soword科技言
永久公益免费API接口
提供永久免费的API接口,查看更多API接口,如果您有其他免费API资源,请联系我们,造福人类。
提供商务开发:小程序,系统,APP
定制开发,免费评估,免费咨询,价格便宜,售后保障,前往开发服务中心联系开发客服中心
这就是攻击者如何绕过微软的AMSI反恶意软件扫描保护

研究人员概述了威胁行为体试图绕过微软反恶意软件扫描接口(AMSI)的最流行工具和技术。 

AMSI于2015年首次亮相,是一个与供应商无关的界面,旨在将反恶意软件产品集成到Windows计算机上,并更好地保护最终用户,支持扫描请求关联和内容源URL/IP信誉检查等功能。 

AMSI与Office 365的集成是https://www.microsoft.com/security/blog/2021/03/03/xlm-amsi-new-runtime-defense-against-excel-4-0-macro-malware/“target=”\u blank“rel=”noopener noreferrer“data component=”externalLink“>最近升级了以包含Excel 4.0(XLM)宏扫描,以尝试和对抗作为感染媒介的恶意宏。 

微软的安全解决方案是当今的Windows恶意软件开发人员经常试图绕过的一个障碍——要么通过模糊处理等方法,在2016年由安全专家马特·格雷伯发布的推文中,其中Sophos说,一行代码翻转了AMSI集成的PowerShell属性,理论上,可能阻止了基于PowerShell的进程请求扫描。 

<恶意软件开发人员多年来一直从单行AMSI旁路中汲取灵感,如今仍在使用各种变体,这些变体已被模糊处理,试图围绕基于签名的扫描跳舞。 

在2020-2021年的探测中,大多数似乎集中在开采后活动,包括横向移动。例如,一种方法尝试从私有IP地址空间内的web服务器检索PowerShell后门。 

同样的绕过被追溯到一个单独的事件,与代理登录攻击有关,在该事件中,伪造了与远程服务器的连接,以获取基于PowerShell的恶意软件下载程序

另一种用于AMSI旁路的技术是使用安全带,这是一种攻击性的安全工具。PowerShell脚本用于创建委托进程,该进程使用反射来访问AmsiUtils的.NET接口

然而,Sophos说,超过98%的AMSI规避尝试是通过篡改AMSI库进行的。有各种各样的恶意软件将试图找到AmsiScanBuffer,已经加载到内存中,然后覆盖指令,以确保扫描请求失败。 

替代版本可能会修改存储用于返回缓冲区扫描结果的代码的内存组件,从而提示失败。 

其他策略包括:

  • 钴击:内存补丁技术包含在amsièu disable下,可以在代理Tesla特洛伊木马家族中查看,与其他技术一起使用。 
  • 在尝试修补程序之前,在PowerShell中调用命令行远程脚本。
  • 创建假DLL以欺骗PowerShell加载假版本的amsi.DLL,由于Microsoft安全性的提高,这一旧策略现在变得更加困难。 
  • 降级脚本引擎。
  • 加载不支持的引擎,或在极端情况下加载虚拟机(VM)。 三个新的恶意软件在全球金融网络钓鱼活动中发现的家庭https://www.zdnet.com/article/researchers-find-four-new-malware-tools-created-to-exploit-pulse-secure-vpn-appliances/“target=”\u blank“>研究人员发现了四种新的恶意软件工具,用于利用Pulse Secure VPN设备href=“https://www.zdnet.com/article/what-is-malware-everything-you-need-to-know-about-viruses-trojans-and-malicious-software/“target=”\u blank“>什么是恶意软件?有关病毒、特洛伊木马和恶意软件的所有信息>

有提示吗?在+447713 025 499或Keybase:charlie0上通过WhatsApp |信号安全联系。

俄罗斯地下论坛推出加密货币、NFT黑客竞赛

cloudera to-be-acquired,通过CD&;转换为私有;R、 KKR以53亿美元的价格通过注册,您同意https://redventures.com/CMG-terms-of-use.html“target=”\u blank“rel=”noopener noreferrer nof


2023-03-22 10:04:35