研究人员概述了威胁行为体试图绕过微软反恶意软件扫描接口(AMSI)的最流行工具和技术。
AMSI于2015年首次亮相,是一个与供应商无关的界面,旨在将反恶意软件产品集成到Windows计算机上,并更好地保护最终用户,支持扫描请求关联和内容源URL/IP信誉检查等功能。
AMSI与Office 365的集成是https://www.microsoft.com/security/blog/2021/03/03/xlm-amsi-new-runtime-defense-against-excel-4-0-macro-malware/“target=”\u blank“rel=”noopener noreferrer“data component=”externalLink“>最近升级了以包含Excel 4.0(XLM)宏扫描,以尝试和对抗
微软的安全解决方案是当今的Windows恶意软件开发人员经常试图绕过的一个障碍——要么通过模糊处理等方法,在2016年由安全专家马特·格雷伯发布的推文中,其中Sophos说,一行代码翻转了AMSI集成的PowerShell属性,理论上,可能阻止了基于PowerShell的进程请求扫描。
在2020-2021年的探测中,大多数似乎集中在开采后活动,包括横向移动。例如,一种方法尝试从私有IP地址空间内的web服务器检索PowerShell后门。
同样的绕过被追溯到一个单独的事件,与代理登录攻击有关,在该事件中,伪造了与远程服务器的连接,以获取基于PowerShell的恶意软件下载程序
另一种用于AMSI旁路的技术是使用安全带,这是一种攻击性的安全工具。PowerShell脚本用于创建委托进程,该进程使用反射来访问AmsiUtils的.NET接口
然而,Sophos说,超过98%的AMSI规避尝试是通过篡改AMSI库进行的。有各种各样的恶意软件将试图找到AmsiScanBuffer,已经加载到内存中,然后覆盖指令,以确保扫描请求失败。
替代版本可能会修改存储用于返回缓冲区扫描结果的代码的内存组件,从而提示失败。
其他策略包括:
有提示吗?在+447713 025 499或Keybase:charlie0上通过WhatsApp |信号安全联系。