Искусство маскировки: как файлы-призраки могут стать козырной картой в руках злоумышленников

На конференции DEF CON эксперт по кибербезопасности Даниэль Авиноам представил результаты своего исследования, согласно которым злоумышленники могут воспользоваться уязвимостью в архитектуре контейнеров Windows для обхода защиты конечных точек.

В основе техники лежит использование заготовленных контейнеров Windows, содержащих так называемые «файлы-призраки», которые не хранят реальных данных, но указывают на другой том в системе. Ничего также не получилось бы без драйвера Windows Container Isolation FS (wcifs.sys), который отвечает за разделение файловых систем между виртуальными контейнерами и хостом.

Идея, в двух словах, заключается в том, чтобы запустить определённый системный процесс внутри заготовленного контейнера и использовать вышеупомянутый драйвер для обработки запросов ввода-вывода таким образом, чтобы он мог создавать, читать, записывать и удалять элементы файловой системы без предупреждения программного обеспечения безопасности.

Из недостатков техники для потенциального злоумышленника можно выделить обязательное наличие прав администратора для взаимодействия с драйвером wcifs.sys. Кроме того, техника не позволяет переопределить файлы на хост-системе.

Ранее компания Deep Instinct уже демонстрировала похожий метод обхода защиты, основанный на злоупотреблении возможностями Windows Filtering Platform. В ходе этой атаки злоумышленник может получить права SYSTEM и выполнить вредоносный код.

Уязвимости в архитектуре операционных систем всё чаще используются для обхода обнаружения вредоносных программ. Компаниям необходимо тщательно следить за последними наработками как честных исследователей, так и реальных злоумышленников, чтобы своевременно обновлять средства защиты и делать свои системы безопаснее.