黑客可利用 Windows 容器隔離框架繞過端點安全系統
新的研究結果表明,攻擊者可以利用一種隱匿的惡意軟件檢測規避技術,并通過操縱 Windows 容器隔離框架來繞過端點安全的解決方案。
Deep Instinct安全研究員丹尼爾-阿維諾姆(Daniel Avinoam)在本月初舉行的DEF CON安全大會上公布了這一發現。
Microsoft的容器體系結構(以及擴展的 Windows 沙盒)使用所謂的動態生成的映像將文件系統從每個容器分離到主機,同時避免重復系統文件。
Avinoam一份報告中說:它只不過是一個“操作系統映像,其中包含可以更改的文件的干凈副本,但鏈接到主機上已存在的Windows映像中無法更改的文件”,從而降低了完整操作系統的整體大小。結果就是包含'幽靈文件'的圖像,它們不存儲實際數據,但指向系統上的不同目錄。
正因為如此,我突然想到,如果我們可以使用這種重定向機制來混淆我們的文件系統操作并混淆安全產品,那會怎樣?
這就提到了 Windows 容器隔離 FS (wcifs.sys) 過濾器驅動程序的作用。該驅動程序的主要目的就是處理 Windows 容器與其主機之間的文件系統隔離。
換句話說,我們的想法是讓當前進程在一個人造容器內運行,并利用迷你過濾器驅動程序來處理 I/O 請求,這樣它就可以在文件系統上創建、讀取、寫入和刪除文件,而不會向安全軟件發出警報。
值得一提是,在此階段,迷你過濾器通過向過濾器管理器注冊它選擇過濾的 I/O 操作,間接地連接到文件系統棧。每個迷你過濾器都會根據過濾器要求和負載順序組分配一個微軟指定的 "整數 "高度值。
wcifs 驅動程序的高度范圍為 180000-189999(特別是 189900),而反病毒過濾器(包括第三方的反病毒過濾器)的高度范圍為 320000-329999。因此,可以在不觸發回調的情況下執行各種文件操作。
Avinoam解釋說:因為我們可以使用IO_REPARSE_TAG_WCI_1重新解析標簽覆蓋文件,而無需檢測防病毒驅動程序,所以它們的檢測算法不會接收整個圖片,因此不會觸發。
盡管如此,實施這種攻擊需要有管理權限才能與 wcifs 驅動程序通信,而且不能用它來覆蓋主機系統上的文件。
在披露這一消息的同時,網絡安全公司還展示了一種名為 "NoFilter "的隱蔽技術,該技術可濫用 Windows 過濾平臺(WFP)將用戶權限提升至 SYSTEM,并可能執行惡意代碼。
這些攻擊允許使用 WFP 復制另一個進程的訪問令牌,觸發 IPSec 連接,利用打印線軸服務將 SYSTEM 令牌插入表中,并有可能獲得登錄到被入侵系統的另一個用戶的令牌,以進行橫向移動。
參考鏈接:https://thehackernews.com/2023/08/hackers-can-exploit-windows-container.html