最近，我們發(fā)現(xiàn)一種新的令人震驚的繞過殺軟的辦法，該辦法允許任何已知的歹意軟件繞過最常見的安全處置計劃，例如下一代防病毒軟件，安全檢測工具以及反敲詐改軟件等。這種技術(shù)被稱為Bashware。

該技術(shù)在完成上應(yīng)用了Windows 10系統(tǒng)上一個新的、稱為Subsystem for Linux(WSL)的功用，此新功用能夠使Windows操作系統(tǒng)用戶運用盛行的bash終端，而且該功用還能夠使Windows用戶在本機操作系統(tǒng)上運轉(zhuǎn)Linux操作系統(tǒng)的可執(zhí)行文件。該功用能夠允許Linux和Windows系統(tǒng)中的進程在同一時間運轉(zhuǎn)，由于現(xiàn)有的安全處置計劃還不能夠監(jiān)視在Windows操作系統(tǒng)上運轉(zhuǎn)的Linux可執(zhí)行文件的進程，因而該技術(shù)可能為那些希望運轉(zhuǎn)歹意代碼的網(wǎng)絡(luò)立功分子提供了便利，他們能夠應(yīng)用WSL來繞過尚未集成正確檢測機制的安全產(chǎn)品。

Bashware是一個十分令人震驚的技術(shù)，任何歹意軟件應(yīng)用WSL機制都能夠很容易的繞過安全產(chǎn)品。Bashware技術(shù)在完成上應(yīng)用了Windows Subsystem for Linux（WSL）的底層機制，該功用是Windows 10系統(tǒng)中的一個新功用，允許本機Linux ELF二進制文件在Windows上運轉(zhuǎn)。

Bashware技術(shù)在完成上應(yīng)用了WSL，使得歹意軟件能夠以躲藏的方式運轉(zhuǎn)，從而繞過當前大多數(shù)安全產(chǎn)品的檢測。該技術(shù)的關(guān)鍵在于Pico進程結(jié)構(gòu)的設(shè)計，固然Pico進程與常見的Windows進程特征不同，以至該進程沒有任何特征能夠?qū)⑵錁俗R為一個常見的NT進程，但是Pico進程卻具有與常見NT進程相同的功用，并且不會構(gòu)成任何的要挾。

Bashware成為運轉(zhuǎn)任何歹意軟件，繞過最常見的防病毒安全產(chǎn)品、安全檢測工具，調(diào)試工具等的圓滿工具。Microsoft已采取措施，輔佐安全廠商處置由WSL引入的新的安全問題，例如Microsoft提供了Pico APIs，這些API接口可由AV公司調(diào)用以用來對這些類型的進程中止監(jiān)控。

ice

收藏 海報分享