Bashware - Bypass 杀毒软件的新方法
前言
这个是针对windows 10的linux子系统,因为刚出来,所以杀软都没怎么监控这里面的东西,所以恶意软件就可以为所欲为了
具体bypass步骤
先看一个别人的图
1. 加载WSL组件
通过DISM加载 lxcore.sys 和 lxss.sys
2. 启用开发者模式
对下面两个注册表操作即可(都设置为1,我看我自己的机器上是1)
HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ AppModelUnlock \ AllowAllTrustedApps
HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ AppModelUnlock \ AllowDevelopmentWithoutDevLicense
3. 安装linux子系统
利用的是Lxrun这个程序,通过/install参数安装
4. 神器Wine
最后我们通过神器wine来运行我们的exe恶意程序,它会转化windows的系统调用为POSIX syscalls,而之后Pico (lxcore.sys)又将POSIX syscalls转回windows的系统调用。那么我们就可以运行任何的恶意代码了。。。。。。
因为方式比较新,所以基本的杀软都没关注这
参考
https://research.checkpoint.com/beware-bashware-new-method-malware-bypass-security-solutions/
网络上志同道合,我们一起学习网络安全,一起进步,QQ群:694839022