NtRevertContainerImpersonation
Restaure le contexte de sécurité hôte après une impersonation de Server Silo / conteneur Argon.
Prototype
NTSTATUS NtRevertContainerImpersonation(VOID);
Arguments
| Name | Type | Dir | Description |
|---|
IDs de syscalls par version de Windows
| Version de Windows | ID de syscall | Build |
|---|---|---|
| Win10 1507 | 0x162 | win10-1507 |
| Win10 1607 | 0x169 | win10-1607 |
| Win10 1703 | 0x16F | win10-1703 |
| Win10 1709 | 0x172 | win10-1709 |
| Win10 1803 | 0x174 | win10-1803 |
| Win10 1809 | 0x175 | win10-1809 |
| Win10 1903 | 0x176 | win10-1903 |
| Win10 1909 | 0x176 | win10-1909 |
| Win10 2004 | 0x17C | win10-2004 |
| Win10 20H2 | 0x17C | win10-20h2 |
| Win10 21H1 | 0x17C | win10-21h1 |
| Win10 21H2 | 0x17E | win10-21h2 |
| Win10 22H2 | 0x17E | win10-22h2 |
| Win11 21H2 | 0x186 | win11-21h2 |
| Win11 22H2 | 0x189 | win11-22h2 |
| Win11 23H2 | 0x189 | win11-23h2 |
| Win11 24H2 | 0x18B | win11-24h2 |
| Server 2016 | 0x169 | winserver-2016 |
| Server 2019 | 0x175 | winserver-2019 |
| Server 2022 | 0x184 | winserver-2022 |
| Server 2025 | 0x18B | winserver-2025 |
Module noyau
APIs liées
Stub du syscall
4C 8B D1 mov r10, rcx B8 8B 01 00 00 mov eax, 0x18B F6 04 25 08 03 FE 7F 01 test byte ptr [0x7FFE0308], 1 75 03 jne short +3 0F 05 syscall C3 ret CD 2E int 2Eh C3 ret
Notes non documentées
NtRevertContainerImpersonation annule une impersonation préalable du jeton hôte côté conteneur dans un Server Silo (alias conteneur Argon — la primitive kernel introduite avec Windows 10 qui sous-tend les Windows Server Containers et le mode process-isolated de Docker sur Windows). L'opération inverse — l'entrée en impersonation hôte — est effectuée implicitement quand un service silo-aware franchit la frontière du silo. Aucun wrapper Win32 public ; l'appel est consommé presque exclusivement par le Host Compute Service (vmcompute.exe), hcsshim et quelques composants Container Manager. Le syscall ne prend aucun argument et agit sur le jeton d'impersonation du thread appelant.
Usage courant par les malwares
Signal malware très faible. Le syscall n'a de sens que si l'appelant s'exécute dans un Server Silo, déploiement étroit. Il y a eu un intérêt académique et red-team pour les évasions de conteneur visant hcsshim et vmcompute (notamment l'écrit 'Siloscape' de Palo Alto Unit 42 en 2021, qui abusait d'API légitimes de gestion de conteneurs plutôt que ce syscall), mais aucune famille de malware grand public n'invoque NtRevertContainerImpersonation en environnement réel. À documenter pour la complétude de la surface d'attaque silo plutôt que pour sa valeur IOC.
Opportunités de détection
Télémétrie rare. Les providers ETW Microsoft-Windows-Containers-CCG et Microsoft-Windows-Hyper-V-Compute émettent des événements de cycle de vie de silo mais n'exposent pas ce syscall directement. Du point de vue défenseur, la vraie question est « un processus inattendu dans un conteneur a-t-il manipulé son état d'impersonation silo ? » — réponse via la corrélation de l'ID conteneur (PsGetSiloMonitorContextSlot) avec l'image parent et la ligne de commande via Defender for Containers ou les événements ImageLoad Sysmon sur les DLLs vmcompute/hcs*. Le provider ETW kernel Microsoft-Windows-Kernel-Process expose les transitions d'impersonation de token filtrables sur les threads silo.
Exemples de syscalls directs
asmx64 direct stub (Win11 24H2)
; Direct syscall stub for NtRevertContainerImpersonation (SSN 0x18B, Win11 24H2)
NtRevertContainerImpersonation PROC
mov r10, rcx ; syscall convention
mov eax, 18Bh ; SSN
syscall
ret
NtRevertContainerImpersonation ENDPcDynamic resolution from ntdll
// No Win32 wrapper exists; resolve from ntdll directly.
typedef NTSTATUS (NTAPI *PFN_NtRevertContainerImpersonation)(VOID);
HMODULE hNtdll = GetModuleHandleW(L"ntdll.dll");
PFN_NtRevertContainerImpersonation pNtRevert =
(PFN_NtRevertContainerImpersonation)GetProcAddress(
hNtdll, "NtRevertContainerImpersonation");
if (pNtRevert) {
NTSTATUS s = pNtRevert();
// STATUS_SUCCESS only when called from inside a Server Silo with
// an active container-side host impersonation.
if (!NT_SUCCESS(s)) {
// STATUS_INVALID_PARAMETER outside a silo.
}
}Mappings MITRE ATT&CK
Last verified: 2026-05-20