> Windows Syscalls
ntoskrnl.exeT1611T1134

NtRevertContainerImpersonation

Revierte una impersonación de Server Silo / contenedor Argon al contexto de seguridad del host.

Prototipo

NTSTATUS NtRevertContainerImpersonation(VOID);

Argumentos

NameTypeDirDescription

IDs de syscalls por versión de Windows

Versión de WindowsID de syscallBuild
Win10 15070x162win10-1507
Win10 16070x169win10-1607
Win10 17030x16Fwin10-1703
Win10 17090x172win10-1709
Win10 18030x174win10-1803
Win10 18090x175win10-1809
Win10 19030x176win10-1903
Win10 19090x176win10-1909
Win10 20040x17Cwin10-2004
Win10 20H20x17Cwin10-20h2
Win10 21H10x17Cwin10-21h1
Win10 21H20x17Ewin10-21h2
Win10 22H20x17Ewin10-22h2
Win11 21H20x186win11-21h2
Win11 22H20x189win11-22h2
Win11 23H20x189win11-23h2
Win11 24H20x18Bwin11-24h2
Server 20160x169winserver-2016
Server 20190x175winserver-2019
Server 20220x184winserver-2022
Server 20250x18Bwinserver-2025

Módulo del kernel

ntoskrnl.exeNtRevertContainerImpersonation

APIs relacionadas

NtImpersonateThreadNtOpenThreadTokenPsAttachSiloToCurrentThreadPsDetachSiloFromCurrentThreadPsGetCurrentServerSiloRevertToSelf

Stub del syscall

4C 8B D1            mov r10, rcx
B8 8B 01 00 00      mov eax, 0x18B
F6 04 25 08 03 FE 7F 01   test byte ptr [0x7FFE0308], 1
75 03               jne short +3
0F 05               syscall
C3                  ret
CD 2E               int 2Eh
C3                  ret

Notas no documentadas

NtRevertContainerImpersonation deshace una impersonación previa del token del host dentro de un Server Silo (también llamado contenedor Argon — la primitiva del kernel introducida con Windows 10 que sustenta Windows Server Containers y el modo process-isolated de Docker en Windows). La operación inversa — entrar en impersonación del host — se realiza implícitamente cuando un servicio silo-aware cruza la frontera del silo. No existe wrapper Win32 público; la API la consumen casi exclusivamente Host Compute Service (vmcompute.exe), hcsshim y un puñado de componentes Container Manager. El syscall no toma argumentos y actúa sobre el token de impersonación del hilo llamante.

Uso común por malware

Señal de malware muy baja. El syscall solo tiene sentido si el llamante se ejecuta dentro de un Server Silo, un despliegue estrecho. Ha habido interés académico y red-team en escapes de contenedor dirigidos a hcsshim y vmcompute (notablemente el informe 'Siloscape' de Palo Alto Unit 42 en 2021, que abusaba de APIs legítimas de gestión en lugar de este syscall), pero ninguna familia commodity invoca NtRevertContainerImpersonation in-the-wild. Documentar por completitud de la superficie de ataque silo, no por valor IOC.

Oportunidades de detección

Telemetría escasa. Los proveedores ETW Microsoft-Windows-Containers-CCG y Microsoft-Windows-Hyper-V-Compute emiten eventos de ciclo de vida de silo pero no exponen este syscall directamente. Desde la perspectiva defensiva, la pregunta útil es '¿manipuló un proceso inesperado dentro de un contenedor su estado de impersonación silo?' — respuesta correlacionando el ID del contenedor (PsGetSiloMonitorContextSlot) con imagen padre y línea de comandos vía Defender for Containers o eventos ImageLoad de Sysmon sobre vmcompute/hcs*. El proveedor ETW kernel Microsoft-Windows-Kernel-Process expone transiciones de impersonación de token filtrables por hilos enlazados a silo.

Ejemplos de syscalls directos

asmx64 direct stub (Win11 24H2)

; Direct syscall stub for NtRevertContainerImpersonation (SSN 0x18B, Win11 24H2)
NtRevertContainerImpersonation PROC
    mov  r10, rcx          ; syscall convention
    mov  eax, 18Bh         ; SSN
    syscall
    ret
NtRevertContainerImpersonation ENDP

cDynamic resolution from ntdll

// No Win32 wrapper exists; resolve from ntdll directly.
typedef NTSTATUS (NTAPI *PFN_NtRevertContainerImpersonation)(VOID);

HMODULE hNtdll = GetModuleHandleW(L"ntdll.dll");
PFN_NtRevertContainerImpersonation pNtRevert =
    (PFN_NtRevertContainerImpersonation)GetProcAddress(
        hNtdll, "NtRevertContainerImpersonation");

if (pNtRevert) {
    NTSTATUS s = pNtRevert();
    // STATUS_SUCCESS only when called from inside a Server Silo with
    // an active container-side host impersonation.
    if (!NT_SUCCESS(s)) {
        // STATUS_INVALID_PARAMETER outside a silo.
    }
}

Mapeos MITRE ATT&CK

Last verified: 2026-05-20