Windows AMSI bypass technikák észlelése
A Trend Micro kutatói a megvizsgáltak néhány támadási módszert, amelyeket a Windows Antimalware Scan Interface (AMSI) megkerülésére használnak.
A Windows Antimalware Scan Interface (AMSI) egy agnosztikus biztonsági funkció a Windows operációs rendszerben, amely lehetővé teszi az alkalmazások és szolgáltatások integrálását a számítógépre telepített biztonsági termékekkel. A Microsoft által 2015-ben bevezetett szabványos felületet biztosít, amely lehetővé teszi a fájlok, memória és egyéb adatok fenyegetések keresésére alkalmas megoldásokat. Amikor egy alkalmazás vagy szolgáltatás vizsgálatot kér, a kérést elküldi az AMSI-szolgáltatónak, amely általában a rendszerre telepített biztonsági megoldás. Az AMSI-szolgáltató ezután saját rosszindulatú programokat észlelő algoritmusai segítségével végzi el a vizsgálatot, és visszaküldi az eredményeket a kérelmező alkalmazásnak vagy szolgáltatásnak. Mivel az AMSI interfészt nagymértékben bővíthetőnek tervezték, a biztonsági megoldások szükség esetén új szkennelési képességekkel bővíthetik.
Az AMSI-t megkerülő technikákat elsősorban biztonsági kutatók és penetrációs tesztelők alkalmazták. Az elmúlt években azonban a kiberbűnözők visszaéltek ezzel, és a módszert a rosszindulatú programok rutinjaiba is beépítették, hogy elkerüljék az észlelést, ami lehetővé tette számukra, hogy folyamatosan működjenek az áldozat számítógépén. Az AMSI előtt a fájl nélküli fenyegetések észlelése nehéznek bizonyult.