最近,我们发现一种新的令人震惊的绕过杀软的办法,该办法允许任何已知的歹意软件绕过最常见的安全处置计划,例如下一代防病毒软件,安全检测工具以及反敲诈改软件等。这种技术被称为Bashware。

Bashware!一种歹意软件绕过杀软的新办法

该技术在完成上应用了Windows 10系统上一个新的、称为Subsystem for Linux(WSL)的功用,此新功用能够使Windows操作系统用户运用盛行的bash终端,而且该功用还能够使Windows用户在本机操作系统上运转Linux操作系统的可执行文件。该功用能够允许Linux和Windows系统中的进程在同一时间运转,由于现有的安全处置计划还不能够监视在Windows操作系统上运转的Linux可执行文件的进程,因而该技术可能为那些希望运转歹意代码的网络立功分子提供了便利,他们能够应用WSL来绕过尚未集成正确检测机制的安全产品。

Bashware是一个十分令人震惊的技术,任何歹意软件应用WSL机制都能够很容易的绕过安全产品。Bashware技术在完成上应用了Windows Subsystem for Linux(WSL)的底层机制,该功用是Windows 10系统中的一个新功用,允许本机Linux ELF二进制文件在Windows上运转。

Bashware技术在完成上应用了WSL,使得歹意软件能够以躲藏的方式运转,从而绕过当前大多数安全产品的检测。该技术的关键在于Pico进程结构的设计,固然Pico进程与常见的Windows进程特征不同,以至该进程没有任何特征能够将其标识为一个常见的NT进程,但是Pico进程却具有与常见NT进程相同的功用,并且不会构成任何的要挟。

Bashware成为运转任何歹意软件,绕过最常见的防病毒安全产品、安全检测工具,调试工具等的圆满工具。Microsoft已采取措施,辅佐安全厂商处置由WSL引入的新的安全问题,例如Microsoft提供了Pico APIs,这些API接口可由AV公司调用以用来对这些类型的进程中止监控。