Hvad er Antimalware Scan Interface (AMSI) i Windows 10?

I dagens Spørg Admin, Jeg forklarer, hvordan et nyt sæt API'er i Windows 10 og Windows Server 2016 kan bruges til at blokere skadelig aktivitet.

Det er længe blevet anerkendt, at signaturbaseret antivirusbeskyttelse alene ikke kan beskytte apparater tilstrækkeligt på grund af det store antal virus i naturen og den hastighed, hvormed de muterer. Et af problemerne med at scanne filer på disken og sammenligne dem med en kendt database med trusler er, at hackere bruger forskellige teknikker til at forvirre den egentlige kode, der vil køre i hukommelsen. Lad os gennem nogle enkle eksempler på, hvordan hackere kan undgå detektion.

Antimalware Scan Interface API'er i Windows 10 (Billedkredit: Microsoft)

Antimalware Scan Interface API'er i Windows 10 (Billedkredit: Microsoft)

Ved hjælp af dynamiske sprog, såsom VBScript og Ruby, udføres meget af arbejdet på kørselstidspunktet i stedet for på samlingsstadiet. Objekter kan oprettes ved at tilføje metoder og egenskaber, når koden køres; vi behøver ikke at definere objekter på forhånd. Anvendelse af denne viden, kode kan skrives til at dække op, hvad der vil udføres på runtime, hvilket hjælper med at undgå detektion.

Skriptmotorer og skaller, som VBScript og PowerShell, er et ideelt mål, fordi de er indbygget i operativsystemet og bruges af systemadministratorer, som hackere ofte målretter på grund af deres sandsynligvis overprivilegerede adgang til systemer.

Undgå detektion

I stedet for blot at bruge Skriv-vært 'Du er blevet hacket' for at sende en besked til konsollen, kan vi bruge strengforbindelsen til at ændre scriptet for at undgå detektion, men hent den samme output på konsollen:

Funktion Hack-Me {Invoke-Expression (“Skriv-vært” Du har ”+“ blevet hacket ”)} Hack-Me

Når AV-signaturerne er blevet opdateret for at detektere den ovenfor anvendte teknik, kræves der noget mere sofistikeret, såsom Base64-kodning eller algoritmisk obfuscation. Følgende script koder for Skriv-vært 'Du er blevet hacket' til Base64, og gemmer resultaterne i en variabel ($ EncodedText):

$ Text = "Skriv-vært 'Du har" + "blevet hacket" "$ Bytes = [System.Text.Encoding] :: Unicode.GetBytes ($ Text) $ EncodedText = [Convert] :: ToBase64String ($ Bytes)

Vi kan så bruge den kodede tekst til at forvirre vores hensigter i et stykke ondsindet kode:

Funktion Hack-Me {$ code = 'VwByAGkAdABlAC0ASABvAHMAdAAgABggWQBvAHUAIABoAGEAdgBlACAAYgBlAGUAbgAgAGgAYQBjAGsAZQBkABkg' $ newcode = [System.Text.Encoding] SystemContr.

Som du kan se, er dette et spil med kat og mus, og mens jeg har vist ovenstående, er enkle eksempler på hvordan hackere bruger forvirring, det giver dig en ide om deres metoder til at undgå detektion.

Antivirus-løsninger bruger emulatorer til at udføre kode i et sandbox-miljø for at forsøge at registrere enhver mistænkelig adfærd ved hjælp af heuristisk analyse. Men som andre forsvar har hackere masser af tricks op i ærmerne for at undgå detektion, herunder 'prodding' (dvs. kontrollere om koden kører i et rigtigt eller emuleret miljø) eller tilføj langvarige forsinkelser til at kode, hvilket tvinger emulatoren til at tiden er gået. Og mens emulatorer er en del af de fleste antivirusløsninger, er de også ressourceintensive og ikke vanskelige at omgå.

Antimalware Scan Interface

Uanset hvilken metode en hacker bruger til at forvirre deres varer, skal scriptmotoren endelig leveres med almindelig kode, og på dette tidspunkt kan Microsofts API'er til Antimalware Scan Interface bruges til at scanne koden i hukommelsen. AMSI kan også scanne filer, strømme og levere indholdskilden URL / IP reputation checks. Enhver applikation kan gøre brug af API'erne, uanset om det er en antivirus-løsning eller et messaging-app, for at få et bedre indblik i koden i hukommelsen, og muligheden for at stoppe den fra at køre, før det gør skade. Windows Defender bruger allerede AMSI til at give bedre beskyttelse.

Som ethvert andet forsvar er AMSI ikke et universalmiddel, og måder at omgå blev fundet hos Black Hat 2016. Det skal ses, om Microsoft har været i stand til at tilslutte hullerne fra forskere, men ikke desto mindre er forsvaret i dybden altid den bedste strategi. For eksempel er fjernelse af administrative rettigheder fra brugere, implementering af applikationskontrol og antivirusbeskyttelse alle væsentlige komponenter i enhver forsvarsdypeplan.

Stillingen Hvad er Antimalware Scan Interface (AMSI) i Windows 10? dukkede først på Petri.

Giv en kommentar

Dette websted bruger Akismet til at reducere spam. Lær, hvordan dine kommentardata behandles.