新的研究結(jié)果表明，攻擊者可以利用一種隱匿的惡意軟件檢測(cè)規(guī)避技術(shù)，并通過操縱 Windows 容器隔離框架來繞過端點(diǎn)安全的解決方案。

Deep Instinct安全研究員丹尼爾-阿維諾姆（Daniel Avinoam）在本月初舉行的DEF CON安全大會(huì)上公布了這一發(fā)現(xiàn)。

Microsoft的容器體系結(jié)構(gòu)（以及擴(kuò)展的 Windows 沙盒）使用所謂的動(dòng)態(tài)生成的映像將文件系統(tǒng)從每個(gè)容器分離到主機(jī)，同時(shí)避免重復(fù)系統(tǒng)文件。

Avinoam一份報(bào)告中說：它只不過是一個(gè)“操作系統(tǒng)映像，其中包含可以更改的文件的干凈副本，但鏈接到主機(jī)上已存在的Windows映像中無法更改的文件”，從而降低了完整操作系統(tǒng)的整體大小。結(jié)果就是包含'幽靈文件'的圖像，它們不存儲(chǔ)實(shí)際數(shù)據(jù)，但指向系統(tǒng)上的不同目錄。

正因?yàn)槿绱耍彝蝗幌氲?，如果我們可以使用這種重定向機(jī)制來混淆我們的文件系統(tǒng)操作并混淆安全產(chǎn)品，那會(huì)怎樣？

這就提到了 Windows 容器隔離 FS （wcifs.sys） 過濾器驅(qū)動(dòng)程序的作用。該驅(qū)動(dòng)程序的主要目的就是處理 Windows 容器與其主機(jī)之間的文件系統(tǒng)隔離。

換句話說，我們的想法是讓當(dāng)前進(jìn)程在一個(gè)人造容器內(nèi)運(yùn)行，并利用迷你過濾器驅(qū)動(dòng)程序來處理 I/O 請(qǐng)求，這樣它就可以在文件系統(tǒng)上創(chuàng)建、讀取、寫入和刪除文件，而不會(huì)向安全軟件發(fā)出警報(bào)。

值得一提是，在此階段，迷你過濾器通過向過濾器管理器注冊(cè)它選擇過濾的 I/O 操作，間接地連接到文件系統(tǒng)棧。每個(gè)迷你過濾器都會(huì)根據(jù)過濾器要求和負(fù)載順序組分配一個(gè)微軟指定的 "整數(shù) "高度值。

wcifs 驅(qū)動(dòng)程序的高度范圍為 180000-189999（特別是 189900），而反病毒過濾器（包括第三方的反病毒過濾器）的高度范圍為 320000-329999。因此，可以在不觸發(fā)回調(diào)的情況下執(zhí)行各種文件操作。

Avinoam解釋說：因?yàn)槲覀兛梢允褂肐O_REPARSE_TAG_WCI_1重新解析標(biāo)簽覆蓋文件，而無需檢測(cè)防病毒驅(qū)動(dòng)程序，所以它們的檢測(cè)算法不會(huì)接收整個(gè)圖片，因此不會(huì)觸發(fā)。

盡管如此，實(shí)施這種攻擊需要有管理權(quán)限才能與 wcifs 驅(qū)動(dòng)程序通信，而且不能用它來覆蓋主機(jī)系統(tǒng)上的文件。

在披露這一消息的同時(shí)，網(wǎng)絡(luò)安全公司還展示了一種名為 "NoFilter "的隱蔽技術(shù)，該技術(shù)可濫用 Windows 過濾平臺(tái)（WFP）將用戶權(quán)限提升至 SYSTEM，并可能執(zhí)行惡意代碼。

這些攻擊允許使用 WFP 復(fù)制另一個(gè)進(jìn)程的訪問令牌，觸發(fā) IPSec 連接，利用打印線軸服務(wù)將 SYSTEM 令牌插入表中，并有可能獲得登錄到被入侵系統(tǒng)的另一個(gè)用戶的令牌，以進(jìn)行橫向移動(dòng)。

參考鏈接：https://thehackernews.com/2023/08/hackers-can-exploit-windows-container.html