容器隔离框架绕过端点安保系统 Windows 黑客可应用

新的钻研结果标明，攻打者可以应用一种躲藏的恶意软件检测规避技术，并经过操纵 Windows 容器隔离框架来绕过端点安保的处置方案。

Deep Instinct安保钻研员丹尼尔-阿维诺姆（Daniel Avinoam）在本月初举办的DEF CON安保大会上发布了这一发现。

Microsoft的容器体系结构（以及裁减的 Windows 沙盒）经常使用所谓的灵活生成的映像将文件系统从每个容器分别到服务器，同时防止重复系统文件。

Avinoam一份报告中说：它只不过是一个“操作系统映像，其中蕴含可以更改的文件的洁净正本，但链接到服务器上已存在的Windows映像中不可更改的文件”，从而降落了完整操作系统的全体大小。结果就是蕴含'幽灵文件'的图像，它们不存储实践数据，但指向系统上的不同目录。

正由于如此，我突然想到，假设咱们可以经常使用这种重定向机制来混杂咱们的文件系统操作并混杂安保产品，那会怎么？

这就提到了 Windows 容器隔离 FS （wcifs.sys） 过滤器驱动程序的作用。该驱动程序的关键目标就是处置 Windows 容器与其服务器之间的文件系统隔离。

换句话说，咱们的想法是让当前进程在一个天然容器内运转，并应用迷你过滤器驱动程序来处置 I/O 恳求，这样它就可以在文件系统上创立、读取、写入和删除文件，而不会向安保软件收回警报。

值得一提是，在此阶段，迷你过滤器经过向过滤器治理器注册它选用过滤的 I/O 操作，直接地衔接到文件系统栈。每个迷你过滤器都会依据过滤器要求和负载顺序组调配一个微软指定的 "整数 "高度值。

wcifs 驱动程序的高度范围为 180000-189999（特意是 189900），而反病毒过滤器（包括第三方的反病毒过滤器）的高度范围为 320000-329999。因此，可以在不触发回调的状况下口头各种文件操作。

Avinoam解释说：由于咱们可以经常使用IO_REPARSE_TAG_WCI_1从新解析标签笼罩文件，而无需检测防病毒驱动程序，所以它们的检测算法不会接纳整个图片，因此不会触发。

虽然如此，实施这种攻打要求有治理权限能力与 wcifs 驱动程序通讯，而且不能用它来笼罩服务器系统上的文件。

在披露这一信息的同时，网络安保公司还展现了一种名为 "NoFilter "的隐蔽技术，该技术可滥用 Windows 过滤平台（WFP）将用户权限优化至 SYSTEM，并或者口头恶意代码。

这些攻打准许经常使用 WFP 复制另一个进程的访问令牌，触发 IPSec 衔接，应用打印线轴服务将 SYSTEM 令牌拔出表中，并有或者取得登录到被入侵系统的另一个用户的令牌，以启动横向移动。

参考链接：