黑客可利用 Windows 容器隔离框架绕过端点安全系统

这篇具有很好参考价值的文章主要介绍了黑客可利用 Windows 容器隔离框架绕过端点安全系统。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

黑客可利用 Windows 容器隔离框架绕过端点安全系统,windows,安全

新的研究结果表明,攻击者可以利用一种隐匿的恶意软件检测规避技术,并通过操纵 Windows 容器隔离框架来绕过端点安全的解决方案。

Deep Instinct安全研究员丹尼尔-阿维诺姆(Daniel Avinoam)在本月初举行的DEF CON安全大会上公布了这一发现。

Microsoft的容器体系结构(以及扩展的 Windows 沙盒)使用所谓的动态生成的映像将文件系统从每个容器分离到主机,同时避免重复系统文件。

Avinoam一份报告中说:它只不过是一个“操作系统映像,其中包含可以更改的文件的干净副本,但链接到主机上已存在的Windows映像中无法更改的文件”,从而降低了完整操作系统的整体大小。结果就是包含'幽灵文件'的图像,它们不存储实际数据,但指向系统上的不同目录。

正因为如此,我突然想到,如果我们可以使用这种重定向机制来混淆我们的文件系统操作并混淆安全产品,那会怎样?

这就提到了 Windows 容器隔离 FS (wcifs.sys) 过滤器驱动程序的作用。该驱动程序的主要目的就是处理 Windows 容器与其主机之间的文件系统隔离。

换句话说,我们的想法是让当前进程在一个人造容器内运行,并利用迷你过滤器驱动程序来处理 I/O 请求,这样它就可以在文件系统上创建、读取、写入和删除文件,而不会向安全软件发出警报。

值得一提是,在此阶段,迷你过滤器通过向过滤器管理器注册它选择过滤的 I/O 操作,间接地连接到文件系统栈。每个迷你过滤器都会根据过滤器要求和负载顺序组分配一个微软指定的 "整数 "高度值。

wcifs 驱动程序的高度范围为 180000-189999(特别是 189900),而反病毒过滤器(包括第三方的反病毒过滤器)的高度范围为 320000-329999。因此,可以在不触发回调的情况下执行各种文件操作。

Avinoam解释说:因为我们可以使用IO_REPARSE_TAG_WCI_1重新解析标签覆盖文件,而无需检测防病毒驱动程序,所以它们的检测算法不会接收整个图片,因此不会触发。

尽管如此,实施这种攻击需要有管理权限才能与 wcifs 驱动程序通信,而且不能用它来覆盖主机系统上的文件。

在披露这一消息的同时,网络安全公司还展示了一种名为 "NoFilter "的隐蔽技术,该技术可滥用 Windows 过滤平台(WFP)将用户权限提升至 SYSTEM,并可能执行恶意代码。

这些攻击允许使用 WFP 复制另一个进程的访问令牌,触发 IPSec 连接,利用打印线轴服务将 SYSTEM 令牌插入表中,并有可能获得登录到被入侵系统的另一个用户的令牌,以进行横向移动。文章来源地址https://www.toymoban.com/news/detail-700315.html

到了这里,关于黑客可利用 Windows 容器隔离框架绕过端点安全系统的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • PHP利用PCRE回溯次数限制绕过某些安全限制实战案例

    目录 一、正则表达式概述 有限状态自动机 匹配输入的过程分别是: DFA(确定性有限状态自动机) NFA(非确定性有限状态自动机) 二、回溯的过程 三、 PHP 的 pcre.backtrack_limit 限制利用 例题一 回溯绕过步骤 : 1、运行结果: 可见无法匹配 2、尝试匹配:依旧无法匹配 3、再

    2024年02月13日
    浏览(40)
  • Angular安全专辑之三:授权绕过,利用漏洞控制管理员账户

    这篇文章是针对实际项目中所出现的问题所做的一个总结。简单来说,就是授权绕过问题,管理员帐户被错误的接管。 详细情况是这样的,我们的项目中通常都会有 用户身份验证功能 ,不同的用户拥有不同的权限。相对来说管理员账户所对应的权限是极高的,它可以修改当

    2024年02月11日
    浏览(37)
  • Web安全:文件包含漏洞测试(防止 黑客利用此漏洞.)

    文件包含的漏洞是  程序员在开发网站的时候,为了方便自己开发构架,使用了一些包含的函数(比如:php开发语言,include() , include_once() , require_once() 等等 ),而且包含函数中的变量,没有做一些过滤或者限制,使得用户可以 控制传到服务器中的数据,导致文件包含漏洞

    2024年02月08日
    浏览(58)
  • Web安全:文件上传漏洞测试(防止 黑客利用此漏洞.)

    现在大多的网站和Web应用系统都会有上传功能(比如:文档,图片,头像,视频上传等.),而程序员在开发文件上传功能时,没有对代码做严格校验上传文件的后缀和文件类型,此时攻击者就可以上传一个与网站脚本语言相对应的恶意代码动态脚本,例如(php,jsp、aspx,asp文

    2024年02月11日
    浏览(51)
  • Web安全:SQL注入漏洞测试(防止 黑客利用此漏洞.)

    SQL注入就是 有些 恶意用户在提交查询请求的过程中 将SQL语句插入到请求内容 中,同时程序的本身对用户输入的内容过于相信, 没有对用户插入的SQL语句进行任何的过滤 ,从而 直接被SQL语句直接被服务端执行 ,导致数据库的原有信息泄露,篡改,甚至被删除等风险。 SQL注

    2024年02月13日
    浏览(40)
  • 影响Windows 和 macOS平台,黑客利用 Adobe CF 漏洞部署恶意软件

    FortiGuard 实验室的网络安全研究人员发现了几个影响 Windows 和 Mac 设备的 Adobe ColdFusion 漏洞。 远程攻击者可利用Adobe ColdFusion 2021中的验证前RCE漏洞,获取受影响系統的控制权力。 Adobe 已发布安全补丁来解决这些漏洞,但攻击者仍在利用这些漏洞。 攻击活动涉及多个阶段,包括

    2024年02月09日
    浏览(44)
  • Windows 10沙箱安全隔离的虚拟环境保护你的计算机

    Windows 10的沙箱(Windows Sandbox)是一项先进的虚拟化技术,它提供了一个隔离的运行环境,可以在其中安全地运行不受信任的应用程序或文件,同时不会对主机操作系统和数据造成任何影响。沙箱为用户提供了一个安全的测试和试验环境,可以防止恶意软件感染和系统损坏。在

    2024年02月15日
    浏览(40)
  • 第27天:安全开发-PHP应用&TP框架&路由访问&对象操作&内置过滤绕过&核心漏洞

    1.TP框架-开发-配置架构路由MVC模型 参考:https://www.kancloud.cn/manual/thinkphp5_1 配置架构-导入使用 路由访问-URL访问 数据库操作-应用对象 文件上传操作-应用对象 前端页面渲染-MVC模型 1.TP框架-安全-不安全写法版本过滤绕过 1.内置代码写法 不合要求的代码写法-ThinkPHP5-自写 2.框架

    2024年04月25日
    浏览(64)
  • 什么是端点安全以及如何保护端点

    端点是指可以接收信号的任何设备,是员工使用的一种计算设备,用于保存公司数据或可以访问 Internet。端点的几个示例包括:服务器、工作站(台式机和笔记本电脑)、移动设备、虚拟机、平板电脑、物联网、可穿戴设备、等。端点被视为 IT 网络中的薄弱环节,威胁参与者

    2024年04月11日
    浏览(37)
  • 容器安全 - 利用容器的特权配置实现对Kubernetes攻击,以及如何使用 PSA 防范风险(视频)

    《OpenShift / RHEL / DevSecOps 汇总目录》 通过将运行 Pod 的 privileged 设为 true,容器就以特权模式运行在宿主机上。和普通容器相比,特权容器具有非常大的权限和能力。 容器被赋予所有能力 不屏蔽敏感路径,例如 sysfs 中的 kernel 模块 within Any sysfs and procfs mounts are mounted RW AppArm

    2024年02月04日
    浏览(43)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包