行业动态

防御吧作为15年知名老牌域名服务商,CNNIC和CANN双认证域名注册商,已经
持续为500多万个域名提供服务,包括智能DNS/自由转移/隐私保护等服务!
攻击者正在使用这些技巧绕过 Microsoft 反恶意软件保护
2021-06-04 17:26:35 【

Sophos网络安全分析师的分析表明,希望绕过 Microsoft 的反恶意软件扫描接口 (AMSI) 的网络犯罪分子和安全研究人员通常会选择四种常用方法之一。

AMSI 是微软的“反恶意软件交通警察”,正如 Sophos 所描述的,它使软件能够扫描文件、内存或流中的恶意代码,而不管软件供应商是谁。

借助 AMSI,防病毒程序可以分析 Microsoft 组件和应用程序,例如 PowerShell 引擎和脚本主机、Office 文档宏(在工作人员中传播恶意代码的最流行方法之一)、.NET Framework 组件或 Windows Management Instrumentation (WMI)组件。


Sophos 表示,黑客(恶意的和良性的)通常有四种主要方式绕过 AMSI:使用 PowerShell 代码(一种古老但非常流行的方法),通过弄乱已经加载到内存中的 AMSI 库的代码(超过 98 % 的绕过尝试集中在此方法上),方法是加载 amsi.dll 的伪造版本,或将脚本引擎降级到比 AMSI 更旧的版本。 AMSI 黑客

虽然这些是四种最流行的方法,但 Sophos 表示还有其他方法也围绕着“远离与 AMSI 交互的进程”展开。在一些极端情况下,例如 Ragnar Locker,攻击者会带来整个虚拟机来隐藏他们的脚本不被检测到。

研究人员表示,AMSI 的主要目标之一是保护其场所免受使用微软自有组件的野外生存 (LOL) 策略的影响,并帮助开发人员加强他们自己工具的网络安全态势。

勒索软件的日益流行使 AMSI 在保持 Windows 10 和 Windows Server 系统安全方面变得非常重要。

“但 AMSI 不是灵丹妙药,”Sophos 总结道。这是对任何人的网络安全武器库的一个很好的补充,但是“纵深防御”,利用端点和网络上的混合检测,对于保护一个人的场所至关重要。


】【打印关闭】 【返回顶部
分享到QQ空间
分享到: 
上一篇高防服务器有哪些优势和缺点? 下一篇云平台租户的企业,要怎么过等保..

立足首都,辐射全球,防御吧专注云防御及云计算服务15年!

联系我们

服务热线:13051179500 18910191973
企业QQ:1245940436
技术支持:010-56159998
E-Mail:xihedata.com
Copyright ? 2003-2016 fangyuba. 防御吧(完美解决防御与加速) 版权所有 增值许可:京B2-20140042号
售前咨询
公司总机:18910191973
24小时电话:010-56159998
投诉电话:18910191973
值班售后/技术支持
售后服务/财务
备案专员
紧急电话:18610088800