เตือนภัย Bashware บายพาสซอฟต์แวร์รักษาความมั่นคงปลอดภัยบน Windows 10

Check Point ผู้ให้บริการโซลูชันด้านความมั่นคงปลอดภัยยักษ์ใหญ่ของโลก ออกมาแจ้งเตือนถึง Bashware ซึ่งเป็นเทคนิคที่ช่วยให้แฮ็คเกอร์สามารถใช้ฟีเจอร์ Linux Shell บนระบบปฏิบัติการ Windows 10 เพื่อบายพาสซอฟต์แวร์รักษาความมั่นคงปลอดภัยที่ติดตั้งบนอุปกรณ์และซ่อนพรางการกระทำไม่พึงประสงค์ได้

Credit: Andrey Popov/ShutterStock

ปี 2016 Microsoft ได้เปิดตัวฟีเจอร์ Windows Subsystem for Linux (WSL) เวอร์ชันทดสอบ ซึ่งช่วยให้ผู้ใช้สามารถรัน Linux Shell (Bash) ภายในระบบปฏิบัติการ Windows 10 ได้ ส่งผลให้นักพัฒนาที่คุ้นเคยกับการใช้ Linux อยู่แล้วสามารถทำงานที่เกี่ยวข้องกับการพัฒนาโปรแกรมได้ง่ายยิ่งขึ้น โดย Microsoft เตรียมประกาศเวอร์ชันพร้อมใช้งานใน Windows 10 Fall Creators Update ในวันที่ 17 ตุลาคมนี้

การมาถึงของ WSL ก่อให้เกิดเทคนิคการโจมตีที่เรียกว่า Bashware ซึ่งช่วยให้แฮ็คเกอร์สามารถใช้ WSL ในการบายพาสซอฟต์แวร์รักษาความมั่นคงปลอดภัยที่ติดตั้งอยู่บนเครื่อง ไม่เว้นแม้กระทั่ง Next-generation Antivirus เพื่อลอบส่งมัลแวร์เข้าไปหรือรันคำสั่งตามที่ตนต้องการได้ อย่างไรก็ตามเทคนิค Bashware ก็มีเงื่อนไขที่แฮ็คเกอร์ต้องดำเนินการหลายขั้นตอนเพื่อเริ่มโจมตี ไม่ว่าจะเป็นการใช้สิทธิ์ระดับ Admin ในการเปิดใช้งาน WSL (ถูกปิดมาจากโรงงาน) แก้ไข Registry Key จากนั้นรีบูตเครื่องและดาวน์โหลด Linux File System จากเซิร์ฟเวอร์ของ Microsoft มาติดตั้งก่อนถึงจะดำเนินการโจมตีได้

หลังจากดำเนินการทุกอย่างเสร็จสิ้น แฮ็คเกอร์สามารถใช้ Bash CLI ที่เพิ่งติดตั้งไปในการรันคำสั่งหรือดำเนินการอันไม่พึงประสงค์ได้ทันที ทั้งนี้จากการตรวจสอบพบว่าสาเหตุของปัญหามาจากการจัดการโปรเซส Pico ซึ่งเป็นโปรเซสใหม่ที่ทาง Microsoft เพิ่มเข้าไปสำหรับจัดการกับการดำเนินงานของ WSL ไม่ดีเพียงพอ

ผู้ที่สนใจสามารถอ่านรายละเอียดเชิงเทคนิคได้ที่: https://research.checkpoint.com/beware-bashware-new-method-malware-bypass-security-solutions/

ที่มา: https://www.bleepingcomputer.com/news/security/bashware-malware-can-abuse-windows-10s-linux-shell-to-bypass-security-software/



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

พบมัลแวร์ตัวใหม่ ‘VPNFilter’ มุ่งโจมตี Router มีเหยื่อแล้วกว่า 5 แสนราย

นักวิจัยด้านความมั่นคงปลอดภัยจาก Cisco ได้พบกลุ่มเราเตอร์กว่า 5 แสนอุปกรณ์ที่ตกเป็นเหยื่อของมัลแวร์ตัวใหม่ชื่อว่า ‘VPNFilter’ โดยมัลแวร์ตัวนี้มีความซับซ้อนในการปฏิบัติการสูง สามารถทำรอดจากการบูตระบบ ค้นหาส่วนประกอบของ SCADA หรือทำลายฟังก์ชันของ Firmware จนอุปกรณ์ไม่สามารถใช้งานได้ นอกจากนี้มัลแวร์สามารถปฏิบัติการได้ในเราเตอร์หลายยี่ห้อรวมถึงอุปกรณ์ NAS …

True IDC ผ่านมาตรฐาน PCI-DSS เพิ่มความแกร่งบริการ Data Center ต่อยอดรองรับธุรกิจด้านการเงินเต็มรูปแบบ

True IDC ผู้นำธุรกิจ Data Center และ Cloud Computing แบบครบวงจรในประเทศไทย ผ่านการตรวจประเมินมาตรฐานด้านความมั่นคงปลอดภัยสารสนเทศที่เกี่ยวข้องกับการชำระเงินผ่านบัตรอย่าง PCI-DSS 3.2 พร้อมให้บริการ Infrastructure แก่สถาบันการเงิน ธุรกิจประกันภัย …