Bagaimana Pelaku Ancaman Mencoba dan Melewati Antarmuka Pemindaian Antimalware Microsoft (AMSI)?

  • Whatsapp
Bagaimana Pelaku Ancaman Mencoba dan Melewati Antarmuka Pemindaian Antimalware Microsoft (AMSI)?

 

Dengan Windows 10 dan platform Windows Server baru-baru ini semakin penting, tujuan pengembang malware dan penjahat dunia maya lainnya secara progresif ditargetkan untuk mencegah deteksi, dengan menghapus polisi lalu lintas anti-malware dari platform ini: Antarmuka Pemindaian Antimalware Microsoft.
AMSI, diluncurkan pada tahun 2015, menawarkan perangkat lunak untuk berkomunikasi dengan perangkat keamanan untuk pemindaian file, pemindaian memori, atau streaming dengan cara pemasok-agnostik untuk muatan berbahaya. AMSI memungkinkan permeabilitas perangkat lunak anti-malware pada komponen dan aplikasi Microsoft, termasuk mesin/host skrip PowerShell Windows (wscript.exe dan cscript.exe), makro dokumen Office, .NET Framework yang ada (versi 4.8), dan Instrumentasi Manajemen Windows (WMI) — sering digunakan oleh musuh dalam strategi “living off the land” (LOL).
AMSI baru-baru ini telah ditingkatkan untuk mengintegrasikan pemindaian makro Excel 4.0 (XLM) dalam integrasi Office 365 dalam upaya untuk mengatasi lonjakan makro berbahaya dalam vektor infeksi.
Pakar Sophos menyelidiki metode yang digunakan untuk menghindari atau menonaktifkan AMSI dan menyatakan pada hari Rabu bahwa aktor ancaman akan mencoba segalanya mulai dari strategi hidup di lapangan hingga mengajukan serangan gratis.
Dalam tweet 2016 oleh pakar keamanan Matt Graeber, kemungkinan pengelakan tombol AMSI ditekankan, Sophos mengatakan bahwa satu baris kode telah menukar fitur PowerShell untuk integrasi AMSI dan mungkin secara teoritis menghentikan proses berbasis PowerShell dari meminta pemindaian.
Sebagian besar operasi pasca-eksploitasi, terutama pergerakan lateral, tampaknya terkonsentrasi pada deteksi yang dilakukan antara tahun 2020 dan 2021.
Bypass yang sama diidentifikasi kembali ke kejadian tertentu, terkait dengan serangan menggunakan Proxy Logon yang terhubung ke server jauh untuk menangkap pengunduh malware berdasarkan PowerShell.
Penggunaan Sabuk Pengaman, mekanisme keamanan yang agresif, adalah pendekatan lain yang digunakan untuk mengatasi AMSI. Untuk membangun proses delegasi menggunakan refleksi untuk mengakses antarmuka .NET untuk AmsiUtils, skrip PowerShell digunakan.
Sophos mencatat, bagaimanapun, bahwa lebih dari 98% upaya pengelakan AMSI dilakukan hanya dengan memanipulasi perpustakaan AMSI. Berbagai varian malware hadir yang akan mencoba menemukan Memori AmsiScanBuffer yang dimuat sebelumnya dan kemudian menulis ulang instruksi untuk memastikan bahwa permintaan pemindaian gagal.
Elemen memori yang menyimpan kode untuk mengembalikan hasil pemindaian buffer dapat dimodifikasi oleh versi lain, yang menyebabkan kegagalan.
Taktik tambahan termasuk Cobalt Strike – Pendekatan tambalan memori ini dilengkapi dengan skrip jarak jauh yang dipanggil PowerShell di pra-patch PowerShell di keluarga Agen Tesla Trojan, antara lain. Salah satu caranya adalah dengan membuat DLL untuk memuat versi AMSI palsu dari PowerShell. Juga, DLL telah menjadi metode lama dan sekarang tidak mungkin untuk memuat mesin yang tidak disetujui, atau dalam banyak kasus mesin virtual, karena keamanan Microsoft (VM) yang lebih baik.
“Mengingat betapa lazimnya taktik tersebut, terutama dalam intrusi operator ransomware, AMSI dapat memainkan peran yang sangat penting dalam menjaga sistem Windows 10 dan Windows Server agar tidak disusupi,” kata Sophos. “Tapi AMSI bukanlah obat mujarab. Dan sementara Microsoft Windows Defender memberikan beberapa perlindungan terhadap bypass AMSI, penyerang terus mencari cara untuk mengaburkan dan menyembunyikan konten berbahaya dari deteksi tanda tangan anti-malware.”

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *