Bypass de AMSI
O que é Bypass de AMSI?
Bypass de AMSITecnicas que desativam, fazem patch ou contornam o Antimalware Scan Interface do Windows para que scripts e payloads em memoria nao sejam analisados pelos antivirus.
O Antimalware Scan Interface (AMSI) permite que PowerShell, JavaScript, VBScript, .NET e macros do Office submetam buffers ao antivirus registado para inspecao antes da execucao. Os bypasses de AMSI neutralizam este controlo, por exemplo aplicando patch ao amsi.dll!AmsiScanBuffer em memoria para devolver sempre limpo, fazendo hook a funcoes do CLR, alterando o campo amsiInitFailed em PowerShell AmsiUtils, ofuscando e dividindo strings, ou forcando PowerShell v2. O objetivo e executar scripts maliciosos (Mimikatz, Invoke-Mimikatz, beacons Cobalt Strike) dentro de um processo de confianca sem alertar o Defender ou outros motores. O MITRE ATT&CK liga isto a T1562.001 (Impair Defenses). As defesas incluem providers AMSI ligados ao EDR, regras ASR, Constrained Language Mode, AppLocker e detecao de patches de memoria nao assinados.
● Exemplos
- 01
Aplicar patch aos primeiros bytes de AmsiScanBuffer em memoria para devolver sempre AMSI_RESULT_CLEAN.
- 02
[Ref].Assembly.GetType('System.Management.Automation.AmsiUtils').GetField('amsiInitFailed','NonPublic,Static').SetValue($null,$true).
● Perguntas frequentes
O que é Bypass de AMSI?
Tecnicas que desativam, fazem patch ou contornam o Antimalware Scan Interface do Windows para que scripts e payloads em memoria nao sejam analisados pelos antivirus. Pertence à categoria Ataques e ameaças da cibersegurança.
O que significa Bypass de AMSI?
Tecnicas que desativam, fazem patch ou contornam o Antimalware Scan Interface do Windows para que scripts e payloads em memoria nao sejam analisados pelos antivirus.
Como funciona Bypass de AMSI?
O Antimalware Scan Interface (AMSI) permite que PowerShell, JavaScript, VBScript, .NET e macros do Office submetam buffers ao antivirus registado para inspecao antes da execucao. Os bypasses de AMSI neutralizam este controlo, por exemplo aplicando patch ao amsi.dll!AmsiScanBuffer em memoria para devolver sempre limpo, fazendo hook a funcoes do CLR, alterando o campo amsiInitFailed em PowerShell AmsiUtils, ofuscando e dividindo strings, ou forcando PowerShell v2. O objetivo e executar scripts maliciosos (Mimikatz, Invoke-Mimikatz, beacons Cobalt Strike) dentro de um processo de confianca sem alertar o Defender ou outros motores. O MITRE ATT&CK liga isto a T1562.001 (Impair Defenses). As defesas incluem providers AMSI ligados ao EDR, regras ASR, Constrained Language Mode, AppLocker e detecao de patches de memoria nao assinados.
Como se defender contra Bypass de AMSI?
As defesas contra Bypass de AMSI costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Bypass de AMSI?
Nomes alternativos comuns: Evasao AMSI.
● Termos relacionados
- attacks№ 632
LOLBin / LOLBAS
Binario ou script nativo e assinado (LOLBin/LOLBAS) que os atacantes abusam para executar codigo, descarregar payloads, persistir ou contornar controlos, parecendo uma ferramenta legitima.
- attacks№ 616
Living off the Land
Estilo de ataque em que o adversario abusa de ferramentas e scripts legitimos ja instalados no sistema vitima em vez de implantar malware proprio.
- malware№ 417
Malware sem ficheiro
Malware que corre essencialmente em memória e tira partido de ferramentas legítimas do sistema, evitando executáveis tradicionais em disco.
- defense-ops№ 298
Evasão de Defesas
Tática MITRE ATT&CK (TA0005) que reúne técnicas usadas para evitar deteção, desativar ferramentas de segurança e ocultar a atividade do atacante no sistema alvo.
- defense-ops№ 682
Mimikatz
Ferramenta open source de pos-exploracao para Windows que extrai senhas em texto claro, hashes, tickets Kerberos e outras credenciais da memoria e do LSASS.
- defense-ops№ 371
EDR (Endpoint Detection and Response)
Tecnologia de segurança de endpoint que regista continuamente atividade de processos, ficheiros, registo e rede para detetar, investigar e responder a ameaças nos hosts.