AMSI-integration (Antimalware Scan Interface) med Microsoft Defender Antivirus
Gælder for:
- Microsoft Defender XDR
- Microsoft Defender Antivirus
- Microsoft Defender for Endpoint P1 & P2
- Microsoft Defender for Business
- Microsoft Defender til enkeltpersoner
Platforme:
- Windows 10 og nyere
- Windows Server 2016 og nyere
Microsoft Defender for Endpoint bruger AMSI (Anti-Malware Scan Interface) til at forbedre beskyttelsen mod filløs malware, dynamiske scriptbaserede angreb og andre utraditionelle cybertrusler. I denne artikel beskrives fordelene ved AMSI-integration, de typer scriptsprog, den understøtter, og hvordan AMSI aktiveres for at opnå forbedret sikkerhed.
Hvad er filløs malware?
Filløs malware spiller en vigtig rolle i moderne cyberangreb ved hjælp af stealthy teknikker for at undgå registrering. Flere større ransomware udbrud brugte filløse metoder som en del af deres kill kæder.
Filløs malware bruger eksisterende værktøjer, der allerede findes på en kompromitteret enhed, f.eks. PowerShell.exe eller wmic.exe. Malware kan infiltrere en proces, udføre kode inden for hukommelsespladsen og aktivere disse indbyggede værktøjer. Personer med ondsindede hensigter reducerer deres fodaftryk betydeligt og undgår traditionelle opdagelsesmekanismer.
Da hukommelsen er flygtig, og filløs malware ikke placerer filer på disken, kan det være vanskeligt at etablere vedholdenhed ved hjælp af filløs malware. Et eksempel på, hvordan filløs malware opnåede vedholdenhed, var at oprette en registreringsdatabasenøgle, der starter en PowerShell-cmdlet med en "en-liner". Denne kommando startede et sløret PowerShell-script, der blev gemt i registreringsdatabasens BLOB. Det tilslørede PowerShell-script indeholdt en reflekterende pe-indlæsningsfunktion (Portable Executable), der indlæste en Base64-kodet PE fra registreringsdatabasen. Scriptet, der er gemt i registreringsdatabasen, sikrede, at malwaren var permanent.
Hackere bruger flere filløse teknikker, der kan gøre malwareimplantater stealthy og undvigende. Disse teknikker omfatter:
Refleks DLL-injektion: Refleksiv DLL-injektion omfatter manuel indlæsning af skadelige DLL'er i en proceshukommelse, uden at det er nødvendigt, at disse DLL'er er på disken. Den skadelige DLL-fil kan hostes på en fjernstyret maskine med ondsindede hensigter og leveres via en faseinddelt netværkskanal (f.eks. TLS-protokollen (Transport Layer Security) eller indlejres i sløret form i infektionsvektorer, f.eks. makroer og scripts. Denne konfiguration resulterer i omgåelse af os-mekanismen, der overvåger og holder styr på indlæsning af eksekverbare moduler. Et eksempel på malware, der bruger En reflekterende DLL-injektion, er
HackTool:Win32/Mikatz!dha
.Hukommelsesudnyttelse: Modstandere bruger hukommelsesudnyttelse uden fil til at køre vilkårlig kode eksternt på offercomputere. UIWIX-truslen bruger f.eks. EternalBlue-udnyttelsen, som blev brugt af både Petya og WannaCry, til at installere DoublePulsar-bagdøren og lever helt i kernens hukommelse (SMB Dispatch Table). I modsætning til Petya og Wannacry slipper UIWIX ikke nogen filer på disken.
Scriptbaserede teknikker: Scriptsprog er effektive midler til levering af eksekverbare nyttedata, der kun kan bruges til hukommelse. Scriptfiler kan integrere kodede shellkoder eller binære koder, som de kan dekryptere ad gangen på kørselstidspunktet og udføre via .NET-objekter eller direkte med API'er, uden at de skal skrives til disken. Selve scripts kan skjules i registreringsdatabasen, læses fra netværksstrømme eller køres manuelt på kommandolinjen af en hacker uden at røre ved disken.
Bemærk!
Deaktiver ikke PowerShell som et middel til at blokere filuafhængig malware. PowerShell er et effektivt og sikkert administrationsværktøj og er vigtigt for mange system- og it-funktioner. Hackere bruger ondsindede PowerShell-scripts som teknik efter udnyttelse, der kun kan udføres, når der allerede er opstået et indledende kompromis. Dens misbrug er et symptom på et angreb, der begynder med andre ondsindede handlinger som softwareudnyttelse, social engineering eller tyveri af legitimationsoplysninger. Nøglen er at forhindre en hacker i at komme i den position, hvor de kan misbruge PowerShell.
Tip
Reduktion af antallet af usignerede Powershell-scripts i dit miljø hjælper med at øge din sikkerhedsholdning. Her er en vejledning i, hvordan du kan føje signering til de Powershell-scripts, der bruges i dit miljø Hey, Scripting Guy! Hvordan kan jeg signere Windows PowerShell scripts med en Windows PKI til virksomheder? (2. del af 2) | Scriptingblog
WMI-fastholdelse: Nogle hackere bruger WMI-lageret (Windows Management Instrumentation) til at gemme skadelige scripts, der derefter aktiveres periodisk ved hjælp af WMI-bindinger. Microsoft Defender Antivirus blokerer for de fleste typer malware ved hjælp af generiske, heuristiske og adfærdsbaserede opdagelser samt lokale og cloudbaserede modeller til maskinel indlæring. Microsoft Defender Antivirus beskytter mod filuafhængig malware via disse funktioner:
- Registrering af scriptbaserede teknikker ved hjælp af AMSI, som gør det muligt at inspicere PowerShell og andre scripttyper, selv med flere forældede lag
- Registrering og afhjælpning af WMI-fastholdelsesteknikker ved at scanne WMI-lageret, både med jævne mellemrum og når der observeres uregelmæssigheder
- Registrering af reflekterende DLL-injektion via forbedrede teknikker til scanning af hukommelse og adfærdsovervågning
Hvorfor AMSI?
AMSI giver et dybere kontrolniveau for skadelig software, der anvender tilslørings- og omgåelsesteknikker på Windows' indbyggede scriptværter. Ved at integrere AMSI tilbyder Microsoft Defender for Endpoint ekstra beskyttelseslag mod avancerede trusler.
Understøttede scriptsprog
- PowerShell
- Jscript
- VBScript
- Windows Script Host (wscript.exe og cscript.exe)
- .NET Framework 4,8 eller nyere (scanning af alle assemblies)
- WMI (Windows Management Instrumentation)
Hvis du bruger Microsoft 365 Apps, understøtter AMSI også JavaScript, VBA og XLM.
AMSI understøtter i øjeblikket ikke Python eller Perl.
Aktivering af AMSI
Hvis du vil aktivere AMSI, skal du aktivere scriptscanning. Se Konfigurer scanningsindstillinger for Microsoft Defender Antivirus.
Se også Defender Policy CSP – Windows Client Management.
AMSI-ressourcer
AMSI-API'er (Anti-malware Scan Interface) er tilgængelige for udviklere og antivirusleverandører, der kan implementeres.
Andre Microsoft-produkter, f.eks . Exchange og SharePoint , bruger også AMSI-integration.
Flere ressourcer til beskyttelse mod filløse angreb
Windows Defender Application Control og AppLocker. Gennemtvinger stærke politikker for kodeintegritet og tillader kun kørsel af programmer, der er tillid til. I forbindelse med filløs malware låser WDAC PowerShell til begrænset sprogtilstand, hvilket begrænser de udvidede sprogfunktioner, der kan føre til ukendt kørsel af kode, f.eks. direkte .NET-scripting, aktivering af Win32-API'er via Add-Type-cmdlet'en og interaktion med COM-objekter. Dette afhjælper i bund og grund PowerShell-baserede refleksive DLL-injektionsangreb.
Reduktion af angrebsoverfladen hjælper administratorer med at beskytte mod almindelige angrebsvektorer.
Aktivér virtualiseringsbaseret beskyttelse af kodeintegritet. Afhjælper udnyttelse af kernehukommelse via Hypervisor Code Integrity (HVCI), hvilket gør det vanskeligt at indsætte skadelig kode ved hjælp af sikkerhedsrisici i kernetilstandssoftware.