AMSIアンチェイン アンチマルウェアプロバイダの鎖を外し、AMSIを回避する方法
Deep Instinctのリサーチチームが、新たに2つの AMSI バイパス技術を発見しました。その詳細をホワイトペーパーで紹介しています。
AMSI (Anti-Malware Scan Interface) は、サードパーティのマルウェア対策ソリューションが、PowerShell、スクリプトエンジン、.NETフレームワーク、WMIなどのMicrosoftコンポーネントやアプリケーションを可視化できるようにするMicrosoftのフレームワークです。EDR (Endpoint Detection and Response) ソリューションは、このフレームワークを使用して、ファイル、メモリ、ストリームをスキャンし、悪意のあるペイロードを検知します。
このような防御的アプローチに対して、悪意のある攻撃者は、複数のAMSIバイパス技術を開発して対抗しました。これにより、攻撃者とEDRソリューションの間で技術革新の戦いが始まり、EDRソリューションはこれらの脅威から顧客を保護するために、遅れをとらないように努めてきました。当初は新しいバイパス技術が爆発的に増加しましたが、両者の努力は停滞に達し、最後のAMSIバイパス技術は2019年に導入されました。
これらの脅威に対処するため、Deep Instinctは既知のAMSIバイパス技術をすべてマッピングし、それらに対する完全な保護機能を開発しました。これらの取り組みの中で、当社の研究者は、AMSIアーキテクチャの監視されていない領域をターゲットとする、悪用しやすくまだどこにも公開されていない、未検出の2つの新しいAMSIバイパス技術を発見しました。
マイクロソフトへの完全な開示とその後の Black Hat ASIA 2022 での講演の後、これらの発見を詳細に説明するホワイトペーパーをつくりました。ぜひご覧ください。
また、Deep Instinctについてより詳細に知りたい方は、こちらからデモをリクエストしてください。