Voici comment les attaquants contournent la protection d’analyse anti-malware AMSI de Microsoft

Les chercheurs décrivent des tactiques courantes pour contourner le logiciel de sécurité.

Les chercheurs ont décrit les outils et les techniques les plus populaires utilisés par les acteurs de la menace pour tenter de contourner l’interface d’analyse antimalware de Microsoft (AMSI). 

Faisant ses débuts en 2015, AMSI est une interface indépendante des fournisseurs conçue pour intégrer des produits anti-malware sur une machine Windows et mieux protéger les utilisateurs finaux, prenant en charge des fonctionnalités telles que la corrélation des demandes d’analyse et les vérifications de la réputation des URL/IP des sources de contenu. 

L’intégration d’AMSI avec Office 365 a récemment été mise à niveau pour inclure l’analyse des macros Excel 4.0 (XLM) pour tenter de lutter contre l’augmentation des macros malveillantes en tant que vecteur d’infection. 

La solution de sécurité de Microsoft est une barrière que les développeurs de logiciels malveillants Windows d’aujourd’hui tentent souvent de contourner, soit par des méthodes telles que l’obscurcissement, la stéganographie , soit en empêchant un fichier d’être analysé et détecté comme malveillant lors des premières phases d’attaque. 

Dans une enquête sur les techniques utilisées pour éviter ou désactiver l’AMSI, les chercheurs de Sophos ont déclaré mercredi que les acteurs de la menace essaieraient tout, des tactiques de survie aux attaques sans fichier. 

Peut-être que les opportunités que représente le contournement AMSI ont été mises en évidence dans un tweet de l’expert en sécurité Matt Graeber en 2016, dans lequel Sophos dit qu’une seule ligne de code a inversé un attribut PowerShell pour l’intégration AMSI et, en théorie, peut avoir empêché les processus basés sur PowerShell de demander des analyses. . 

Bien qu’ils soient désormais intégrés et signalés comme malveillants depuis des années, les développeurs de logiciels malveillants se sont inspirés du contournement AMSI à une ligne et des variantes sont encore utilisées aujourd’hui et ont été masquées pour essayer de contourner les analyses basées sur les signatures. 

Dans les détections sur la période 2020-2021, la majorité semble se concentrer sur les activités post-exploitation, y compris les mouvements latéraux. Une méthode, par exemple, tente de récupérer une porte dérobée PowerShell à partir d’un serveur Web dans un espace d’adressage IP privé. 

Le même contournement a été retracé à un incident distinct, lié à des attaques de connexion proxy, dans lequel une connexion a été forgée avec un serveur distant afin de récupérer un téléchargeur de logiciels malveillants basé sur PowerShell.

Une autre technique utilisée pour contourner l’AMSI est l’utilisation de la ceinture de sécurité, un outil de sécurité offensif. Un script PowerShell a été utilisé pour créer un processus délégué qui utilise la réflexion pour accéder à l’interface .NET pour AmsiUtils.

Cependant, Sophos affirme que plus de 98 % des tentatives de contournement de l’AMSI sont effectuées par falsification de la bibliothèque AMSI. Il existe une variété de souches de logiciels malveillants qui essaieront de trouver AmsiScanBuffer, déjà chargé en mémoire, puis écraseront les instructions pour s’assurer que les demandes d’analyse échouent. 

Des versions alternatives peuvent modifier le composant de mémoire stockant le code conçu pour renvoyer les résultats de l’analyse de la mémoire tampon, provoquant un échec. 

Les autres tactiques incluent :

  • Cobalt Strike : La technique de patch mémoire est incluse sous amsi_disable et est visible dans la famille Agent Tesla Trojan, aux côtés d’autres. 
  • Scripts distants de ligne de commande appelés dans PowerShell avant les tentatives de correctifs.
  • Créer de fausses DLL conçues pour duper PowerShell en chargeant une fausse version d’amsi.DLL, une vieille tactique désormais rendue plus difficile en raison de l’amélioration de la sécurité de Microsoft. 
  • Déclassement des moteurs de script.
  • Chargement de moteurs non pris en charge ou, dans les cas extrêmes, de machines virtuelles (VM). 

« Étant donné la prévalence de ces tactiques, en particulier dans les intrusions d’opérateurs de ransomware, l’AMSI peut jouer un rôle particulièrement important pour empêcher que les systèmes Windows 10 et Windows Server ne soient compromis », déclare Sophos. « Mais AMSI n’est pas une panacée. Et tandis que Windows Defender de Microsoft offre une certaine protection contre les contournements AMSI, les attaquants trouvent continuellement des moyens d’obscurcir et de dissimuler le contenu malveillant des détections de signatures anti-malware. »