Обход AMSI
Что такое Обход AMSI?
Обход AMSIТехники, отключающие, патчащие или обходящие Windows Antimalware Scan Interface, чтобы скрипты и in-memory полезные нагрузки не попадали под проверку антивирусов.
Antimalware Scan Interface (AMSI) позволяет PowerShell, JavaScript, VBScript, .NET и макросам Office передавать буферы зарегистрированному антивирусу до их выполнения. Обходы AMSI нейтрализуют эту защиту: патч в памяти amsi.dll!AmsiScanBuffer так, чтобы всегда возвращался clean, перехват функций CLR, изменение поля amsiInitFailed у AmsiUtils PowerShell, разбиение и обфускация строк или принудительный откат к PowerShell v2. Цель — выполнить вредоносные скрипты (Mimikatz, Invoke-Mimikatz, биконы Cobalt Strike) внутри доверенного процесса без срабатывания Defender или других движков. MITRE ATT&CK сопоставляет это с T1562.001 (Impair Defenses). Защита: AMSI-провайдеры, привязанные к EDR, правила ASR, PowerShell Constrained Language Mode, AppLocker и обнаружение неподписанных патчей в памяти.
● Примеры
- 01
Патч первых байтов AmsiScanBuffer в памяти процесса так, чтобы он всегда возвращал AMSI_RESULT_CLEAN.
- 02
[Ref].Assembly.GetType('System.Management.Automation.AmsiUtils').GetField('amsiInitFailed','NonPublic,Static').SetValue($null,$true).
● Частые вопросы
Что такое Обход AMSI?
Техники, отключающие, патчащие или обходящие Windows Antimalware Scan Interface, чтобы скрипты и in-memory полезные нагрузки не попадали под проверку антивирусов. Относится к категории Атаки и угрозы в кибербезопасности.
Что означает Обход AMSI?
Техники, отключающие, патчащие или обходящие Windows Antimalware Scan Interface, чтобы скрипты и in-memory полезные нагрузки не попадали под проверку антивирусов.
Как работает Обход AMSI?
Antimalware Scan Interface (AMSI) позволяет PowerShell, JavaScript, VBScript, .NET и макросам Office передавать буферы зарегистрированному антивирусу до их выполнения. Обходы AMSI нейтрализуют эту защиту: патч в памяти amsi.dll!AmsiScanBuffer так, чтобы всегда возвращался clean, перехват функций CLR, изменение поля amsiInitFailed у AmsiUtils PowerShell, разбиение и обфускация строк или принудительный откат к PowerShell v2. Цель — выполнить вредоносные скрипты (Mimikatz, Invoke-Mimikatz, биконы Cobalt Strike) внутри доверенного процесса без срабатывания Defender или других движков. MITRE ATT&CK сопоставляет это с T1562.001 (Impair Defenses). Защита: AMSI-провайдеры, привязанные к EDR, правила ASR, PowerShell Constrained Language Mode, AppLocker и обнаружение неподписанных патчей в памяти.
Как защититься от Обход AMSI?
Защита от Обход AMSI обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Обход AMSI?
Распространённые альтернативные названия: AMSI evasion.
● Связанные термины
- attacks№ 632
LOLBin / LOLBAS
Подписанный системный бинарь или скрипт (LOLBin/LOLBAS), который атакующие используют для исполнения, загрузки, закрепления или обхода защит, выглядя при этом как штатный администраторский инструмент.
- attacks№ 616
Living off the Land
Стиль атаки, при котором противник вместо собственного вредоносного ПО злоупотребляет легитимными встроенными инструментами и скриптами на скомпрометированной системе.
- malware№ 417
Бесфайловое вредоносное ПО
Малварь, выполняющаяся преимущественно в памяти и использующая доверенные системные инструменты, без размещения традиционных исполняемых файлов на диске.
- defense-ops№ 298
Обход защит (Defense Evasion)
Тактика MITRE ATT&CK (TA0005), охватывающая техники, которыми атакующий уклоняется от обнаружения, отключает средства защиты и скрывает свою активность.
- defense-ops№ 682
Mimikatz
Открытый инструмент пост-эксплуатации Windows, извлекающий пароли в открытом виде, хеши, тикеты Kerberos и другие учётные данные из памяти и LSASS.
- defense-ops№ 371
EDR (обнаружение и реагирование на конечных точках)
Технология защиты конечных точек, которая непрерывно фиксирует активность процессов, файлов, реестра и сети, чтобы обнаруживать, расследовать и устранять угрозы на хостах.