Nova otkrića pokazuju da bi maliciozni hakeri mogli iskoristiti prikrivenu tehniku izbjegavanja otkrivanja malware-a i zaobići sigurnosna rješenja endpointa manipulisanjem Windows Container Isolation Framework.
Zaključke je predstavio istraživač sigurnosti Deep Instinct Daniel Avinoam na sigurnosnoj konferenciji DEF CON održanoj ranije ovog mjeseca.
Microsoftova arhitektura kontejnera (i po proširenju, Windows Sandbox) koristi ono što se zove dinamički generisana slika da odvoji sistem datoteka od svakog kontejnera do hosta i istovremeno izbjegne dupliciranje sistemskih datoteka.
To nije ništa drugo nego “slika operativnog sistema koja ima čiste kopije datoteka koje se mogu promijeniti, ali veže se za datoteke koje se ne mogu promijeniti a koje se nalaze u Windows slici koja već postoji na hostu”, čime se smanjuje ukupna veličina za cijeli OS.
“Rezultat su slike koje sadrže ‘ghost files’, koje ne pohranjuju stvarne podatke, ali upućuju na drugačiji volumen na sistemu,” rekao je Avinoam u izvještaju podijeljenom za The Hacker News. “U ovom trenutku mi je pala na pamet ideja – šta ako možemo koristiti ovaj mehanizam preusmjeravanja da zamutimo naše radnje sistema datoteka i zbunimo sigurnosne proizvode?”
Ovdje dolazi u igru upravljački program minifiltera Windows Container Isolation FS (wcifs.sys). Glavna svrha drajvera je da vodi računa o razdvajanju sistema datoteka između Windows kontejnera i njihovog hosta.
Drajver upravlja preusmeravanjem ghost fajlova raščlanjivanjem njihovih priloženih tačaka ponovnog raščlanjivanja i pridruženih oznaka za ponovno analiziranje koje jedinstveno identifikuju vlasnika, tj. implementatora drajvera filtera sistema datoteka koji vrši dodatnu obradu definisanu filterom na datoteci tokom I/O operacija.
Dvije takve strukture tag podataka za ponovnu analizu koje koristi Windows filter za izolaciju kontejnera, prema Microsoftu, su IO_REPARSE_TAG_WCI_1 i IO_REPARSE_TAG_WCI_LINK_1.
Ideja je, ukratko, da se trenutni proces izvodi unutar fabrikovanog kontejnera i da se upravljački program minifiltera koristi za rukovanje I/O zahtjevima tako da može kreirati, čitati, pisati i brisati datoteke u sistemu datoteka bez upozorenja sigurnosnog softvera.
Vrijedi naglasiti u ovoj fazi da se minifilter spaja na stack sistema datoteka indirektno, tako što se registruje kod filtera menadžera za I/O operacije koje odabere da filtrira. Svakom minifilteru se dodjeljuje “cijelobrojna” vrijednost koju dodjeljuje Microsoft na osnovu zahtjeva filtera i reda load grupe.
Drajver wcifs.sys zauzima niži raspon nadmorske visine od 180000-189999 (konkretno 189900), dok antivirusni filteri, uključujući one trećih strana, funkcionišu u rasponu od 320000-329999. Kao rezultat, razne operacije sa datotekama se mogu izvesti bez pokretanja njihovih povratnih poziva.
“Budući da možemo poništiti datoteke koristeći IO_REPARSE_TAG_WCI_1 oznaku za ponovno analiziranje bez detekcije antivirusnih drajvera, njihov algoritam detekcije neće primiti cijelu sliku i stoga se neće pokrenuti”, objasnio je Avinoam.
Uzimajući to u obzir, povlačenje napada zahtijeva administrativne dozvole za komunikaciju sa drajverom wcifs.sys i ne može se koristiti za nadjačavanje datoteka na host sistemu.
Ovo otkrivanje dolazi kada je kompanija za kibernetičku sigurnost demonstrirala prikrivenu tehniku pod nazivom NoFilter koja zloupotrebljava Windows Filtering Platform (WFP) kako bi uzdigla privilegije korisnika na privilegije SYSTEM-a i potencijalno izvršila maliciozni kod.
Napadi omogućavaju upotrebu WFP-a za dupliranje pristupnih tokena za drugi proces, pokretanje IPSec veze i iskorištavanje usluge Print Spooler za umetanje SYSTEM tokena u tabelu i omogućavaju dobijanje tokena drugog korisnika koji je prijavljen na kompromitovani sistem za bočno kretanje.
Izvor: The Hacker News