Bypass d'AMSI
Qu'est-ce que Bypass d'AMSI ?
Bypass d'AMSITechniques qui desactivent, patchent ou contournent l'Antimalware Scan Interface de Windows afin que scripts et payloads en memoire ne soient pas analyses par les antivirus.
L'Antimalware Scan Interface (AMSI) permet a PowerShell, JavaScript, VBScript, .NET et aux macros Office de soumettre des buffers a l'antivirus enregistre pour analyse avant execution. Les bypasses d'AMSI neutralisent ce controle, par exemple en patchant amsi.dll!AmsiScanBuffer en memoire pour qu'il renvoie toujours clean, en hookant des fonctions du CLR, en modifiant le champ amsiInitFailed d'AmsiUtils, en obfuscant et fractionnant les chaines, ou en forcant PowerShell v2. L'objectif est d'executer des scripts malveillants (Mimikatz, Invoke-Mimikatz, beacons Cobalt Strike) dans un processus de confiance sans alerter Defender ni d'autres moteurs. MITRE ATT&CK relie cela a T1562.001 (Impair Defenses). Les defenses comprennent des providers AMSI lies a l'EDR, des regles ASR, le Constrained Language Mode, AppLocker et la detection de patches memoire non signes.
● Exemples
- 01
Patcher les premiers octets d'AmsiScanBuffer en memoire pour qu'il renvoie toujours AMSI_RESULT_CLEAN.
- 02
[Ref].Assembly.GetType('System.Management.Automation.AmsiUtils').GetField('amsiInitFailed','NonPublic,Static').SetValue($null,$true).
● Questions fréquentes
Qu'est-ce que Bypass d'AMSI ?
Techniques qui desactivent, patchent ou contournent l'Antimalware Scan Interface de Windows afin que scripts et payloads en memoire ne soient pas analyses par les antivirus. Cette notion relève de la catégorie Attaques et menaces en cybersécurité.
Que signifie Bypass d'AMSI ?
Techniques qui desactivent, patchent ou contournent l'Antimalware Scan Interface de Windows afin que scripts et payloads en memoire ne soient pas analyses par les antivirus.
Comment fonctionne Bypass d'AMSI ?
L'Antimalware Scan Interface (AMSI) permet a PowerShell, JavaScript, VBScript, .NET et aux macros Office de soumettre des buffers a l'antivirus enregistre pour analyse avant execution. Les bypasses d'AMSI neutralisent ce controle, par exemple en patchant amsi.dll!AmsiScanBuffer en memoire pour qu'il renvoie toujours clean, en hookant des fonctions du CLR, en modifiant le champ amsiInitFailed d'AmsiUtils, en obfuscant et fractionnant les chaines, ou en forcant PowerShell v2. L'objectif est d'executer des scripts malveillants (Mimikatz, Invoke-Mimikatz, beacons Cobalt Strike) dans un processus de confiance sans alerter Defender ni d'autres moteurs. MITRE ATT&CK relie cela a T1562.001 (Impair Defenses). Les defenses comprennent des providers AMSI lies a l'EDR, des regles ASR, le Constrained Language Mode, AppLocker et la detection de patches memoire non signes.
Comment se défendre contre Bypass d'AMSI ?
Les défenses contre Bypass d'AMSI combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Bypass d'AMSI ?
Noms alternatifs courants : Evasion AMSI.
● Termes liés
- attacks№ 632
LOLBin / LOLBAS
Binaire ou script natif et signe (LOLBin/LOLBAS) detourne par les attaquants pour executer du code, telecharger un payload, persister ou contourner des controles sous l'apparence d'un outil d'administration legitime.
- attacks№ 616
Living off the Land
Style operatoire ou l'attaquant abuse d'outils et de scripts legitimes deja installes sur le systeme cible au lieu de deposer son propre malware.
- malware№ 417
Malware sans fichier
Logiciel malveillant qui s'exécute principalement en mémoire et exploite des outils système légitimes, en évitant les exécutables traditionnels sur disque.
- defense-ops№ 298
Évasion défensive
Tactique MITRE ATT&CK (TA0005) couvrant les techniques utilisées pour échapper à la détection, neutraliser les outils de sécurité et masquer l'activité de l'attaquant.
- defense-ops№ 682
Mimikatz
Outil open source de post-exploitation Windows qui extrait mots de passe en clair, hash, tickets Kerberos et autres identifiants depuis la memoire et LSASS.
- defense-ops№ 371
EDR (Endpoint Detection and Response)
Technologie de sécurité d'endpoint qui enregistre en continu l'activité des processus, fichiers, registre et réseau pour détecter, analyser et répondre aux menaces sur les machines.