Năm 2016, Microsoft đã gây bất ngờ khi công bố đưa Windows Subsystem for Linux (WSL) vào Windows 10, cho phép người dùng chạy các ứng dụng Linux gốc ngay trên Windows mà không cần ảo hoá. Tuy nhiên, lợi ích này cũng đi kèm với một số nguy cơ tiềm ẩn.
Kỹ thuật tấn công mới này được đặt tên là Bashware. Lợi dụng tính năng WSL - hiện đang ở dạng thử nghiệm beta và sẽ có mặt trong bản cập nhật Windows 10 Fall Creators trong tháng 10/2017.
Các nhà nghiên cứu của CheckPoint cho biết, Bashware là kiểu tấn công mới, cho phép tin tặc có thể che giấu mọi mã độc Linux khỏi những giải pháp an ninh phổ biến hiện nay.
Để chạy ứng dụng Linux trong môi trường cô lập, Microsoft giới thiệu các tiến trình Pico (Pico processes) - cho phép chạy các tệp ELF nhị phân trên hệ điều hành Windows. Trong quá trình thử nghiệm, các nhà nghiên cứu của Check Point có thể thực hiện thành công kiểu tấn công Bashware với hầu hết các sản phẩm an ninh và chống virus hàng đầu trên thị trường. Bởi vì chưa có giải pháp an ninh nào giám sát các tiến trình Linux chạy trên Windows, dù Microsoft đã cung cấp Pico API – một giao diện lập trình ứng dụng đặc biệt để cho phép họ giám sát chúng.
Các nhà nghiên cứu kết luận rằng, Bashware không lợi dụng bất kỳ lỗi lôgic hay lỗi triển khai nào trong thiết kế của WSL, bởi WSL đã được thiết kế rất tốt. Điều cho phép Bashware phát huy tác dụng chính là các nhà cung cấp giải pháp an ninh chưa hiểu hết về công nghệ mới, khi mà kỹ thuật mới vượt qua đường biên cũ của hệ điều hành Windows.
Tuy Bashware cần có quyền quản trị trên máy tính bị tấn công, nhưng việc lừa đảo, đánh cắp mật khẩu đăng nhập của tài khoản quản trị không phải là việc quá khó với những kẻ tấn công có chủ đích. Nhưng các cuộc tấn công để chiếm tài khoản quản trị cũng là hồi chuông báo động cho các hệ thống an ninh, trước khi tấn công bằng Bashware bắt đầu diễn ra.
Do WSL bị tắt theo mặc định và người dùng phải kích hoạt chế độ phát triển một cách thủ công và khởi động lại máy tính, nên các rủi ro cũng giảm đi. Tuy nhiên, các nhà nghiên cứu của Check Point nói rằng, chế độ phát triển có thể được bật bằng cách sửa một số khoá registry – tức là tin tặc có thể âm thầm làm điều đó ở chế độ ngầm.
Kỹ thuật Bashware có thể tự động thực hiện các bước cần thiết như tải các cấu phần WSL, bật chế độ phát triển, tải xuống và giải nén các mã độc Linux rồi chạy chúng một cách kín đáo. Điều đặc biệt là, tin tặc sử dụng Bashware không cần phải viết mã độc trên Linux để chạy chúng qua WSL. Kỹ thuật Bashware cài đặt một ứng dụng có tên là Wine trong môi trường Ubuntu được tạo lập rồi chạy các loại mã độc có sẵn cho Windows. Mã độc sẽ khởi tạo các tiến trình pico process, giúp nó ẩn mình trước các phần mềm an ninh.
Các nhà nghiên cứu tin rằng, Bashware có thể ảnh hưởng tới bất kỳ máy tính nào đang chạy Windows 10 trên toàn thế giới. Lý do chính khiến Check Point công bố kiểu tấn công mới này là do họ đã nâng cấp các giải pháp an ninh của mình để chống lại những cuộc tấn công đó.
Nguyễn Anh Tuấn
(theo The Hacker News)
07:00 | 18/01/2021
09:00 | 16/04/2021
08:00 | 29/09/2021
09:00 | 17/04/2024
Một nhà nghiên cứu bảo mật có biệt danh Marco Croc từ Kupia Security đã được thưởng 250,000 USD vì phát hiện ra một lỗ hổng mà trong lịch sử đã cho phép tin tặc rút hàng triệu USD từ các giao thức tiền điện tử. Lỗ hổng này tái xuất hiện trong giao thức tài chính phi tập trung (DeFi) Curve Finance.
08:00 | 12/03/2024
Mới đây, các nhà nghiên cứu từ Trung tâm Ứng phó khẩn cấp bảo mật AhnLab - ASEC (Hàn Quốc) phát hiện phần mềm độc hại mới có tên WogRAT, đang được các tác nhân đe dọa triển khai trong các cuộc tấn công lạm dụng nền tảng Notepad trực tuyến có tên là aNotepad để bí mật lưu trữ và truy xuất mã độc trên cả Windows và Linux.
07:00 | 11/03/2024
Mới đây, các nhà nghiên cứu của hãng bảo mật Kaspersky (Nga) đã phát hiện một Trojan ngân hàng tinh vi mới đánh cắp thông tin tài chính nhạy cảm có tên là Coyote, mục tiêu là người dùng của hơn 60 tổ chức ngân hàng, chủ yếu từ Brazil. Điều chú ý là chuỗi lây nhiễm phức tạp của Coyote sử dụng nhiều kỹ thuật tiên tiến khác nhau, khiến nó khác biệt với các trường hợp lây nhiễm Trojan ngân hàng trước đó. Phần mềm độc hại này sử dụng trình cài đặt Squirrel để phân phối, tận dụng NodeJS và ngôn ngữ lập trình đa nền tảng tương đối mới có tên Nim làm trình tải (loader) trong chuỗi lây nhiễm. Bài viết này sẽ phân tích hoạt động và khám phá khả năng của Trojan ngân hàng này.
09:00 | 28/02/2024
Đội ngũ chuyên gia an ninh mạng tại Kaspersky liên tục theo dõi sự phức tạp của các mối đe dọa đối với tổ chức tài chính, bao gồm cả ngân hàng và các mối đe dọa có động cơ tài chính như phần mềm tống tiền đang lan rộng đến nhiều ngành công nghiệp khác nhau. Trong bài viết này, các chuyên gia bảo mật Kaspersky sẽ đánh giá lại các dự đoán của họ trong năm 2023 và đưa ra những xu hướng dự kiến sẽ nổi lên trong năm 2024.
Năm 2024, các tác nhân đe dọa được dự báo sẽ tận dụng sức mạnh của trí tuệ nhân tạo (AI) để thực hiện các hoạt động lừa đảo một cách thông minh hơn. Bằng việc sử dụng công nghệ AI tạo sinh, chúng có thể tạo ra các chiến thuật tấn công mới, khó phát hiện và kiểm soát.
16:00 | 18/05/2024