phép người dùng Linux chạy các chương trình Windows trên các hệ thống này mà không cần môi trường ảo.

Hai chuyên gia Gal Elbaz và Dvir Atias của Check Point không phải là những người đầu tiên cảnh báo về khả năng lợi dụng WSL để chạy phần mềm độc. Chuyên gia nổi tiếng Alex Ionescu của Windows cũng đã lưu ý những rủi ro tương tự trong năm 2016 tại các cuộc hội thảo Black Hat USA và hội nghị BlueHat của Microsoft. Ionescu, Phó chủ tịch mảng chiến lược ứng phó và phát hiện thiết bị đầu cuối tại công ty bảo mật CrowdStrike, cũng đã liên tục công bố các nghiên cứu của ông về WSL trên diễn đàn Github.

Gia Cát Linh (dịch từ Mother Board)

Biến thể mới của EMOTET phát tán qua mạng thư rác

Biến thể mới của EMOTET phát tán qua mạng thư rác

Ngày 07/09, hãng bảo mật Trend Micro (Nhật) báo cáo phát hiện sự gia tăng hoạt động của mã độc ngân hàng EMOTET trong tháng 08/2017, với các biến thể mới có khả năng “giải phóng” nhiều payload khác nhau. Được...
Thích và chia sẻ bài này trên:
Từ khóa: , ,
Bài viết, video, hình ảnh đóng góp cho chuyên mục vui lòng gửi về banbientap@trandaiquang.net