El uso malicioso de la función de virtualización de Windows

  • Seguridad
ciberataque

Bitdefender detalla nuevas técnicas de ataques que son capaces de eludir las defensas del sistema operativo, desde los EDR hasta los sistemas de seguridad integrados, utilizando una funcionalidad legítima de Windows, en concreto de la virtualización del sistema de archivos.

Según una investigación de Bitdefender, los ciberdelincuentes han desarrollado una nueva técnica de ataque que explota una funcionalidad legítima de la virtualización del sistema de archivos de Windows. La compañía explica, al inicio del artículo en el que explica la técnica, que cada vez que Microsoft anuncia una nueva funcionalidad, revisan el modo en que puede afectar a las amenazas.

Y es que cada vez es más habitual que se utilizan herramientas legítimas del sistema para lanzar ataques. En este caso, Bitdefender explica cómo se utilizan los bind links, "una característica utilizada de forma legítima por contenedores de Windows, aplicaciones de Microsoft Store y Windows Sandbox, para ocultar la actividad maliciosa a las herramientas de seguridad sin modificar un solo archivo en el disco".

La compañía ha bautizado tres técnicas diferentes en torno a los bind links: File-Binding, Process-Binding y Silo-Binding. Esta última destaca como la más avanzada: divide el sistema de archivos en dos vistas diferentes para ejecutarse en un entorno aislado, lejos de las miradas de las herramientas de seguridad. Estas técnicas "permiten evadir soluciones de detección y respuesta en endpoints (EDR) y mecanismos de seguridad integrados como AMSI, AppLocker, Windows Firewall y Sysmon".

Bitdefender informó de estos descubrimientos a Microsoft. Al parecer, la compañía de Redmond consideró estas técnicas como de baja gravedad porque, para ser efectivas, los atacantes necesitan tener previamente privilegios de administrador. Desde Bitdefender señalan que "representan un riesgo mayor, ya que los atacantes disponen de múltiples métodos para obtener dichos privilegios en sistemas comprometidos".