Sophos網(wǎng)絡(luò)安全分析師的分析表明����,希望繞過 Microsoft 的反惡意軟件掃描接口 (AMSI) 的網(wǎng)絡(luò)犯罪分子和安全研究人員通常會選擇四種常用方法之一。
AMSI 是微軟的“反惡意軟件交通警察”����,正如 Sophos 所描述的,它使軟件能夠掃描文件��、內(nèi)存或流中的惡意代碼��,而不管軟件供應(yīng)商是誰����。
借助 AMSI,防病毒程序可以分析 Microsoft 組件和應(yīng)用程序�,例如 PowerShell 引擎和腳本主機、Office 文檔宏(在工作人員中傳播惡意代碼的最流行方法之一)�、.NET Framework 組件或 Windows Management Instrumentation (WMI)組件���。
Sophos 表示,黑客(惡意的和良性的)通常有四種主要方式繞過 AMSI:使用 PowerShell 代碼(一種古老但非常流行的方法)�����,通過弄亂已經(jīng)加載到內(nèi)存中的 AMSI 庫的代碼(超過 98 % 的繞過嘗試集中在此方法上)�,方法是加載 amsi.dll 的偽造版本,或?qū)⒛_本引擎降級到比 AMSI 更舊的版本���。 AMSI 黑客
雖然這些是四種最流行的方法�,但 Sophos 表示還有其他方法也圍繞著“遠(yuǎn)離與 AMSI 交互的進程”展開�����。在一些極端情況下����,例如 Ragnar Locker,攻擊者會帶來整個虛擬機來隱藏他們的腳本不被檢測到���。
研究人員表示,AMSI 的主要目標(biāo)之一是保護其場所免受使用微軟自有組件的野外生存 (LOL) 策略的影響�����,并幫助開發(fā)人員加強他們自己工具的網(wǎng)絡(luò)安全態(tài)勢。
勒索軟件的日益流行使 AMSI 在保持 Windows 10 和 Windows Server 系統(tǒng)安全方面變得非常重要���。
“但 AMSI 不是靈丹妙藥���,”Sophos 總結(jié)道。這是對任何人的網(wǎng)絡(luò)安全武器庫的一個很好的補充���,但是“縱深防御”����,利用端點和網(wǎng)絡(luò)上的混合檢測����,對于保護一個人的場所至關(guān)重要。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡(luò)舉報APP下載
