Son zamanlarda Deep Instinct’teki siber güvenlik araştırmacıları, bilgisayar korsanlarının kuruluşların güvenlik savunmalarını ve mekanizmalarını atlatmak için Windows konteyner izolasyon çerçevesinden yararlanabileceğini iddia etti.
Konteynerler, uygulamaların paketlenme ve yalıtılma biçiminde devrim yaratarak, içinde yer alan eksiksiz çalışma zamanı ortamıyla onlara güç verir.
Bu nedenle konteynerler kaynak verimliliği ve güvenlik açısından çok önemlidir. Bunun yanı sıra Microsoft, Windows Server 2016’da aşağıdaki iki temel farklı modu sunan Windows Container’ı tanıttı: –
- Proses izolasyon modu
- Hyper-V izolasyon modu
Bilgisayar Korsanları Windows Konteyner Yalıtımını Kötüye Kullanıyor
Windows Server 2003’ten bu yana iş nesneleri, aşağıdaki gibi nitelikleri kontrol ettiklerinden, birleşik yönetim için süreçleri gruplandırır:
- İşlemci
- G/Ç
- Hafıza
- Ağ kullanımı
Bunun yanı sıra, çok işlemli uygulamaların yönetilmesi durumunda Nested Jobs bu konuda yardımcı olur.
Ekstra özelliklerle Silolar işleri genişletirken, konteynerler süreç gruplaması ve kaynak yeniden yönlendirmesi için ‘Sunucu Silosu’nu kullanır. Bunun yanı sıra, Windows Çekirdeği aşağıdaki API’leri kullanarak siloya atanan işlemleri algılar: –
- PsIsCurrentThreadInServerSilo
- PsIsProcessInSilo
Yeniden ayrıştırma noktaları, benzersiz tanımlayıcı etiketlere sahip dosya sistemi mini filtre sürücüleri tarafından ayrıştırılan kullanıcı verilerini depolar. Deep Instinct raporuna göre konteynerler, işletim sistemi dosya kopyalamalarını önlemek için dinamik görüntüler kullanıyor ve yeniden ayrıştırma noktaları aracılığıyla orijinallere bağlanıyor.
Mini filtre sürücülerinin birincil görevi, G/Ç filtrelemeyi basitleştirmektir ve Microsoft’un filtre yöneticisi aşağıdakileri yapar: –
- Eski filtrelere yardımcı olur
- Eklemeyi yönetme
- Talep işleme
- Platformlar arası destek
Yaygın işlemler için ayrıca “Flt API” adlı özel bir API sunar.
wcifs mini filtre sürücüsü, Windows kapsayıcılarını ana bilgisayar dosya sisteminden ayırır ve yeniden ayrıştırma noktaları aracılığıyla hayalet dosya yeniden yönlendirmesini yönetir.
Ayrıca bu sürücüyle aşağıdaki ana yeniden ayrıştırma etiketleri ilişkilendirilir: –
- IO_REPARSE_TAG_WCI_1
- IO_REPARSE_TAG_WCI_LINK_1
Bu noktada mini filtreler, filtre yöneticisinin tam sayı yükseklik değerleri aracılığıyla dosya sistemlerine dolaylı olarak bağlanır.
Aşağıda wcifs.sys sürücüsünün ve antivirüs filtrelerinin çalışma yüksekliği aralığından bahsettik: –
- wcifs.sys sürücüsü: 180000-189999
- Antivirüs filtreleri: 320000-329999
Bu rakım rakamları, bilgisayar korsanlarının herhangi bir geri aramayı tetiklemeden birçok dosya işlemini gerçekleştirebileceğini açıkça göstermektedir.
Bunun gibi tehditlerle mücadele etmek amacıyla güvenlik satıcıları, dosya sistemindeki kötü amaçlı yazılımları tespit etmek ve hasarı önlemek için algoritmalar kullanarak G/Ç izleme için mini filtre sürücüleri dağıtır.
Azaltma
Aşağıda, güvenlik araştırmacıları tarafından sunulan tüm azaltımlardan bahsettik: –
- DeviceIoControl çağrılarını + FSCTL_SET_REPARSE_POINT’i IO_REPARSE_TAG_WCI_1 etiketiyle izleyin. PRE_WRITE geri aramasını kontrol edin ve değişmese bile PRE_CLEANUP’ta tarayın.
- wcifs’in iletişim portunu sistem dışı işlemlere karşı doğruladığınızdan emin olun.
- Kapsayıcıyı her zaman kaynak ve hedef birimleri karşılaştırarak doğrulayın.
- Wcif’lerin sistem tarafından değil, kullanıcı işlemi tarafından veya kapsayıcılar özelliği kapalıyken eklendiğinden emin olun.
Bizi Google Haberler, Linkedin’den takip ederek en son Siber Güvenlik Haberlerinden haberdar olun, heyecanve Facebook.