Yeni bulgular, kötü niyetli aktörlerin, sinsi bir kötü amaçlı yazılım tespitinden kaçınma tekniğinden yararlanabileceğini ve Windows Container Isolation Framework’ü manipüle ederek uç nokta güvenlik çözümlerini atlayabileceğini gösteriyor.
Bulgular Deep Instinct güvenlik araştırmacısı Daniel Avinoam tarafından bu ayın başlarında düzenlenen DEF CON güvenlik konferansında sunuldu.
Microsoft’un kapsayıcı mimarisi (ve buna bağlı olarak Windows Sandbox), dosya sistemini her bir kapsayıcıdan ana bilgisayara ayırmak ve aynı zamanda sistem dosyalarının çoğaltılmasını önlemek için dinamik olarak oluşturulmuş bir görüntü adı verilen şeyi kullanır.
Bu, “değişebilecek dosyaların temiz kopyalarına sahip olan, ancak ana bilgisayarda zaten mevcut olan Windows görüntüsünde bulunan ve değişemeyen dosyalara bağlantılar içeren bir işletim sistemi görüntüsünden” başka bir şey değildir ve böylece tam bir işletim sistemi için genel boyutu düşürür.
Avinoam, The Hacker News ile paylaştığı bir raporda, “Sonuç, hiçbir gerçek veri saklamayan ancak sistemdeki farklı bir birime işaret eden ‘hayalet dosyalar’ içeren görüntülerdir.” dedi. “İşte bu noktada aklıma şu fikir geldi: Peki ya bu yeniden yönlendirme mekanizmasını dosya sistemi operasyonlarımızı karartmak ve güvenlik ürünlerini karıştırmak için kullanabilirsek?”
Windows Container Isolation FS (wcifs.sys) mini filtre sürücüsünün devreye girdiği yer burasıdır. Sürücünün asıl amacı, Windows kapsayıcıları ile ana bilgisayarları arasındaki dosya sistemi ayrımını sağlamaktır.
Başka bir deyişle, fikir, mevcut sürecin fabrikasyon bir kapsayıcı içinde çalışmasını sağlamak ve güvenlik yazılımını uyarmadan dosya sistemindeki dosyaları oluşturabilecek, okuyabilecek, yazabilecek ve silebilecek şekilde G/Ç isteklerini işlemek için mini filtre sürücüsünden yararlanmaktır.
 |
| Kaynak: Microsoft |
Bu aşamada bir mini filtrenin, filtrelemeyi seçtiği G/Ç işlemleri için filtre yöneticisine kaydolarak dosya sistemi yığınına dolaylı olarak bağlandığını belirtmekte fayda var. Her mini filtreye, filtre gereksinimlerine ve yükleme sırası grubuna göre Microsoft tarafından atanan bir “tamsayı” yükseklik değeri atanır.
Wcifs sürücüsü 180000-189999 (özellikle 189900) rakım aralığına sahipken, üçüncü taraflarınkiler de dahil olmak üzere antivirüs filtreleri 320000-329999 rakım aralığında çalışır. Sonuç olarak, geri aramaları tetiklemeden çeşitli dosya işlemleri gerçekleştirilebilir.
Avinoam, “Antivirüs sürücülerinin tespiti olmadan IO_REPARSE_TAG_WCI_1 yeniden ayrıştırma etiketini kullanarak dosyaları geçersiz kılabildiğimiz için, bunların tespit algoritması resmin tamamını alamayacak ve dolayısıyla tetiklenmeyecektir,” diye açıkladı.
Bununla birlikte, saldırıyı gerçekleştirmek için wcifs sürücüsüyle iletişim kurmak için idari izinler gerekir ve bu, ana sistemdeki dosyaları geçersiz kılmak için kullanılamaz.
Açıklama, siber güvenlik şirketinin, kullanıcının ayrıcalıklarını SYSTEM’in ayrıcalıklarına yükseltmek ve potansiyel olarak kötü amaçlı kod yürütmek için Windows Filtreleme Platformunu (WFP) kötüye kullanan NoFilter adlı gizli bir tekniği göstermesiyle geldi.
Saldırılar, WFP’nin başka bir işlem için erişim belirteçlerini çoğaltmasına, bir IPSec bağlantısını tetiklemesine ve tabloya bir SİSTEM belirteci eklemek için Yazdırma Biriktiricisi hizmetinden yararlanmasına ve ele geçirilen sistemde oturum açmış başka bir kullanıcının belirtecinin elde edilmesini mümkün kılmasına olanak tanır. yanal hareket için.