Поделиться через

Интеграция интерфейса проверки защиты от вредоносных программ (AMSI) с антивирусной программой Microsoft Defender

  • Статья

Применимо к:

  • Microsoft Defender XDR
  • Антивирусная программа в Microsoft Defender
  • Microsoft Defender для конечной точки P1 & P2
  • Microsoft Defender для бизнеса
  • Microsoft Defender для физических лиц

Платформы:

  • Windows 10 и более новые версии
  • Windows Server 2016 и более новые

Microsoft Defender для конечной точки использует интерфейс проверки вредоносных программ (AMSI) для повышения защиты от вредоносных программ без файлов, динамических атак на основе скриптов и других нетрадиционных киберугроз. В этой статье описаны преимущества интеграции AMSI, поддерживаемые типы языков сценариев, а также способы включения AMSI для повышения безопасности.

Что такое бесфайловые вредоносные программы?

Бесфайловые вредоносные программы играют важную роль в современных кибератаках, используя скрытые методы, чтобы избежать обнаружения. Несколько крупных вспышек программ-шантажистов использовали бесфайловые методы в рамках своих цепочек уничтожения.

Вредоносные программы без файлов используют существующие средства, которые уже присутствуют на скомпрометированном устройстве, например PowerShell.exe или wmic.exe. Вредоносные программы могут проникать в процесс, выполняя код в памяти и вызывая эти встроенные средства. Злоумышленники значительно сокращают свой объем и уклоняются от традиционных механизмов обнаружения.

Так как память нестабильна, а вредоносные программы без файлов не размещают файлы на диске, установить сохраняемость с помощью вредоносных программ без файлов может оказаться сложной задачей. Одним из примеров того, как вредоносная программа без файлов добилась сохраняемости, — создать раздел запуска реестра, который запускает командлет PowerShell с одной строкой. Эта команда запустила скрытый скрипт PowerShell, хранящийся в большом двоичном объекте реестра. Запутанный скрипт PowerShell содержал отражающий переносимый загрузчик исполняемых файлов (PE), который загружал pe в кодировке Base64 из реестра. Скрипт, хранящийся в реестре, обеспечил сохранение вредоносных программ.

Злоумышленники используют несколько методов без файлов, которые могут сделать имплантаты вредоносных программ скрытыми и уклончивыми. Эти методы включают в себя:

  • Внедрение рефлексивной библиотеки DLL. Внедрение отражающих библиотек DLL включает ручную загрузку вредоносных библиотек DLL в память процесса без необходимости использования указанных библиотек DLL на диске. Вредоносная библиотека DLL может быть размещена на удаленном компьютере, управляемом злоумышленником, и доставлена через промежуточный сетевой канал (например, протокол TLS) или внедрена в скрытый вид внутри векторов инфекции, таких как макросы и скрипты. Такая конфигурация приводит к уклонению от механизма ОС, который отслеживает и отслеживает загрузку исполняемых модулей. Примером вредоносных программ, использующих внедрение отражающих библиотек DLL, является HackTool:Win32/Mikatz!dha.

  • Эксплойты памяти. Злоумышленники используют эксплойты без файловой памяти для удаленного запуска произвольного кода на компьютерах жертв. Например, угроза UIWIX использует эксплойт EternalBlue, который использовался Как Petya, так и WannaCry, для установки backdoor DoublePulsar и полностью находится в памяти ядра (таблица отправки SMB). В отличие от Petya и Wannacry, UIWIX не удаляет файлы на диск.

  • Методы на основе скриптов. Языки сценариев предоставляют мощные средства для доставки полезных данных только в памяти. Файлы скриптов могут внедрять коды оболочки или двоичные файлы, которые они могут расшифровывать на лету во время выполнения и выполнять с помощью объектов .NET или напрямую с помощью API, не требуя их записи на диск. Сами скрипты могут быть скрыты в реестре, считываться из сетевых потоков или запускаться злоумышленником вручную в командной строке, не касаясь диска.

    Примечание.

    Не отключайте PowerShell в качестве средства для блокировки вредоносных программ без файлов. PowerShell — это мощное и безопасное средство управления, важное для многих системных и ИТ-функций. Злоумышленники используют вредоносные сценарии PowerShell в качестве метода после эксплуатации, который может выполняться только после первоначального компрометации. Его неправильное использование является симптомом атаки, которая начинается с других вредоносных действий, таких как эксплуатация программного обеспечения, социальная инженерия или кража учетных данных. Ключ заключается в том, чтобы предотвратить попадание злоумышленника в положение, где он может неправильно использовать PowerShell.

    Совет

    Уменьшение числа неподписанных скриптов PowerShell в вашей среде помогает повысить уровень безопасности. Ниже приведены инструкции по добавлению подписывания в скрипты PowerShell, используемые в вашей среде Эй, парень сценариев! Как подписать скрипты Windows PowerShell с помощью корпоративного PKI Windows? (Часть 2 из 2) | Блог о скриптах

  • Сохраняемость WMI. Некоторые злоумышленники используют репозиторий инструментария управления Windows (WMI) для хранения вредоносных сценариев, которые затем периодически вызываются с помощью привязок WMI. Microsoft Defender антивирусная программа блокирует большинство вредоносных программ с помощью универсальных, эвристических и основанных на поведении обнаружений, а также локальных и облачных моделей машинного обучения. Microsoft Defender антивирусная программа защищает от вредоносных программ без файлов с помощью следующих возможностей:

    • Обнаружение методов на основе скриптов с помощью AMSI, который предоставляет возможность проверять PowerShell и другие типы скриптов, даже с несколькими уровнями маскировки
    • Обнаружение и исправление методов сохраняемости WMI путем сканирования репозитория WMI как периодически, так и при обнаружении аномального поведения
    • Обнаружение внедрения отражающей библиотеки DLL с помощью расширенных методов сканирования памяти и мониторинга поведения

Почему AMSI?

AMSI обеспечивает более глубокий уровень проверки вредоносных программ, которые используют методы маскирования и уклонения на встроенных узлах сценариев Windows. Интеграция AMSI обеспечивает Microsoft Defender для конечной точки дополнительных уровней защиты от сложных угроз.

Поддерживаемые языки сценариев

  • PowerShell
  • Jscript
  • VBScript
  • Узел сценариев Windows (wscript.exe и cscript.exe)
  • платформа .NET Framework 4.8 или более поздней версии (сканирование всех сборок)
  • Инструментарий управления Windows (WMI)

При использовании Приложения Microsoft 365 AMSI также поддерживает JavaScript, VBA и XLM.

В настоящее время AMSI не поддерживает Python или Perl.

Включение AMSI

Чтобы включить AMSI, необходимо включить сканирование скриптов. См. раздел Настройка параметров сканирования для Microsoft Defender антивирусной программы.

Также см . раздел CSP политики Defender — управление клиентами Windows.

Ресурсы AMSI

Для разработчиков и поставщиков антивирусной программы доступны API-интерфейсы для защиты от вредоносных программ (AMSI).

Другие продукты Майкрософт, такие как Exchange и Sharepoint, также используют интеграцию AMSI.

Дополнительные ресурсы для защиты от атак без файлов

  • Управление приложениями в Защитнике Windows и AppLocker. Обеспечивает строгие политики целостности кода и разрешает запуск только доверенных приложений. В контексте вредоносных программ без файлов WDAC блокирует PowerShell в режим ограниченного языка, что ограничивает возможности расширенного языка, которые могут привести к выполнению непроверяемого кода, например прямой скрипт .NET, вызов API Win32 с помощью командлета Add-Type и взаимодействие с COM-объектами. Это по существу устраняет атаки на внедрение отражающих библиотек DLL на основе PowerShell.

  • Сокращение направлений атак помогает администраторам защититься от распространенных векторов атак.

  • Включите защиту целостности кода на основе виртуализации. Устраняет эксплойты памяти ядра с помощью функции целостности кода гипервизора (HVCI), что затрудняет внедрение вредоносного кода с помощью уязвимостей программного обеспечения в режиме ядра.