Bashware: Die Technik, mit der Malware die Sicherheit umgeht

Jedes Mal finden wir anspruchsvollere Malware, die in vielen Fällen allen Sicherheitskontrollen entgeht. Teilweise ist es einer Technik namens Bashware zu verdanken. Diese Technik ermöglicht es Malware, eine Funktion von Windows 10 namens Subsystem for Linux (WSL) zu verwenden, und verhindert somit die Installation von Sicherheitssoftware auf dem Computer.

Bashware: Die Technik, mit der Malware die Sicherheit umgeht

Diese WSL funktioniert mit Bash-Befehlen, die Benutzer in eine CLI eingeben. Auf diese Weise machen sie Shell-Befehle zu ihren Windows-Gegenstücken. Die Daten werden im Windows-Kernel verarbeitet und eine Antwort gesendet. Sowohl die Bash CLI als auch eine Linux-Datei.

Bashware seit 2016 aktiv

Bash wurde zu seiner Zeit von Microsoft mit der Idee entwickelt, dass Linux-Benutzer sehen würden, wie einfach die Verwendung in Windows 10 ist. Die WSL-Funktion befindet sich seit 2016 in der Entwicklung. Microsoft hat jedoch bereits die Einführung einer stabilen Version angekündigt mit Windows 10 Fall Creators Update. Wenn wir uns speziell auf Bashware konzentrieren, ist dies eine Technik, mit der Sie die geheime Linux-Shell in Windows 10 verwenden können. Auf diese Weise werden böswillige Vorgänge ausgeblendet.

Forscher sagen, dass das aktuelle Antivirus diese Vorgänge nicht erkennt. Weil ihnen die Unterstützung für Pico- Prozesse fehlt. Zum Glück ist Bashware keine narrensichere Methode. Hauptsächlich, weil Administratorrechte erforderlich sind. Die Schadprogramme, die Windows 10 erreichen, benötigen Zugriff auf Verwaltungsebene. Nur dann können sie die WSL-Funktion aktivieren. Funktion, die standardmäßig deaktiviert ist.

Das Problem ist, dass die Windows-Angriffsfläche viele EoP-Fehler aufweist. Es ist also nicht zu kompliziert, die Administratorrechte zu erhalten. Und wenn der Angreifer erfolgreich ist, kann er Windows 10 in den Entwicklermodus versetzen. Die Gefahr von Bashware ist also real.