Sdílet prostřednictvím

Integrace antimalwarového rozhraní AMSI (AMSI) s Microsoft Defender Antivirovou ochranou

  • Článek

Platí pro:

  • Microsoft Defender XDR
  • Antivirová ochrana v Microsoft Defenderu
  • Microsoft Defender for Endpoint P1 & P2
  • Microsoft Defender pro firmy
  • Microsoft Defender pro jednotlivce

Platformy:

  • Windows 10 a novější
  • Windows Server 2016 a novější

Microsoft Defender for Endpoint využívá antimalwarové rozhraní AMSI (Scan Interface) k vylepšení ochrany proti malwaru bez souborů, útokům založeným na dynamických skriptech a dalším netradičním kybernetickým hrozbám. Tento článek popisuje výhody integrace AMSI, typy skriptovacích jazyků, které podporuje, a postup povolení AMSI pro lepší zabezpečení.

Co je malware bez souborů?

Malware bez souborů hraje klíčovou roli v moderních kybernetických útokech a používá kradmé techniky, aby se zabránilo detekci. Několik hlavních ransomwaru používalo metody bez souborů jako součást svých kill chainů.

Malware bez souborů používá existující nástroje, které už na napadeném zařízení existují, například PowerShell.exe nebo wmic.exe. Malware může infiltrovat proces, spustit kód v jeho paměťovém prostoru a vyvolat tyto integrované nástroje. Útočníci výrazně snižují svou stopu a vyhýbají se tradičním mechanismům detekce.

Vzhledem k tomu, že paměť je nestálou a malware bez souborů neumisťuje soubory na disk, může být vytvoření trvalosti používáním malwaru bez souborů složité. Jedním z příkladů, jak malware bez souborů dosáhl trvalosti, bylo vytvoření klíče spuštění registru, který spustí rutinu PowerShellu typu "one-liner". Tento příkaz spustil obfuskovaný skript PowerShellu, který byl uložený v objektu blob registru. Obfuskovaný skript PowerShellu obsahoval reflexní zavaděč přenosného spustitelného souboru (PE), který z registru načetl pe kódovaný jako Base64. Skript uložený v registru zajistil, že malware přetrvává.

Útočníci používají několik technik bez souborů, které můžou znemožnit malwarové implantáty a vyhnout se mu. Mezi tyto techniky patří:

  • Reflexní injektáž knihovny DLL: Reflexní injektáž knihovny DLL zahrnuje ruční načítání škodlivých knihoven DLL do paměti procesu, aniž by bylo nutné, aby byly uvedené knihovny DLL na disku. Škodlivá knihovna DLL může být hostována na vzdáleném počítači řízeném útočníkem a doručena prostřednictvím fázovaného síťového kanálu (například protokolu TLS (Transport Layer Security) nebo vložena v obfuskované podobě uvnitř vektorů infekce, jako jsou makra a skripty. Výsledkem této konfigurace je obcházení mechanismu operačního systému, který monitoruje a sleduje načítání spustitelných modulů. Příkladem malwaru, který používá injektáž reflexní knihovny DLL, je HackTool:Win32/Mikatz!dha.

  • Zneužití paměti: Nežádoucí osoba využívá zneužití paměti bez souborů ke vzdálenému spuštění libovolného kódu na počítačích obětí. Například hrozba UIWIX používá exploit EternalBlue, který používali Petya i WannaCry k instalaci zadních vrátek DoublePulsar a žije zcela v paměti jádra (SMB Dispatch Table). Na rozdíl od Petyy a Wannacry uiWIX neodhazuje žádné soubory na disk.

  • Techniky založené na skriptech: Skriptovací jazyky poskytují výkonné prostředky pro doručování datových částí spustitelných souborů pouze v paměti. Soubory skriptů můžou vkládat kódované kódy prostředí nebo binární soubory, které můžou za běhu dešifrovat a spouštět je prostřednictvím objektů .NET nebo přímo s rozhraními API, aniž by se musely zapisovat na disk. Samotné skripty můžou být skryté v registru, číst ze síťových streamů nebo spustit ručně v příkazovém řádku útočníkem, aniž by se vůbec dotýkal disku.

    Poznámka

    Nezakazujte PowerShell jako prostředek k blokování malwaru bez souborů. PowerShell je výkonný a zabezpečený nástroj pro správu a je důležitý pro mnoho systémových a IT funkcí. Útočníci používají škodlivé skripty PowerShellu jako techniku následného zneužití, která se může provést pouze v poté, co už došlo k počátečnímu ohrožení zabezpečení. Jeho zneužití je příznakem útoku, který začíná jinými škodlivými akcemi, jako je zneužití softwaru, sociální inženýrství nebo krádež přihlašovacích údajů. Klíčem je zabránit útočníkovi dostat se do situace, kdy může zneužít PowerShell.

    Tip

    Snížení počtu nepodepsaných skriptů PowerShellu ve vašem prostředí pomáhá zvýšit stav zabezpečení. Tady jsou pokyny, jak můžete přidat podepisování do skriptů PowerShellu používaných ve vašem prostředí Hey, Scripting Guy! Jak můžu podepisovat Windows PowerShell skripty pomocí podnikové infrastruktury veřejných klíčů windows? (Část 2 ze 2) | Blog o skriptování

  • Trvalost rozhraní WMI: Někteří útočníci používají úložiště WMI (Windows Management Instrumentation) k ukládání škodlivých skriptů, které se pak pravidelně volají pomocí vazeb rozhraní WMI. Microsoft Defender Antivirus blokuje většinu malwaru pomocí obecných, heuristických detekcí a detekcí na základě chování a také místních a cloudových modelů strojového učení. Microsoft Defender Antivirus chrání před malwarem bez souborů prostřednictvím těchto funkcí:

    • Detekce technik založených na skriptech pomocí AMSI, která poskytuje možnost kontrolovat PowerShell a další typy skriptů, a to i s několika vrstvami obfuskace
    • Zjišťování a náprava technik trvalosti rozhraní WMI kontrolou úložiště WMI, a to jak pravidelně, tak při každém pozorování neobvyklého chování
    • Detekce reflexní injektáže knihovny DLL prostřednictvím technik rozšířené kontroly paměti a monitorování chování

Proč AMSI?

AMSI poskytuje hlubší úroveň kontroly škodlivého softwaru, který používá techniky obfuskace a úniku na integrovaných skriptovacích hostitelích Windows. Díky integraci AMSI nabízí Microsoft Defender for Endpoint další vrstvy ochrany před pokročilými hrozbami.

Podporované skriptovací jazyky

  • PowerShell
  • Jscript
  • VBScript
  • Windows Script Host (wscript.exe a cscript.exe)
  • .NET Framework 4.8 nebo novější (kontrola všech sestavení)
  • WMI (Windows Management Instrumentation)

Pokud používáte Microsoft 365 Apps, AMSI podporuje také JavaScript, VBA a XLM.

AMSI v současné době nepodporuje Python ani Perl.

Povolení AMSI

Pokud chcete povolit AMSI, musíte povolit kontrolu skriptů. Viz Konfigurace možností kontroly pro Microsoft Defender Antivirovou ochranu.

Podívejte se také na článek Zásady defenderu – CSP – Správa klientů Windows.

Prostředky AMSI

Rozhraní API AMSI (Antimalwarové rozhraní AMSI) jsou k dispozici pro vývojáře a dodavatele antivirových programů k implementaci.

Integraci AMSI využívají i jiné produkty Microsoftu, jako je Exchange a SharePoint .

Další prostředky pro ochranu před útoky bez souborů

  • Řízení aplikací v programu Windows Defender a AppLocker. Vynucuje zásady integrity silného kódu a umožňuje spouštění pouze důvěryhodných aplikací. V kontextu malwaru bez souborů uzamkne WDAC PowerShell do režimu omezeného jazyka, který omezuje rozšířené jazykové funkce, které můžou vést k neověřitelnému spuštění kódu, jako je přímé skriptování .NET, vyvolání rozhraní API Win32 prostřednictvím rutiny Add-Type a interakce s objekty COM. Tím se v podstatě zmírní reflektované útoky prostřednictvím injektáže knihovny DLL založené na PowerShellu.

  • Zmenšení prostoru útoku pomáhá správcům chránit před běžnými vektory útoku.

  • Povolte ochranu integrity kódu na základě virtualizace. Omezuje zneužití paměti jádra prostřednictvím integrity kódu hypervisoru (HVCI), což ztěžuje vkládání škodlivého kódu pomocí chyb zabezpečení softwaru v režimu jádra.