Ето как атакуващите заобикалят защитата от сканиране на AMSI на Microsoft срещу злонамерен софтуер

Изследователите очертаха най-популярните инструменти и техники, използвани от участниците в заплахата, за да се опитат да заобиколят интерфейса за сканиране на антималуер (AMSI) на Microsoft.

Дебютирайки през 2015 г., AMSI е доставчик-агностичен интерфейс, предназначен да интегрира продукти против зловреден софтуер на машина с Windows и да защити по-добре крайните потребители, като поддържа функции, включително корелация на заявки за сканиране и проверка на URL / IP репутация на източника на съдържание.

Интеграцията на AMSI с Office 365 беше наскоро надстроена да се включи Excel 4.0 (XLM) макро сканиране, за да се опита да се бори с увеличаването на зловредните макроси като вектор на инфекция.

Решението за защита на Microsoft е бариера, която съвременните разработчици на зловреден софтуер на Windows често се опитват да заобиколят – или чрез методи като замъгляване, стеганография, или чрез предотвратяване на сканиране и откриване на файл като злонамерен в началните етапи на атака.

В разследване на техники, използвани за избягване или деактивиране на AMSI, изследователите на Sophos каза в сряда че актьорите на заплахата ще изпробват всичко – от тактики за живеене извън земята до атаки без файлове.

Може би бяха подчертани възможностите, които AMSI байпасът представлява в туит от експерта по сигурността Мат Гребър през 2016 г., в който Софос казва, че един ред код е обърнал атрибут PowerShell за интеграция на AMSI и на теория може да е спрял процесите, базирани на PowerShell, да изискват сканиране.

Въпреки че вече са интегрирани и са маркирани като злонамерени в продължение на години, разработчиците на зловреден софтуер са се вдъхновили от еднолинейния байпас на AMSI и все още се използват вариации, които са затъмнени, за да се опитат да танцуват около сканирания, базирани на подписи.

При разкриванията през 2020 – 2021 г. изглежда, че по-голямата част са съсредоточени върху дейности след експлоатация, включително странично движение. Един метод, например, се опитва да извлече PowerShell backdoor от уеб сървър в частно IP адресно пространство.

Същият байпас беше проследен до отделен инцидент, свързан с атаки на Proxy Logon, при които беше създадена връзка с отдалечен сървър, за да се вземе базирания на PowerShell софтуер за изтегляне.

Друга техника, използвана за AMSI байпас, е използването на Seatbelt, офанзивен инструмент за сигурност. Скрипт PowerShell е използван за създаване на делегиран процес, който използва отражение за достъп до .NET интерфейса за AmsiUtils.

Софос обаче казва, че над 98% от опитите за заобикаляне на AMSI се правят чрез подправяне на AMSI библиотеката. Съществуват различни видове зловреден софтуер, които ще се опитат да намерят AmsiScanBuffer, вече зареден в паметта, и след това да презапишат инструкциите, за да се уверят, че заявките за сканиране не успеят.

Алтернативните версии могат да модифицират компонента на паметта, съхраняващ кода, предназначен да върне резултатите от сканирането на буфера, което води до неуспех.

Други тактики включват:

  • Cobalt Strike: Техниката за кръпка на паметта е включена в amsi_disable и е видима в семейството Agent Tesla Trojan, заедно с други.
  • Отдалечени скриптове от команден ред, извикани в PowerShell преди опити за корекция.
  • Създаване на фалшиви DLL, предназначени да заблудят PowerShell при зареждане на фалшива версия на amsi.DLL, стара тактика, която сега се затруднява поради подобрената сигурност на Microsoft.
  • Понижаване на скрипт двигателите.
  • Зареждане на неподдържани двигатели или в краен случай виртуални машини (VM).

„Като се има предвид колко широко разпространени са тези тактики, особено при проникванията на оператори на рансъмуер, AMSI може да играе особено важна роля за предотвратяване на компрометиране на Windows 10 и Windows Server системи“, казва Софос. “Но AMSI не е панацея. И докато Windows Defender на Microsoft осигурява известна защита срещу байпасите на AMSI, нападателите непрекъснато намират начини да прикриват и прикриват злонамерено съдържание от откриването на подписи срещу злонамерен софтуер.”

Предишно и свързано покритие


Имате съвет? Свържете се сигурно чрез WhatsApp | Сигнал на +447713 025 499 или повече в Keybase: charlie0




Публикациите се превеждат автоматично с google translate

Източник: www.zdnet.com