Jaa

haittaohjelmien torjuntaliittymän (AMSI) integrointi Microsoft Defender virustentorjuntaan

  • Artikkeli

Koskee seuraavia:

  • Microsoft Defender XDR
  • Microsoft Defenderin virustentorjunta
  • Microsoft Defender for Endpoint P1 & P2
  • Microsoft Defender for Business
  • Microsoft Defender yksityishenkilöille

Ympäristöt:

  • Windows 10 ja uudemmat
  • Windows Server 2016 ja uudemmat

Microsoft Defender for Endpoint käyttää amsi-haittaohjelmien torjuntaliittymää parantaakseen suojausta tiedostottomia haittaohjelmia, dynaamisia komentosarjapohjaisia hyökkäyksiä ja muita epätavanomaisia kyberuhkia vastaan. Tässä artikkelissa kuvataan AMSI-integroinnin hyötyjä, sen tukemien komentosarjakielten tyyppejä ja sitä, miten AMSI voidaan ottaa käyttöön suojauksen parantamiseksi.

Mikä on tiedostoton haittaohjelma?

Tiedostottomalla haittaohjelmalla on tärkeä rooli nykyaikaisissa kyberhyökkäyksissä, joissa käytetään salakavalia tekniikoita tunnistamisen välttämiseksi. Useat suuret kiristyshaittaohjelmaepidemiat käyttivät tiedostottomia menetelmiä osana tappoketjujaan.

Tiedostoton haittaohjelma käyttää olemassa olevia työkaluja, jotka ovat jo vaarantuneessa laitteessa, kuten PowerShell.exe tai wmic.exe. Haittaohjelma voi soluttautua prosessiin, suorittaa koodia sen muistitilassa ja käynnistää nämä sisäiset työkalut. Hyökkääjät pienentävät merkittävästi jalanjälkeään ja välttelevät perinteisiä tunnistusmekanismeja.

Koska muisti on epävakaata ja tiedostoton haittaohjelma ei aseta tiedostoja levylle, pysyvyyden määrittäminen tiedostottoman haittaohjelman avulla voi olla hankalaa. Yksi esimerkki siitä, miten tiedostoton haittaohjelma saavutti pysyvyyden, oli luoda rekisterin suoritusavain, joka käynnistää "yksirivisen" PowerShellin cmdlet-komennon. Tämä komento käynnisti vanhentuneen PowerShell-komentosarjan, joka tallennettiin rekisterin BLOB-tietokantaan. Vanhentunut PowerShell-komentosarja sisälsi heijastavan kannettavan suoritettavan tiedoston (PE), joka latasi Rekisteristä Base64-koodatun PE:n. Rekisteriin tallennettu komentosarja varmisti, että haittaohjelma säilyi.

Hyökkääjät käyttävät useita tiedostottomia tekniikoita, jotka voivat tehdä haittaohjelmaimplanteista salamyhkäisia ja vältteleviä. Näitä tekniikoita ovat esimerkiksi seuraavat:

  • Heijastava DLL-lisäys: Heijastava DLL-lisäys liittyy haitallisten DLL-kirjastojen manuaaliseen lataamiseen prosessimuistiin ilman, että mainittuja DLL-tiedostoja tarvitsee olla levyllä. Haitallista DLL-tiedostoa voidaan isännöidä hyökkääjän hallitsemassa etäkoneessa ja toimittaa vaiheittaisen verkkokanavan kautta (esimerkiksi TLS (Transport Layer Security) -protokollan kautta tai upottaa sekavaan muotoon tartuntavektoreiden sisällä, kuten makrot ja komentosarjat. Tämä määritys johtaa käyttöjärjestelmämekanismin kiertämiseen, joka valvoo ja seuraa suoritettavan moduulin lataamista. Esimerkki haittaohjelmasta, joka käyttää heijastavaa DLL-lisäystä, on HackTool:Win32/Mikatz!dha.

  • Muistin hyödyntäminen: Vastustajat käyttävät tiedostotonta muistia hyödyntääkseen mielivaltaista koodia etäyhteyden kautta uhrikoneissa. Esimerkiksi UIWIX-uhka käyttää EternalBlue-hyödynnystä, jota sekä Petya että WannaCry käyttivät DoublePulsar-takaoven asentamiseen ja joka elää kokonaan ytimen muistissa (SMB Dispatch Table). Toisin kuin Petya ja Wannacry, UIWIX ei pudota tiedostoja levylle.

  • Komentosarjapohjaiset tekniikat: Komentosarjakielet tarjoavat tehokkaat keinot vain muistissa suoritettavien suoritettavien tietojen toimittamiseen. Komentosarjatiedostot voivat upottaa koodattuja shell-koodeja tai binaaritiedostoja, joiden salauksen voi purkaa suorituksen aikana ja suorittaa .NET-objektien kautta tai suoraan ohjelmointirajapinnoilla ilman, että ne on kirjoitettava levylle. Itse komentosarjat voidaan piilottaa rekisteriin, lukea verkkovirroista tai suorittaa manuaalisesti komentorivillä hyökkääjän koskematta levyyn.

    Huomautus

    Älä poista PowerShelliä käytöstä keinona estää tiedostottomia haittaohjelmia. PowerShell on tehokas ja turvallinen hallintatyökalu, ja se on tärkeä monille järjestelmä- ja IT-funktioille. Hyökkääjät käyttävät haitallisia PowerShell-komentosarjoja hyväksikäytön jälkeisenä tekniikkana, joka voidaan tehdä vasta, kun ensimmäinen kompromissi on jo tapahtunut. Sen väärinkäyttö on oire hyökkäyksestä, joka alkaa muilla haitallisilla toimilla, kuten ohjelmistojen hyväksikäytöllä, sosiaalisella suunnittelulla tai tunnistetietovarkaudella. Avain on estää hyökkääjää joutumasta paikkaan, jossa hän voi käyttää PowerShelliä väärin.

    Vihje

    Allekirjoittamattomien Powershell-komentosarjojen määrän vähentäminen ympäristössäsi auttaa lisäämään suojausasentojasi. Tässä on ohjeita siitä, miten voit lisätä allekirjoituksen ympäristössäsi käytettyihin Powershell-komentosareihin Hei, Komentosarjatyyppi! Miten voin kirjata Windows PowerShell komentosarjoja Enterprise Windows PKI:llä? (Osa 2/2) | Komentosarjablogi

  • WMI:n pysyvyys: Jotkin hyökkääjät käyttävät WMI (Windows Management Instrumentation) -säilöä haitallisten komentosarjojen tallentamiseen, joita käynnistetään säännöllisesti WMI-sidontojen avulla. Microsoft Defender virustentorjunta estää useimmat haittaohjelmat yleisten, heurististen ja käyttäytymispohjaisten tunnistusten sekä paikallisten ja pilvipohjaisten koneoppimismallien avulla. Microsoft Defender virustentorjunta suojaa tiedostottomilta haittaohjelmilta näiltä ominaisuuksilla:

    • Komentosarjapohjaisten tekniikoiden tunnistaminen AMSI:n avulla, mikä mahdollistaa PowerShellin ja muiden komentosarjatyyppien tarkastamisen jopa useiden obfuscation-tasojen kanssa
    • WMI-pysyvyystekniikoiden tunnistaminen ja korjaaminen skannaamalla WMI-säilöä sekä säännöllisesti että aina, kun havaitaan poikkeavaa käyttäytymistä
    • Heijastavan DLL-ruiskeen tunnistaminen parannetuilla muistin tarkistustekniikoilla ja käyttäytymisseurannassa

Miksi AMSI?

AMSI tarjoaa syvällisemmän tarkastustason haittaohjelmille, jotka käyttävät hämäys- ja veronkiertotekniikoita Windowsin sisäisissä komentosarjaisännissä. Integroimalla AMSI:n Microsoft Defender for Endpoint tarjoaa lisäsuojakerroksia kehittyneitä uhkia vastaan.

Tuetut komentosarjakielet

  • PowerShell
  • Jscript
  • VBScript
  • Windows Script Host (wscript.exe ja cscript.exe)
  • .NET Framework 4.8 tai uudempi (kaikkien kokoonpanojen skannaus)
  • Windows Management Instrumentation (WMI)

Jos käytät Microsoft 365 -sovellukset, AMSI tukee myös JavaScriptia, VBA:ta ja XLM:ää.

AMSI ei tällä hetkellä tue Pythonia tai Perliä.

AMSI:n ottaminen käyttöön

Jos haluat ottaa AMSI:n käyttöön, sinun on otettava komentosarjojen tarkistus käyttöön. Katso Microsoft Defender virustentorjunnan tarkistusasetusten määrittäminen.

Katso myös Defender Policy CSP – Windows Client Management.

AMSI-resurssit

Haittaohjelmien torjuntakäyttöliittymän (AMSI) ohjelmointirajapinnat ovat kehittäjien ja virustentorjuntaohjelmien käytettävissä.

Myös muissa Microsoftin tuotteissa, kuten Exchangessa ja SharePointissa , käytetään AMSI-integrointia.

Lisää resursseja, jotka suojaavat tiedostottomilta hyökkäyksiltä

  • Windows Defenderin sovellusohjausobjekti ja AppLocker. Ottaa käyttöön vahvat koodin eheyskäytännöt ja sallii vain luotettavien sovellusten suorittamisen. Tiedostottoman haittaohjelman yhteydessä WDAC lukitsee PowerShellin rajoitettuun kielitilaan, mikä rajoittaa laajennettuja kieliominaisuuksia, jotka voivat johtaa koodien vahvistamattomaan suorittamiseen, kuten suora .NET-komentosarja, Win32-ohjelmointirajapintojen kutsuminen Add-Type cmdlet-komennon kautta ja vuorovaikutus COM-objektien kanssa. Tämä vähentää powershell-pohjaisia heijastavia DLL-lisäyshyökkäyksiä.

  • Hyökkäyspinnan pienentäminen auttaa järjestelmänvalvojia suojautumaan tavallisilta hyökkäysvektoreilta.

  • Ota käyttöön koodin eheyden virtualisointiin perustuva suojaus. Lieventää ydinmuistin hyödyntämistä Hypervisor Code Integrityn (HVCI) avulla, mikä vaikeuttaa haittakoodin injektointia ydintilan ohjelmistohaavoittuvuuksien avulla.