Novos ataques de malware podem contornar soluções de segurança de endpoint usando arquivos fantasmas. Esses arquivos são parte da arquitetura de contêineres da Microsoft, que usa imagens geradas dinamicamente para separar o sistema de arquivos de cada contêiner do host.
Os arquivos fantasmas não armazenam dados reais, mas apontam para um volume diferente no sistema. O driver do minifiltro Windows Container Isolation FS (wcifs.sys) é responsável por lidar com o redirecionamento de arquivos fantasmas. Ele analisa os pontos de nova análise anexados aos arquivos fantasmas e as tags de nova análise associadas, que identificam exclusivamente o proprietário do driver de filtro.
O pesquisador de segurança Daniel Avinoam descobriu que o driver wcivfs.sys não verifica as tags de nova análise com a mesma precisão que as soluções de segurança. Isso permite que os atacantes criem arquivos fantasmas com tags de nova análise maliciosas que não são detectadas pelos produtos de segurança.
Para realizar um ataque, os atacantes primeiro criam um contêiner fabricado. Em seguida, eles criam arquivos fantasmas maliciosos com tags de nova análise maliciosas. Por fim, eles executam o malware dentro do contêiner fabricado.
Quando o malware tenta acessar os arquivos fantasmas maliciosos, o driver wcivfs.sys os redireciona para um volume diferente no sistema. Isso permite que o malware crie, leia, grave e exclua arquivos no sistema de arquivos sem alertar o software de segurança.
Commentaires