在2020-2021年的探测中，大多数似乎集中在开采后活动，包括横向移动。例如，一种方法尝试从私有IP地址空间内的web服务器检索PowerShell后门。 

同样的绕过被追溯到一个单独的事件，与代理登录攻击有关，在该事件中，伪造了与远程服务器的连接，以获取基于PowerShell的恶意软件下载程序

另一种用于AMSI旁路的技术是使用安全带，这是一种攻击性的安全工具。PowerShell脚本用于创建委托进程，该进程使用反射来访问AmsiUtils的.NET接口

然而，Sophos说，超过98%的AMSI规避尝试是通过篡改AMSI库进行的。有各种各样的恶意软件将试图找到AmsiScanBuffer，已经加载到内存中，然后覆盖指令，以确保扫描请求失败。 

替代版本可能会修改存储用于返回缓冲区扫描结果的代码的内存组件，从而提示失败。 

其他策略包括：

• 钴击：内存补丁技术包含在amsièu disable下，可以在代理Tesla特洛伊木马家族中查看，与其他技术一起使用。 
• 在尝试修补程序之前，在PowerShell中调用命令行远程脚本。
• 创建假DLL以欺骗PowerShell加载假版本的amsi.DLL，由于Microsoft安全性的提高，这一旧策略现在变得更加困难。 
• 降级脚本引擎。
• 加载不支持的引擎，或在极端情况下加载虚拟机（VM）。 三个新的恶意软件在全球金融网络钓鱼活动中发现的家庭https://www.zdnet.com/article/researchers-find-four-new-malware-tools-created-to-exploit-pulse-secure-vpn-appliances/“target=”\u blank“>研究人员发现了四种新的恶意软件工具，用于利用Pulse Secure VPN设备href=“https://www.zdnet.com/article/what-is-malware-everything-you-need-to-know-about-viruses-trojans-and-malicious-software/“target=”\u blank“>什么是恶意软件？有关病毒、特洛伊木马和恶意软件的所有信息>

有提示吗？在+447713 025 499或Keybase:charlie0上通过WhatsApp |信号安全联系。