ทีมนักวิจัยด้านความปลอดภัยจาก Check Point ได้มีการเปิดเผยเทคนิคของมัลแวร์ชนิดใหม่ "Bashware" ซึ่งใช้ในการหลบเลี่ยงการตรวจจับจากระบบตรวจจับและป้องกันต่างๆ ที่ติดตั้งไว้บนเครื่อง เทคนิคนี้อาศัยฟีเจอร์ Subsystem for Linux (WSL) ซึ่งพึ่งมีการเปิดตัวใน Windows 10
ฟีเจอร์ Subsytem for Linux (WSL) เป็นฟีเจอร์ที่ทำให้ผู้ใช้งานบนระบบปฏิบัติการ Windows 10 สามารถรันโปรแกรมและดำเนินการต่างๆ ได้เสมือนกับการดำเนินการบนระบบปฏิบัติการลินุกซ์ ฟีเจอร์ WSL นี้ใช้รูปแบบของการแชร์การทำงานบนระบบปฏิบัติการเดียวกันแทนที่จะเป็นการใช้เทคโนโลยีจำลองการทำงาน (virtualization) ซึ่งทำให้ใช้ทรัพยากรของระบบน้อยกว่าวิธีการจำลองการทำงานเยอะมาก
เทคนิค Bashware นี้ อาศัยฟีเจอร์ WSL ในการติดตั้งโปรแกรม เช่น wine ซึ่งทำให้โปรแกรมแบบ executable บนวินโดวส์ (นามสกุล .EXE) สามารถรันบนสภาพแวดล้อมของลินุกซ์ได้ หลังจากนั้นจึงใช้ wine ในการรันไฟล์ที่เป็นอันตราย จากการทดสอบของ Check Point นั้นแสดงให้เห็นอย่างชัดเจนว่าระบบป้องกันบางระบบนั้นไม่สามารถตรวจหาการรันของโปรแกรมที่เป็นอันตรายซึ่งถูกรันอยู่ภายใต้ฟีเจอร์ WSL ได้
Recommendation แม้ว่าฟีเจอร์ WSL จะไม่ได้มีการเปิดการทำงานเป็นค่าเริ่มต้น แต่ผู้โจมตีก็สามารถเปิดฟีเจอร์ดังกล่าวได้อัตโนมัติ ดังนั้นการป้องกันที่ดีที่สุดคือการไม่ติดตั้งไฟล์ที่อันตรายหรือต้องสงสัยซึ่งเป็นต้นเหตุของการแพร่กระจายของมัลแวร์จะเป็นการดีที่สุด
ที่มา : checkpoint
You must be logged in to post a comment.