លទ្ធផលស្រាវជ្រាវថ្មីបានបង្ហាញថា ហេគឃ័រអាចប្រើមេរោគ Malware គេចចេញពីបច្ចេកទេសតាមចាប់ និងឆ្លងកាត់ Endpoint Security Solution តាមរយៈ Windows Container Isolation Framework។Container Architecture របស់ Microsoft (និងមាន Extension, Window Sandbox) ជារូបភាពដែលត្រូវបង្កើតឡើងដោយបំបែក File System ចេញពី Container នីមួយៗទៅកាន់ (host) របស់ម៉ាស៊ីន ក្នុងពេលដំណាលគ្នាដើម្បីជៀសវាងត្រួតគ្នាជាមួយនឹង System Files។
ក្រុមហ៊ុនបានកត់សម្គាល់ឃើញថា Operating System Image ជា Files ដែលអាចផ្លាស់ប្តូរបានមានច្បាប់ចម្លងជាប្រភេទ (Clean Copies) Files ប៉ុន្តែតំណរភ្ជាប់ទៅកាន់ Files ដែលមិនអាចធ្វើការផ្លាស់ប្តូរបាននោះ គឺស្ថិតនៅក្នុងប្រភេទ Windows image ដែលត្រូវបានធ្វើការ Exists រួចរាល់នៅក្នុង Host របស់ម៉ាស៊ីន ដោយហេតុនេះកាត់បន្ថយទំហំទាំងមូលសម្រាប់ការពារ full OS ។
លោក Avinoam បាននិយាយនៅក្នុងរបាយការណ៍មួយដែលបានចែករំលែកជាមួយ The Hacker News កន្លងមក ជាលទ្ធផលឃើញថា Image ដែលមានផ្ទុកនូវ “Ghost Files” ដែលបានរក្សាទុកដោយមិនមានទិន្នន័យពិតប្រាកដ ប៉ុន្តែចង្អុលទៅកាន់ទីតាំង Volume ផ្សេងគ្នានៅលើប្រព័ន្ធ។ នៅត្រង់នេះ អ្នកស្រាវជ្រាវបានលើកឡើងបន្តថា ចុះប្រសិនបើហេគឃ័រអាចប្រើយន្តការបញ្ជូនបន្តនេះដើម្បីទៅរំខានដល់ File System Operations និងបន្លំផលិតផលសុវត្ថិភាពវិញនោះ តើនឹងមានអ្វីកើតឡើង។នេះគឹជាច្រកចូលរបស់ Windows Container Isolation FS (wcifs.sys) សម្រាប់ Minifilter Driver អាចចូលមកធ្វើការសាកល្បង។ គោលបំណងចម្បងរបស់ Driver គឺថែទាំ File System ដាច់ដោយឡែករវាង Windows Containers និង (host) ម៉ាស៊ីន របស់ពួកគេ។
Driver ជួយគ្រប់គ្រងការបញ្ជូនបន្តឯកសារ (Ghost Files) ដោយការញែកឯកសារសម្រាប់ភ្ជាប់ទៅកាន់ចំណុចដែលត្រូវជួសជុលឡើងវិញ (Reparse Points) បូករួមបញ្ចូលទាំង Reparse Tags ដែលកំណត់អត្តសញ្ញាណណាដែលជាម្ចាស់កម្មសិទ្ធិ (Owner)។ ឧទាហរណ៍ អ្នកអនុវត្ត File System Filter Driver ដែលដំណើរការ Filter-defined បន្ថែមលើ File អំឡុងពេលប្រតិបត្តិការ I/O Operations។Reparse Tag Data Structures ចំនួន២ ត្រូវបានប្រើដោយ Windows Container Isolation Filter បើយោងតាមសំដីក្រុមហ៊ុន Microsoft នោះគឺ IO_REPARSE_TAG_WCI_1 និង IO_REPARSE_TAG_WCI_LINK_1.។
នៅត្រង់នេះ មានដំណើរការបច្ចុប្បន្ននៅក្នុង Fabricated Container និងបង្កើន Minifilter Driver ដើម្បីជួយស្នើសុំ I/O ដែលវាអាចបង្កើត អាន សរសេរ និងលុប Files នៅលើ File System ដោយមិនបង្ហាញទៅកាន់ Security Software។គួរកត់សម្គាល់ដែរថា នៅដំណាក់កាលនេះ Minifilter ភ្ជាប់ទៅកាន់ File System Stack ដោយប្រយោល, ដោយគ្រាន់តែធ្វើការ Register ជាមួយ Filter Manager ដើម្បី I/O Operations ដែលវាជាការជ្រើសរើសដើម្បីច្រោះយក (filter)។ Minifilter នីមួយៗត្រូវបានបែងចែក Microsoft-assigned ជាប្រភេទ (Integer)” អាស្រ័យលើ Filter Requirements និង Load Order Group។
Wcifs.sys Driver មានតួនាទីគ្រប់គ្រងទៅលើ Altitude ដែលមានកម្រិតទាបចាប់ពីចន្លោះ 180,000-189,999 (ជាមធ្យម 189,900) ខណៈពេលដែល Antivirus Filters រួមបញ្ចូលទាំង Third-Parties, ដំណើរការមុខងារ Altitude នៅចន្លោះពី 320,000-329,999។ ជាលទ្ធផល File Operations ផ្សេងៗអាចត្រូវបានដំណើរការដោយគ្មានការហៅត្រលប់ទេ (Callbacks Triggered)។អ្នកស្រាវជ្រាវបានបន្តថា ដោយសារតែយើងអាច Override Files ដោយប្រើ IO_REPARSE_TAG_WCI_1 កែសម្រួល (Reparse Tag) ដោយគ្មានការបញ្ជាក់ពី Antivirus Drivers ធ្វើឱ្យការតាមចាប់របស់ Antivirus នឹងមិនទទួលបានរូបភាពទាំងស្រុង ព្រមទាំងមិនបង្ហាញសារព្រមានផងដែរ។
ដើម្បីអាចបញ្ឈប់នូវការវាយប្រហារបាន តម្រូវឱ្យមានការអនុញ្ញាតពី Administrative Permissions និងទាក់ទងជាមួយ Wcifs.Sys Driver ព្រមទាំងមិនអាចធ្វើការ Override Files នៅលើ Host System បាន។ការលាតត្រដាងនេះកើតឡើងខណៈដែលក្រុមហ៊ុនសន្តិសុខអ៊ីនធឺណិតបានបង្ហាញពីបច្ចេកទេសលួចដែលបានគេហៅថា NoFilter ដែលត្រូវបានបំពានទៅលើ Windows Filtering Platform (WFP) ដើម្បីបង្កើនសិទ្ធិរបស់អ្នកប្រើប្រាស់នៅលើ SYSTEM និងប្រតិបត្តិកូដអាក្រក់។
ការវាយប្រហារបានអនុញ្ញាតឱ្យប្រើប្រាស់នូវ WFP ដើម្បីបន្លំការចូលទៅប្រើប្រាស់ Tokens មានលក្ខណៈស្ទួន (Duplicate Access Tokens) សម្រាប់ដំណើរការមួយផ្សេងទៀត, ចាប់ផ្តើមការតភ្ជាប់ IPSec Connection ដើម្បីប្រើប្រាស់ក្នុងការគ្រប់គ្រង Print Spooler Service ក្នុងការបញ្ចូលនូវ SYSTEM Token ចូលទៅក្នុងតារាង (Table) បន្ទាប់មកទទួលបាននូវ Token មួយសម្រាប់ User ផ្សេងទៀតដើម្បីអាចចូលទៅក្នុង Compromised System ពេលក្រោយទៀត៕
ប្រភពព័ត៌មាន៖ ថ្ងៃទី៣០ ខែសីហា ឆ្នាំ២០២៣
ប្រែសម្រួលដោយ៖ កញ្ញា
