Tiempo de leer: 3 minutos
Cada componente de un sistema operativo agrega nuevas funcionalidades y, al mismo tiempo, crea posibles oportunidades para nuevas formas de malware. Recientemente, se identificó un riesgo potencial con el subsistema de Microsoft Windows para Linux (WSL), que ahora forma parte de Microsoft Windows 10.
Cabe señalar que en el momento de escribir este artículo, esto es solo un exploit potencial, y no uno que hayamos visto utilizado por el malware hasta el momento.
Alex Ionescu discutió en detalle el año pasado en Black Hat las posibles implicaciones de seguridad de esta función y cómo la mayoría del software de seguridad no puede hacer frente a ella (aquí está el video https://www.youtube.com/watch?v=_p3RtkwstNk).
El problema es que WSL ejecuta una instancia de Ubuntu Linux en una PC con Windows sin problemas, de modo que una pieza de malware puede ocultarse dentro de esta instancia de Linux mientras se ejecuta en la PC.
Esto crea una situación que sería muy difícil de manejar para una solución tradicional basada en la detección.
El proceso sería el siguiente:
- El usuario descarga y ejecuta un archivo que no ha sido previamente identificado por el antivirus productos instalados y, por lo tanto, no es detectado por el software antivirus .
- El archivo en ejecución habilita el subsistema de Windows para Linux (WSL) y lo configura de manera similar a un contenedor Docker, ejecutando el comando bash.exe. El comando bash.exe tiene varios parámetros que se pueden agregar, por lo que también tiene el potencial de ejecutar malware sin archivos.
- El archivo de ejecución de malware instala una carga útil maliciosa dentro de la instancia de Linux y ejecuta esta carga útil.
- Debido a que el malware se ejecuta dentro de un contenedor de Linux dentro de Windows, los productos antivirus en el entorno de Windows no lo ven.
En este punto, es importante tener en cuenta que Comodo Internet Security y Comodo Advanced Protección de punto final (AEP) habría detenido esta forma de ataque.
En el Paso 1, dado que no se detectará dropper.exe, se tratará como un de archivo desconocido y se ejecutará en un contenedor Comodo.
Por lo tanto, el paso 2 no funcionará porque cuando dropper.exe intente ejecutar bash.exe, bash.exe también se ejecutará dentro del contenedor Comodo, que bloqueará toda su comunicación basada en COM con LxssManager. Por lo tanto, Bash.exe producirá un error:
Comodo utiliza tecnología de contención, que virtualiza el disco duro, el registro y COM, lo que evita que los archivos y el malware sin archivos realicen actividades maliciosas, incluso cuando el archivo no se ha identificado previamente como el malware. Cuando un archivo que tiene un estado de seguridad desconocido intenta ejecutarse, está contenido en un contenedor virtual, y cuando el comando bash.exe intenta ejecutarse, se bloqueará su acceso al COM. Esto generará un error en la ejecución de bash, y la ventana de la terminal estará encerrada en un borde verde, indicando su estado contenido.
La solución de Comodo detiene tanto el malware basado en archivos como el sin archivos. Los contenedores de Comodo tienen un subsistema virtual COM / LPC patentado para proporcionar soporte COM / LPC para las aplicaciones en ejecución. Las interfaces COM de LxssManager no están habilitadas intencionalmente dentro del contenedor en este momento y se habilitarán una vez que la tecnología madure. Ver https://github.com/ionescu007/lxss/blob/master/WSL-BlueHat-Final.pdf por los problemas actuales.
Como proveedor, hemos estado usando seguridad basada en virtualización para la defensa de malware durante más de una década, desde 2009. Y a medida que el costo de usar la virtualización ha disminuido, la practicidad de este modelo ha aumentado.
El método descrito anteriormente es una de las muchas formas en que los creadores de malware pueden eludir el software de seguridad en una era posterior a la virtualización.
Recursos Relacionados:
PRUEBE LA SEGURIDAD DE SU CORREO ELECTRÓNICO OBTENGA SU TARJETA DE SEGURIDAD INSTANTÁNEA GRATIS Fuente: https://blog.comodo.com/comodo-news/understanding-mitigating-bashware-similar-threats/
