Bashware es el nombre de una nueva técnica que permite al malware usar una nueva característica de Windows 10 llamada Subsystem for Linux (WSL) para evitar el software de seguridad instalado. En 2016, Microsoft anunció WSL como una forma de ejecutar un shell Linux (Bash) dentro del sistema operativo Windows 10. Esto se hizo para atraer a la comunidad de desarrolladores que utiliza principalmente Linux debido a su facilidad de uso cuando se trata de tareas relacionadas con la programación.

Bashware, la nueva técnica

WSL funciona tomando los comandos de Bash que los usuarios escriben en una CLI, convirtiendo los comandos de shell en sus homólogos de Windows, procesando los datos dentro del kernel de Windows y enviando una respuesta, tanto a la CLI de Bash como a un sistema de archivos Linux local.

La función de WSL ha estado en desarrollo en una etapa beta desde marzo de 2016, pero Microsoft anunció recientemente que tendrían una versión estable este otoño con el lanzamiento de Windows 10 Fall Creators Update. Esta nueva versión, como vimos recientemente, está programada para el 17 de octubre.

Invisible para el software de seguridad actual

En un informe publicado a última hora de la noche, los investigadores de seguridad de Check Point han publicado detalles técnicos sobre Bashware. Se trata de una técnica que permite a los desarrolladores de malware usar el shell Linux secreto de Windows 10. Consiguen con esto ocultar operaciones maliciosas.

Los investigadores dicen que el software de seguridad actual, incluyendo las soluciones antivirus de nueva generación, no detectan estas operaciones.

Esto sucede porque todos carecen de soporte para los procesos de Pico. Es una nueva clase de procesos de Windows que Microsoft agregó para manejar las operaciones de WSL.

Bashware necesita acceso de administrador

El ataque de Bashware no es un método infalible para ejecutar operaciones malintencionadas sin ser detectado en Windows. Un ataque de Bashware, sobre todo, requiere privilegios de administrador.

Los programas maliciosos que llegan a un ordenador con Windows 10 necesitan acceso a nivel de administración para poder habilitar la función WSL. Esta función viene deshabilitada de forma predeterminada. Y, a continuación, debe activar el modo de desarrollo de Windows 10.

La mala noticia es que la superficie de ataque de Windows está plagada de muchos fallos de EoP (elevación de privilegios). Por ello los atacantes pueden aprovechar para obtener acceso a nivel administrativo. Logran activar WSL y cargar los controladores necesarios mediante la utilidad DISM. Activar WSL es una operación silenciosa que requiere un solo comando CLI.

Además, los investigadores dicen que un atacante que ha obtenido privilegios de administrador no tendrá ningún problema para poner Windows 10 en el modo de desarrollador. Los atacantes pueden lograr esto modificando una clave de registro y esperando (u obligando) a un usuario a reiniciar su PC.

En esta etapa, el atacante ha habilitado WSL. Pero la instalación del sistema Linux aún no existe en el equipo del usuario. Los investigadores dicen que las herramientas presentes en el sistema del usuario permiten al atacante descargar silenciosamente el sistema de archivos Linux de los servidores de Microsoft. Con esto logra completar la instalación de WSL.

Proceso terminado

Cuando este proceso termina, el atacante puede utilizar la nueva Bash CLI para ejecutar operaciones maliciosas. Los investigadores dicen que el atacante puede usar comandos de Linux para interactuar con ordenadores Windows. WSL traduce todo para el atacante, pero si el atacante no quiere modificar los scripts ya existentes, puede instalar Wine (un emulador de Windows para Linux).

Básicamente, Wine permite al atacante ejecutar comandos maliciosos de Windows. Wine traduce a comandos de Linux, que WSL transforma de nuevo en operaciones de Windows. Finalmente se ejecuta en un sistema de destino.