黑客可以利用Windows容器隔离框架绕过端点安全

新的发现表明，恶意行为者可以利用一种偷偷摸摸的恶意软件检测规避技术，并通过操纵Windows容器隔离框架来绕过端点安全解决方案。

Deep Instinct安全研究员丹尼尔Avinoam在本月早些时候举行的DEF CON安全会议上公布了这一发现。

微软的容器架构（以及扩展，Windows Sandbox）使用所谓的动态生成映像来将文件系统从每个容器分离到主机，同时避免系统文件的重复。

它只不过是一个“操作系统映像，具有可以更改的文件的干净副本，但链接到主机上已经存在的Windows映像中无法更改的文件”，从而降低了完整操作系统的总体大小。

Avinoam在与黑客新闻分享的一份报告中说：“结果是包含'幽灵文件'的图像，这些文件不存储实际数据，但指向系统上的不同卷。”“正是在这一点上，我想到了这个想法--如果我们可以使用这种重定向机制来混淆我们的文件系统操作并混淆安全产品，那会怎么样？“

这就是Windows容器隔离FS（wcifs.sys）微型过滤器驱动程序发挥作用的地方。驱动程序的主要用途是处理Windows容器和它们的主机之间的文件系统分离。

驱动程序通过解析其附加的重解析点和唯一地标识所有者的相关联的重解析标签来处理幽灵文件重定向，即，文件系统筛选器驱动程序的实现者，在I/O操作期间对文件执行附加的筛选器定义的处理。

根据Microsoft的说法，Windows容器隔离筛选器使用的两个这样的重解析标记数据结构是IO_REPARSE_TAG_WCI_1和IO_REPARSE_TAG_WCI_LINK_1。

简而言之，这个想法是让当前进程在一个构建的容器中运行，并利用minifilter驱动程序来处理I/O请求，这样它就可以在文件系统上创建、读取、写入和删除文件，而不会提醒安全软件。

在这个阶段值得指出的是，通过向过滤器管理器注册它选择过滤的I/O操作，minifilter间接地附加到文件系统堆栈。根据滤波器要求和负载顺序组，为每个微型滤波器分配一个Microsoft分配的“整数”高度值。

wcifs.sys驱动程序占用的海拔范围较低，为180000-189999（具体为189900），而防病毒过滤器（包括来自第三方的过滤器）的海拔范围为320000-329999。因此，可以执行各种文件操作而不触发它们的回调。

即将举行的网络研讨会
检测、响应、保护：ITDR和SSPM实现完整的SaaS安全性
了解身份威胁检测响应（ITDR）如何在SSPM的帮助下识别和缓解威胁。了解如何保护您的企业SaaS应用程序并保护您的数据，即使在发生数据泄露后也是如此。

增强您的技能
Avinoam解释说：“因为我们可以使用IO_REPARSE_TAG_WCI_1重解析标签覆盖文件，而无需检测防病毒驱动程序，因此其检测算法将无法接收完整图像，因此不会触发。

话虽如此，实施攻击需要管理权限才能与wcifs.sys驱动程序通信，并且它不能用于覆盖主机系统上的文件。

该公司展示了一种名为NoFilter的隐形技术，该技术滥用Windows过滤平台（WFP）将用户的权限提升到SYSTEM的权限，并可能执行恶意代码。

这些攻击允许使用WFP复制另一个进程的访问令牌，触发IPSec连接，并利用打印假脱机程序服务将SYSTEM令牌插入到表中，并使得可以获得登录到受攻击系统的另一个用户的令牌以进行横向移动。