Bypass de AMSI
¿Qué es Bypass de AMSI?
Bypass de AMSITecnicas que desactivan, parchean o evaden la Antimalware Scan Interface de Windows para que scripts y payloads en memoria no sean analizados por los antivirus.
La Antimalware Scan Interface (AMSI) permite a PowerShell, JavaScript, VBScript, .NET y macros de Office enviar buffers a un antivirus registrado para que los inspeccione antes de ejecutarlos. Los bypasses de AMSI neutralizan este control, por ejemplo parcheando amsi.dll!AmsiScanBuffer en memoria para que siempre devuelva limpio, enganchando funciones del CLR, modificando el campo amsiInitFailed de AmsiUtils en PowerShell, dividiendo y ofuscando cadenas o forzando PowerShell v2. El objetivo es ejecutar scripts maliciosos (Mimikatz, Invoke-Mimikatz, beacons de Cobalt Strike) dentro de un proceso confiable sin alertar a Defender u otros motores. MITRE ATT&CK lo asocia a T1562.001 (Impair Defenses). Las defensas incluyen proveedores AMSI ligados al EDR, reglas ASR, Constrained Language Mode, AppLocker y deteccion de parches no firmados en memoria.
● Ejemplos
- 01
Parchear los primeros bytes de AmsiScanBuffer en memoria para que siempre devuelva AMSI_RESULT_CLEAN.
- 02
[Ref].Assembly.GetType('System.Management.Automation.AmsiUtils').GetField('amsiInitFailed','NonPublic,Static').SetValue($null,$true).
● Preguntas frecuentes
¿Qué es Bypass de AMSI?
Tecnicas que desactivan, parchean o evaden la Antimalware Scan Interface de Windows para que scripts y payloads en memoria no sean analizados por los antivirus. Pertenece a la categoría de Ataques y amenazas en ciberseguridad.
¿Qué significa Bypass de AMSI?
Tecnicas que desactivan, parchean o evaden la Antimalware Scan Interface de Windows para que scripts y payloads en memoria no sean analizados por los antivirus.
¿Cómo funciona Bypass de AMSI?
La Antimalware Scan Interface (AMSI) permite a PowerShell, JavaScript, VBScript, .NET y macros de Office enviar buffers a un antivirus registrado para que los inspeccione antes de ejecutarlos. Los bypasses de AMSI neutralizan este control, por ejemplo parcheando amsi.dll!AmsiScanBuffer en memoria para que siempre devuelva limpio, enganchando funciones del CLR, modificando el campo amsiInitFailed de AmsiUtils en PowerShell, dividiendo y ofuscando cadenas o forzando PowerShell v2. El objetivo es ejecutar scripts maliciosos (Mimikatz, Invoke-Mimikatz, beacons de Cobalt Strike) dentro de un proceso confiable sin alertar a Defender u otros motores. MITRE ATT&CK lo asocia a T1562.001 (Impair Defenses). Las defensas incluyen proveedores AMSI ligados al EDR, reglas ASR, Constrained Language Mode, AppLocker y deteccion de parches no firmados en memoria.
¿Cómo defenderse de Bypass de AMSI?
Las defensas contra Bypass de AMSI combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Bypass de AMSI?
Nombres alternativos comunes: Evasion de AMSI.
● Términos relacionados
- attacks№ 632
LOLBin / LOLBAS
Binario o script nativo y firmado (LOLBin/LOLBAS) que el atacante abusa para ejecutar codigo, descargar payloads, persistir o evadir controles aparentando ser una herramienta legitima.
- attacks№ 616
Living off the Land
Estilo de ataque que abusa de herramientas y scripts legitimos ya instalados en el sistema victima en lugar de desplegar malware propio.
- malware№ 417
Malware sin archivos
Malware que se ejecuta principalmente en memoria y abusa de herramientas legítimas del sistema, evitando el uso de ejecutables tradicionales en disco.
- defense-ops№ 298
Evasión de Defensas
Táctica MITRE ATT&CK (TA0005) que cubre las técnicas con las que un atacante evita detección, desactiva herramientas de seguridad y oculta su actividad.
- defense-ops№ 682
Mimikatz
Herramienta de post-explotacion para Windows que extrae contrasenas en claro, hashes, tickets Kerberos y otras credenciales desde la memoria y LSASS.
- defense-ops№ 371
EDR (Detección y Respuesta en Endpoints)
Tecnología de seguridad para endpoints que registra continuamente actividad de procesos, ficheros, registro y red para detectar, investigar y responder a amenazas en los equipos.