Năm 2016, Microsoft đã gây bất ngờ khi công bố đưa Windows Subsystem for Linux (WSL) vào Windows 10, cho phép người dùng chạy các ứng dụng Linux gốc ngay trên Windows mà không cần ảo hoá. Tuy nhiên, lợi ích này cũng đi kèm với một số nguy cơ tiềm ẩn.
Kỹ thuật tấn công mới này được đặt tên là Bashware. Lợi dụng tính năng WSL - hiện đang ở dạng thử nghiệm beta và sẽ có mặt trong bản cập nhật Windows 10 Fall Creators trong tháng 10/2017.
Các nhà nghiên cứu của CheckPoint cho biết, Bashware là kiểu tấn công mới, cho phép tin tặc có thể che giấu mọi mã độc Linux khỏi những giải pháp an ninh phổ biến hiện nay.
Để chạy ứng dụng Linux trong môi trường cô lập, Microsoft giới thiệu các tiến trình Pico (Pico processes) - cho phép chạy các tệp ELF nhị phân trên hệ điều hành Windows. Trong quá trình thử nghiệm, các nhà nghiên cứu của Check Point có thể thực hiện thành công kiểu tấn công Bashware với hầu hết các sản phẩm an ninh và chống virus hàng đầu trên thị trường. Bởi vì chưa có giải pháp an ninh nào giám sát các tiến trình Linux chạy trên Windows, dù Microsoft đã cung cấp Pico API – một giao diện lập trình ứng dụng đặc biệt để cho phép họ giám sát chúng.
Các nhà nghiên cứu kết luận rằng, Bashware không lợi dụng bất kỳ lỗi lôgic hay lỗi triển khai nào trong thiết kế của WSL, bởi WSL đã được thiết kế rất tốt. Điều cho phép Bashware phát huy tác dụng chính là các nhà cung cấp giải pháp an ninh chưa hiểu hết về công nghệ mới, khi mà kỹ thuật mới vượt qua đường biên cũ của hệ điều hành Windows.
Tuy Bashware cần có quyền quản trị trên máy tính bị tấn công, nhưng việc lừa đảo, đánh cắp mật khẩu đăng nhập của tài khoản quản trị không phải là việc quá khó với những kẻ tấn công có chủ đích. Nhưng các cuộc tấn công để chiếm tài khoản quản trị cũng là hồi chuông báo động cho các hệ thống an ninh, trước khi tấn công bằng Bashware bắt đầu diễn ra.
Do WSL bị tắt theo mặc định và người dùng phải kích hoạt chế độ phát triển một cách thủ công và khởi động lại máy tính, nên các rủi ro cũng giảm đi. Tuy nhiên, các nhà nghiên cứu của Check Point nói rằng, chế độ phát triển có thể được bật bằng cách sửa một số khoá registry – tức là tin tặc có thể âm thầm làm điều đó ở chế độ ngầm.
Kỹ thuật Bashware có thể tự động thực hiện các bước cần thiết như tải các cấu phần WSL, bật chế độ phát triển, tải xuống và giải nén các mã độc Linux rồi chạy chúng một cách kín đáo. Điều đặc biệt là, tin tặc sử dụng Bashware không cần phải viết mã độc trên Linux để chạy chúng qua WSL. Kỹ thuật Bashware cài đặt một ứng dụng có tên là Wine trong môi trường Ubuntu được tạo lập rồi chạy các loại mã độc có sẵn cho Windows. Mã độc sẽ khởi tạo các tiến trình pico process, giúp nó ẩn mình trước các phần mềm an ninh.
Các nhà nghiên cứu tin rằng, Bashware có thể ảnh hưởng tới bất kỳ máy tính nào đang chạy Windows 10 trên toàn thế giới. Lý do chính khiến Check Point công bố kiểu tấn công mới này là do họ đã nâng cấp các giải pháp an ninh của mình để chống lại những cuộc tấn công đó.
Nguyễn Anh Tuấn
(theo The Hacker News)
07:00 | 18/01/2021
09:00 | 16/04/2021
08:00 | 29/09/2021
13:00 | 27/08/2024
Ngân hàng Nhà nước Việt Nam ghi nhận gần đây có hiện tượng đối tượng lừa đảo, giả mạo giao diện hòm thư điện tử của Ngân hàng Nhà nước Việt Nam để gửi thông tin dẫn dụ người dân, khách hàng bấm vào đường link cập nhật thông tin sinh trắc học cho giao dịch ngân hàng.
14:00 | 20/08/2024
Theo Cisco Talos, một viện nghiên cứu trực thuộc chính phủ Đài Loan chuyên về điện toán và các công nghệ liên quan đã bị nhóm tin tặc có mối liên kết với Trung Quốc tấn công.
10:00 | 14/08/2024
Trong bối cảnh khoa học công nghệ đang ngày càng phát triển, đi cùng với đó là những nguy cơ gây mất an ninh, an toàn thông tin đang ngày càng phổ biến. Một trong số những nguy cơ người dùng dễ gặp phải đó là bị lây nhiễm mã độc tống tiền (ransomware) trên thiết bị di động. Sau khi xâm nhập trên thiết bị di động, mã độc sẽ tự động mã hóa các dữ liệu có trên thiết bị đó hoặc ngăn chặn các phần mềm được kích hoạt trên smartphone, đồng thời sẽ yêu cầu người dùng phải trả tiền cho các tin tặc đứng sau như một hình thức trả tiền chuộc, gây thiệt hại vô cùng lớn cho nạn nhân. Trong bài viết này, tác giả sẽ đưa ra những điểm yếu, lỗ hổng tồn tại trên điện thoại di động dễ bị tin tặc tấn công. Qua đó, cũng đề xuất một số khuyến nghị nâng cao cảnh giác khi sử dụng di động, góp phần cho công tác phòng, chống phần mềm độc hại và chia sẻ dữ liệu mã độc.
08:00 | 12/07/2024
Mới đây, công ty bảo mật Symantec đã đưa ra cảnh báo về một cuộc tấn công mới, lừa người dùng đến các trang web giả mạo và yêu cầu cung cấp thông tin Apple ID. Những thông tin xác thực này cho phép tin tặc kiểm soát các thiết bị, truy cập thông tin cá nhân và tài chính.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Cục Điều tra Liên bang Mỹ (FBI) mới đây đã đưa ra thông báo về sự cố gián đoạn cơ sở hạ tầng trực tuyến liên quan đến một nhóm tin tặc mã độc tống tiền mới nổi có tên là Dispossessor. Trong một nỗ lực nhằm giảm thiểu rủi ro do nhóm tội phạm này gây ra, FBI đã thu giữ 03 máy chủ tại Mỹ, 03 máy chủ tại Anh, 18 máy chủ tại Đức, 08 tên miền tại Mỹ và 01 tên miền tại Đức.
21:00 | 29/08/2024
