黑客可以利用 Windows 容器隔离框架绕过端点安全

新发现表明，恶意行为者可以利用偷偷摸摸的恶意软件检测规避技术，并通过操纵 Windows 容器隔离框架来绕过端点安全解决方案。

Deep Instinct 安全研究员 Daniel Avinoam 在本月早些时候举行的DEF CON 安全会议上介绍了这一发现。

微软的容器架构（以及扩展的Windows Sandbox）使用所谓的动态生成的映像将文件系统从每个容器到主机分开，同时避免系统文件的重复。

它只不过是一个“操作系统映像，其中包含可以更改的文件的干净副本，但链接到主机上已存在的 Windows 映像中的无法更改的文件”，从而缩小了完整操作系统的整体大小。

阿维诺姆分享的一份报告中表示：“结果是包含‘幽灵文件’的图像，这些文件不存储实际数据，而是指向系统上的不同卷。” “正是在这一点上，我突然想到了这个想法——如果我们可以使用这种重定向机制来混淆我们的文件系统操作并混淆安全产品呢？”

Windows 容器可以运行的两种“隔离模式”： 进程隔离模式（也称为 Windows Server 容器）：容器直接与主机内核交互的用户模式隔离。每个容器实例通过命名空间和资源控制与主机隔离。想想 Linux 容器。 Hyper-V隔离模式（也称为 Hyper-V容器）：内核级隔离，为每个容器提供自己的 Hyper-V虚拟机。虚拟机的存在在每个容器以及容器主机之间提供了硬件级隔离。 在这两种情况下，都应该有有效的文件系统分离，并且每个容器应该能够访问系统文件并写入不会影响主机的更改。为每个容器启动复制主卷将导致存储效率低下且不切实际。

这就是 Windows 容器隔离 FS (wcifs.sys) 微筛选器驱动程序发挥作用的地方。该驱动程序的主要目的是处理 Windows 容器与其主机之间的文件系统分离。

驱动程序通过解析其附加的重解析点和关联的重解析标签来处理幻影文件重定向，这些重解析标记唯一地标识所有者，即在 I/O 操作期间对文件执行附加过滤器定义的处理的文件系统过滤器驱动程序的实现者。

根据 Microsoft 的说法，Windows 容器隔离过滤器使用的两个此类重解析标记数据结构是 IO_REPARSE_TAG_WCI_1 和 IO_REPARSE_TAG_WCI_LINK_1。

简而言之，这个想法是让当前进程在构造的容器内运行，并利用微过滤器驱动程序来处理 I/O 请求，以便它可以在文件系统上创建、读取、写入和删除文件，而无需通知安全软件。

来源：微软

在此阶段值得指出的是，微过滤器通过向过滤器管理器注册它选择过滤的 I/O 操作，间接附加到文件系统堆栈。每个微过滤器都会根据过滤器要求和加载顺序组分配一个 Microsoft 分配的“整数”高度值。

wcifs.sys 驱动程序占据较低的海拔范围180000-189999（特别是 189900），而防病毒过滤器（包括来自第三方的过滤器）在 320000-329999 的海拔范围内运行。因此，可以执行各种文件操作，而无需触发其回调。

“因为我们可以使用 IO_REPARSE_TAG_WCI_1 重新解析标记覆盖文件，而无需检测防病毒驱动程序，因此它们的检测算法不会接收整个情况，因此不会触发，”Avinoam 解释道。

尽管如此，发起攻击需要管理权限才能与 wcifs.sys 驱动程序进行通信，并且它不能用于覆盖主机系统上的文件。

该信息披露之际，这家网络安全公司展示了一种名为NoFilter的隐秘技术，该技术滥用 Windows 过滤平台 (WFP) 将用户权限提升至 SYSTEM 权限，并可能执行恶意代码。

这些攻击允许使用 WFP 复制另一个进程的访问令牌、触发 IPSec 连接并利用 Print Spooler 服务将 SYSTEM 令牌插入表中，并能够获取登录到受感染系统的另一个用户的令牌用于横向运动。

>>>等级保护<<< 开启等级保护之路：GB 17859网络安全等级保护上位标准 回看等级保护：重要政策规范性文件43号文（上） 网络安全等级保护实施指南培训PPT 网络安全等级保护安全物理环境测评培训PPT 网络安全等级保护：等级保护测评过程要求PPT 网络安全等级保护：安全管理中心测评PPT 网络安全等级保护：安全管理制度测评PPT 网络安全等级保护：定级指南与定级工作PPT 网络安全等级保护：云计算安全扩展测评PPT 网络安全等级保护：工业控制安全扩展测评PPT 网络安全等级保护：移动互联安全扩展测评PPT 网络安全等级保护：第三级网络安全设计技术要求整理汇总 网络安全等级保护：等级测评中的渗透测试应该如何做 网络安全等级保护：等级保护测评过程及各方责任 网络安全等级保护：政务计算机终端核心配置规范思维导图 网络安全等级保护：什么是等级保护？ 网络安全等级保护：信息技术服务过程一般要求 网络安全等级保护：浅谈物理位置选择测评项 闲话等级保护：网络安全等级保护基础标准（等保十大标准）下载 闲话等级保护：什么是网络安全等级保护工作的内涵？ 闲话等级保护：网络产品和服务安全通用要求之基本级安全通用要求 闲话等级保护：测评师能力要求思维导图 闲话等级保护：应急响应计划规范思维导图 闲话等级保护：浅谈应急响应与保障 闲话等级保护：如何做好网络总体安全规划 闲话等级保护：如何做好网络安全设计与实施 闲话等级保护：要做好网络安全运行与维护 闲话等级保护：人员离岗管理的参考实践 信息安全服务与信息系统生命周期的对应关系 >>>工控安全<<< 工业控制系统安全：信息安全防护指南 工业控制系统安全：工控系统信息安全分级规范思维导图 工业控制系统安全：DCS防护要求思维导图 工业控制系统安全：DCS管理要求思维导图 工业控制系统安全：DCS评估指南思维导图 工业控制安全：工业控制系统风险评估实施指南思维导图 工业控制系统安全：安全检查指南思维导图（内附下载链接） 工业控制系统安全：DCS风险与脆弱性检测要求思维导图 去年针对工业组织的勒索软件攻击增加了一倍 工业安全远程访问渐增引发企业担心 工业控制系统安全：工控系统信息安全分级规范（思维导图） 有效保卫工业控制系统的七个步骤 >>>数据安全<<< 数据治理和数据安全 数据安全风险评估清单 成功执行数据安全风险评估的3个步骤 美国关键信息基础设施数据泄露的成本 备份：网络和数据安全的最后一道防线 数据安全：数据安全能力成熟度模型 数据安全知识：什么是数据保护以及数据保护为何重要？ 信息安全技术：健康医疗数据安全指南思维导图 金融数据安全：数据安全分级指南思维导图 金融数据安全：数据生命周期安全规范思维导图 >>>供应链安全<<< 美国政府为客户发布软件供应链安全指南 OpenSSF 采用微软内置的供应链安全框架 供应链安全指南：了解组织为何应关注供应链网络安全 供应链安全指南：确定组织中的关键参与者和评估风险 供应链安全指南：了解关心的内容并确定其优先级 供应链安全指南：为方法创建关键组件 供应链安全指南：将方法整合到现有供应商合同中 供应链安全指南：将方法应用于新的供应商关系 供应链安全指南：建立基础，持续改进。 思维导图：ICT供应链安全风险管理指南思维导图 英国的供应链网络安全评估 >>>其他<<< 网络安全十大安全漏洞 网络安全等级保护：做等级保护不知道咋定级？来一份定级指南思维导图 网络安全等级保护：应急响应计划规范思维导图 安全从组织内部人员开始 VMware 发布9.8分高危漏洞补丁 影响2022 年网络安全的五个故事 2023年的4大网络风险以及如何应对 网络安全知识：物流业的网络安全 网络安全知识：什么是AAA（认证、授权和记账）？ 美国白宫发布国家网络安全战略 开源代码带来的 10 大安全和运营风险 不能放松警惕的勒索软件攻击 10种防网络钓鱼攻击的方法 Mozilla通过发布Firefox 111修补高危漏洞 Meta 开发新的杀伤链理论 最佳CISO如何提高运营弹性 5年后的IT职业可能会是什么样子？ 累不死的IT加班人：网络安全倦怠可以预防吗？ 网络风险评估是什么以及为什么需要 低代码/无代码开发对安全性和生产力的影响 源代码泄漏是新的威胁软件供应商应该关心的吗？ 在2023年实施的9项数据安全策略 乌克兰是俄美网络战的“试验场” 网络安全知识：什么是日志留存？ 公安部公布十大典型案例

原文始发于微信公众号（祺印说信安）：黑客可以利用 Windows 容器隔离框架绕过端点安全