Nuevos hallazgos muestran que los actores maliciosos podrían aprovechar una técnica furtiva de evasión de detección de malware y eludir las soluciones de seguridad de endpoints manipulando el marco de aislamiento de contenedores de Windows.
Los hallazgos fueron presentados por el investigador de seguridad de Deep Instinct, Daniel Avinoam, en la Conferencia de seguridad DEF CON celebrada a principios de este mes.
Microsoft arquitectura de contenedores (y por extensión, Zona de pruebas de Windows) utiliza lo que se llama un imagen generada dinámicamente para separar el sistema de archivos de cada contenedor al host y al mismo tiempo evitar la duplicación de archivos del sistema.
No es más que una «imagen del sistema operativo que tiene copias limpias de archivos que pueden cambiar, pero enlaces a archivos que no pueden cambiar y que están en la imagen de Windows que ya existe en el host», reduciendo así el tamaño total de un sistema operativo completo.
«El resultado son imágenes que contienen ‘archivos fantasma’, que no almacenan datos reales sino que apuntan a un volumen diferente en el sistema», Avinoam dicho en un informe compartido con The Hacker News. «Fue en este punto que se me ocurrió la idea: ¿qué pasaría si pudiéramos utilizar este mecanismo de redirección para ofuscar las operaciones de nuestro sistema de archivos y confundir los productos de seguridad?»
Aquí es donde entra en juego el controlador de minifiltro Windows Container Isolation FS (wcifs.sys). El objetivo principal del controlador es encargarse de la separación del sistema de archivos entre los contenedores de Windows y su host.
En otras palabras, el idea es tener el proceso actual ejecutándose dentro de un contenedor fabricado y aprovechar el controlador del minifiltro para manejar las solicitudes de E/S de modo que pueda crear, leer, escribir y eliminar archivos en el sistema de archivos sin alertar al software de seguridad.
 |
| Fuente: Microsoft |
Vale la pena señalar en esta etapa que un minifiltro se conecta indirectamente a la pila del sistema de archivos, registrándose en el administrador de filtros para las operaciones de E/S que elige filtrar. Cada minifiltro es asignado un valor de altitud «entero» asignado por Microsoft basado en los requisitos de filtro y el grupo de orden de carga.
El controlador wcifs tiene un rango de altitud de 180000-189999 (concretamente 189900), mientras que los filtros antivirus, incluidos los de terceros, funcionan en un rango de altitud de 320000-329999. Como resultado, se pueden realizar varias operaciones con archivos sin que se activen sus devoluciones de llamada.
«Debido a que podemos anular archivos usando la etiqueta de análisis IO_REPARSE_TAG_WCI_1 sin la detección de controladores antivirus, su algoritmo de detección no recibirá la imagen completa y, por lo tanto, no se activará», explicó Avinoam.
Dicho esto, realizar el ataque requiere permisos administrativos para comunicarse con el controlador wcifs y no se puede utilizar para anular archivos en el sistema host.
La divulgación se produce cuando la empresa de ciberseguridad demostró una técnica sigilosa llamada NoFilter que abusa de la plataforma de filtrado de Windows (WFP) para elevar los privilegios de un usuario a los de SISTEMA y potencialmente ejecutar código malicioso.
Los ataques permiten el uso de WFP para duplicar tokens de acceso para otro proceso, activar una conexión IPSec y aprovechar el servicio Print Spooler para insertar un token de SISTEMA en la tabla y hacer posible obtener el token de otro usuario que haya iniciado sesión en el sistema comprometido. para movimientos laterales.