Nuevos hallazgos muestran que actores maliciosos podrían aprovechar una técnica sigilosa de evasión de detección de malware y eludir soluciones de seguridad en puntos finales al manipular el Marco de Aislamiento de Contenedores de Windows. Los hallazgos fueron presentados por el investigador de seguridad de Deep Instinct, Daniel Avinoam, en la conferencia de seguridad DEF CON celebrada a principios de este mes.
La arquitectura de contenedores de Microsoft (y por extensión, Windows Sandbox) utiliza lo que se llama una imagen generada dinámicamente para separar el sistema de archivos de cada contenedor del host y, al mismo tiempo, evitar la duplicación de archivos del sistema. "No es más que una imagen de sistema operativo que tiene copias limpias de archivos que pueden cambiar, pero enlaces a archivos que no pueden cambiar y que están en la imagen de Windows que ya existe en el host", lo que reduce el tamaño total para un sistema operativo completo.
"El resultado son imágenes que contienen 'archivos fantasmas', que no almacenan datos reales pero apuntan a un volumen diferente en el sistema", dijo Avinoam en un informe compartido con The Hacker News. "Fue en este momento que la idea me vino a la mente: ¿qué pasa si podemos usar este mecanismo de redirección para oscurecer nuestras operaciones en el sistema de archivos y confundir a los productos de seguridad?"
Aquí es donde entra en juego el controlador de filtro minifiltro de Aislamiento de Contenedores de Windows (wcifs.sys). El propósito principal del controlador es encargarse de la separación del sistema de archivos entre los contenedores de Windows y su host.
En otras palabras, la idea es que el proceso actual se ejecute dentro de un contenedor fabricado y aprovechar el controlador minifiltro para manejar las solicitudes de E/S de manera que pueda crear, leer, escribir y eliminar archivos en el sistema de archivos sin alertar al software de seguridad.
Cabe señalar en esta etapa que un minifiltro se adhiere a la pila del sistema de archivos de manera indirecta, registrándose en el administrador de filtros para las operaciones de E/S que elige filtrar. A cada minifiltro se le asigna un valor de "altitud" asignado por Microsoft en función de los requisitos del filtro y el grupo de orden de carga.
El controlador wcifs tiene un rango de altitud de 180,000-189,999 (específicamente 189,900), mientras que los filtros antivirus, incluidos los de terceros, funcionan en un rango de altitud de 320,000-329,999. Como resultado, diversas operaciones de archivos pueden llevarse a cabo sin que se activen sus devoluciones de llamada. "Como podemos anular archivos usando la etiqueta de reanálisis IO_REPARSE_TAG_WCI_1 sin la detección de los controladores antivirus, su algoritmo de detección no recibirá la imagen completa y, por lo tanto, no se activará", explicó Avinoam.
Dicho esto, llevar a cabo el ataque requiere permisos administrativos para comunicarse con el controlador wcifs y no se puede utilizar para anular archivos en el sistema del host. La divulgación llega mientras la empresa de ciberseguridad demuestra una técnica sigilosa llamada NoFilter que abusa de la Plataforma de Filtros de Windows (WFP) para elevar los privilegios de un usuario al nivel de SYSTEM y potencialmente ejecutar código malicioso.
Los ataques permiten el uso de WFP para duplicar tokens de acceso para otro proceso, iniciar una conexión IPSec y aprovechar el servicio de Cola de Impresión para insertar un token de SYSTEM en la tabla, y posibilitan obtener el token de otro usuario que ha iniciado sesión en el sistema comprometido para el movimiento lateral.
¿Quieres saber más?
Comments