AMSI-Bypass
Was ist AMSI-Bypass?
AMSI-BypassTechniken, die das Windows Antimalware Scan Interface deaktivieren, patchen oder umgehen, sodass Skripte und In-Memory-Payloads nicht von Antivirenprodukten gescannt werden.
Das Antimalware Scan Interface (AMSI) erlaubt PowerShell, JavaScript, VBScript, .NET und Office-Makros, Buffer vor der Ausfuehrung an die registrierten Antivirenengines weiterzureichen. AMSI-Bypasses neutralisieren diese Kontrolle, etwa indem amsi.dll!AmsiScanBuffer im Speicher so gepatcht wird, dass es stets clean zurueckgibt, indem CLR-Funktionen gehookt werden, indem das Feld amsiInitFailed in PowerShell AmsiUtils gesetzt wird, durch Stringobfuskation oder durch Downgrade auf PowerShell v2. Ziel ist es, Mimikatz, Invoke-Mimikatz oder Cobalt-Strike-Beacons in einem vertrauenswuerdigen Prozess auszufuehren, ohne Defender oder andere Engines auszuloesen. MITRE ATT&CK ordnet dies T1562.001 (Impair Defenses) zu. Schutz: an EDR gebundene AMSI-Provider, ASR-Regeln, PowerShell Constrained Language Mode, AppLocker und Erkennung unsignierter Speicher-Patches.
● Beispiele
- 01
Patch der ersten Bytes von AmsiScanBuffer im Speicher, sodass AMSI_RESULT_CLEAN zurueckkommt.
- 02
[Ref].Assembly.GetType('System.Management.Automation.AmsiUtils').GetField('amsiInitFailed','NonPublic,Static').SetValue($null,$true).
● Häufige Fragen
Was ist AMSI-Bypass?
Techniken, die das Windows Antimalware Scan Interface deaktivieren, patchen oder umgehen, sodass Skripte und In-Memory-Payloads nicht von Antivirenprodukten gescannt werden. Es gehört zur Kategorie Angriffe und Bedrohungen der Cybersicherheit.
Was bedeutet AMSI-Bypass?
Techniken, die das Windows Antimalware Scan Interface deaktivieren, patchen oder umgehen, sodass Skripte und In-Memory-Payloads nicht von Antivirenprodukten gescannt werden.
Wie funktioniert AMSI-Bypass?
Das Antimalware Scan Interface (AMSI) erlaubt PowerShell, JavaScript, VBScript, .NET und Office-Makros, Buffer vor der Ausfuehrung an die registrierten Antivirenengines weiterzureichen. AMSI-Bypasses neutralisieren diese Kontrolle, etwa indem amsi.dll!AmsiScanBuffer im Speicher so gepatcht wird, dass es stets clean zurueckgibt, indem CLR-Funktionen gehookt werden, indem das Feld amsiInitFailed in PowerShell AmsiUtils gesetzt wird, durch Stringobfuskation oder durch Downgrade auf PowerShell v2. Ziel ist es, Mimikatz, Invoke-Mimikatz oder Cobalt-Strike-Beacons in einem vertrauenswuerdigen Prozess auszufuehren, ohne Defender oder andere Engines auszuloesen. MITRE ATT&CK ordnet dies T1562.001 (Impair Defenses) zu. Schutz: an EDR gebundene AMSI-Provider, ASR-Regeln, PowerShell Constrained Language Mode, AppLocker und Erkennung unsignierter Speicher-Patches.
Wie schützt man sich gegen AMSI-Bypass?
Schutzmaßnahmen gegen AMSI-Bypass kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für AMSI-Bypass?
Übliche alternative Bezeichnungen: AMSI-Evasion.
● Verwandte Begriffe
- attacks№ 632
LOLBin / LOLBAS
Signiertes Systembinary oder Skript (LOLBin/LOLBAS), das Angreifer fuer Ausfuehrung, Download, Persistenz oder Umgehung von Schutzmechanismen missbrauchen, waehrend es wie ein legitimes Admin-Tool aussieht.
- attacks№ 616
Living off the Land
Angriffsstil, bei dem Angreifer legitime, vorinstallierte Tools und Skripte des Opfersystems missbrauchen, statt eigene Malware abzulegen.
- malware№ 417
Dateilose Malware
Schadsoftware, die hauptsächlich im Arbeitsspeicher läuft und vertrauenswürdige Systemwerkzeuge nutzt, ohne klassische ausführbare Dateien auf der Festplatte.
- defense-ops№ 298
Defense Evasion
MITRE-ATT&CK-Taktik (TA0005), die Techniken zum Umgehen von Erkennung, Deaktivieren von Sicherheitswerkzeugen und Verbergen der Aktivität auf einem Zielsystem bündelt.
- defense-ops№ 682
Mimikatz
Ein Open-Source-Windows-Post-Exploitation-Tool, das Klartext-Passwoerter, Hashes, Kerberos-Tickets und weitere Credentials aus dem Speicher und aus LSASS extrahiert.
- defense-ops№ 371
EDR (Endpoint Detection and Response)
Endpoint-Sicherheitstechnologie, die fortlaufend Prozess-, Datei-, Registry- und Netzwerkaktivitäten aufzeichnet, um Bedrohungen auf Hosts zu erkennen, zu untersuchen und darauf zu reagieren.