网站安全防护_美国高防100g4h4g_精准

摘要在这篇博客文章中,我们介绍了一种技术,可以帮助攻击者使用PowerShell(版本5)在Microsoft Windows 10(版本1607)上运行恶意代码。CyberArk提醒了微软这一弱点,虽然微软发布了1709版本的补丁,但尚未实施补丁的组织仍面临风险。该技术可以在未修补的系统上执行,方法是直接从内存运行代码,同时绕过Microsoft AMSI(反恶意软件扫描接口)保护,使攻击者能够在受害者的计算机上运行恶意代码而不被检测到。背景如微软开发人员网络(MSDN)所述,AMSI是一个通用的接口标准,允许应用程序和服务与机器上的任何反恶意软件产品集成。它为用户及其数据、应用程序和工作负载提供增强的恶意软件保护。有关AMSI所在位置的详细信息,请参见图0。图0:MSFT提供的AMSI架构AMSI是反恶意软件供应商不可知论的,旨在允许最常见的恶意软件扫描和保护技术所提供的今天的反恶意软件产品,可以集成到应用程序。它支持允许文件和内存或流扫描、内容源URL/IP信誉检查和其他技术的调用结构。默认情况下,AMSI与Microsoft Defender一起扫描相关数据。当另一个AV引擎注册为"AMSI提供程序"时,Windows Defender将注销自身作为"AMSI提供程序",并关闭自身在这项研究中,旁路技术利用了这样一个事实,即AMSI的保护是在与威胁操作相同的级别上提供的。AMSI被实现为动态链接库(DLL),加载到每个PowerShell会话中。在同一级别的会话中,可能会执行潜在的恶意代码(AMSI的旁路代码)。AMSI和PowerShell从Windows 10开始,AMSI默认为PowerShell提供保护,PowerShell是系统管理员和攻击者都使用的非常强大的系统工具。需要注意的几个重要事项:AMSI通过加载AMSI的DLL保护PowerShell(amsi.dll)进入PowerShell的内存空间。AMSI保护不区分具有低权限的简单用户和功能强大的用户,如管理员。AMSI为任何PowerShell实例加载其DLL。AMSI使用Windows Defender扫描PowerShell控制台输入,以确定是阻止有效负载操作还是允许其继续。图1中的API监视显示了幕后的AMSI行为:提交到PowerShell控制台的字符串("echo'Avi-G'")。AmsiScanString()函数(在API监视器下),该函数在插入新输入字符串时自动调用。图1-AmsiScanString绕过AMSI一般流程在我们的研究中,我们能够绕过具有低权限的简单用户的PowerShell AMSI保护。恶意软件可以使用相同的技术在任何用户之上运行其恶意负载。我们使用以下组件执行旁路:图2-POC组件获取者-一个简单的C#代码脚本,作为PowerShell模块制作,负责获取AmsiDumpsi.dll.操作员-AmsiDumpsi.dll负责修补真实的amsi.dll->AmsiScanString()函数。在图3中,您可以看到完整的过程:图3-旁路流量值得一提的是,第一次AMSI旁路尝试只是卸载Amsi.dll通过调用FreeLibrary()Api。模块已成功卸载,但PowerShell崩溃,因为进程继续使用Amsi.dll.深入研究POC代码让我们简单地看一下原始的AmsiScanString()函数:图4-原始AmsiScanString()函数如7fff9c1b2530–7fff9c1b2560所示,AmsiScanString()验证参数的完整性。然后,函数初始化要传输到实际扫描的用户参数。AmsiScanBuffer()将用户控制台输入字符串视为要扫描的缓冲区。我们的AmsiDumpsi.dll直接在内存中修补原始AmsiScanString()函数。在这里,您可以在修补程序之后的运行时看到函数:图5-修补后的AmsiScanString()通过更改第二个函数行,我们将一个给定参数(rdx)归零并导致错误。因此,函数将直接跳到末尾(而不是使用AmsiScanBuffer()扫描字符串),以便将错误代码存储在eax寄存器中并将其返回给调用函数(请参阅地址-00007fff9c1b2579)。通过更改00007fff9c1b2579行,我们将错误代码更改为零,因此现在eax将包含0[move eax,0](而不是原始指令[move eax,0x80070057h]),函数返回0。正如我们在微软的文档中所看到的,返回0等于s\u OK。S_OK意味着该功能成功地"扫描了有效载荷"(绕过了扫描),我们可以继续运行。图6-AmsiScanString()文档现在让我们看看获取者代码:图7-获得荷载AmsiDumpsi.dll如您所见,我们有一个简单的C#代码,它是使用Add-Type cmdlet精心编制到PowerShell模块中的。此模块加载AmsiDumpsi.dll.在这里我们可以看到AmsiDumpsi.dll:图8-补丁函数如您所见,ampidumpsiattached()执行以下步骤:获取指向实际amsi->AmsiScanString()函数的指针。查找出现错误时函数返回的原始函数错误代码(0x80070057)。通过设置页面执行读写权限,启用对所需内存地址的写入。通过提交4831d2操作码[xor rdx,rdx]修补第二个AmsiScanString行。将AmsiScanString错误代码设置为0。下面是一段视频,演示了这一点: 作用让我们看看当我们试图通过使用Net.Webclient网站->DownloadString方法和iex(Invoke expression)cmdlet,后者将下载的字符串调用到PowerShell会话中:图9-AMSI和Defender防止新的恶意负载提交如您所见,Defender弹出并阻止调用字符串(有效负载)。如果我们试图寻找获得的Mimikatz函数(通过使用get item函数),我们找不到它。在装载我们的ampidumpsi.dll使用获取器,我们可以看到获得的Mimikatz函数,但没有弹出防御者警报:图10-绕过AMSI保护,将新的Mimikatz负载提交到进程内存中摘要这项研究演示了如何通过PowerShell在未修补的系统上使用旁路,而不考虑用户的权限。这项技术的优点是amsi.dll在每个PowerShell进程中加载;定期执行AmsiScanString的API调用;AMSI似乎工作正常。因此,只有在保护内存中的DLL或在运行时检查其代码时,才能看到它实际上并没有正常工作。因此,组织将此修补程序推送到所有系统以避免不必要的风险是很重要的。工具书类https://cloudblogs.microsoft.com/microsofsecure/2015/06/09/windows-10-to-offer-application-developers-new-malware-defenses/?来源=mmpchttps://msdn.microsoft.com/en-us/library/windows/desktop/dn889588(v=vs.85)最大值https://blogs.msdn.microsoft.com/jonathanswift/2006/10/03/dynamics-calling-an-unmanaged-dll-from-net-c/https://blogs.technet.microsoft.com/heyscriptingguy/2013/06/25/use-powershell-to-interact-with-the-windows-api-part-1/https://blogs.technet.microsoft.com/mmpc/2015/06/09/windows-10-to-offer-application-developers-new-malware-defenses/https://twitter.com/mattifstation/status/73526112048772160https://github.com/samratashok/nishang(编者按:此后,微软改变了AMSI处理PowerShell会话的方式。有关此主题的更新,请阅读我们最近的博客。)

热门推荐
  • ddos清洗_大株红景天防高反吗_无限

      许多企业已经实施了旨在证明符合欧盟通用数据保护法规(GDPR)要求的流程和程序,这些要求将于2018年春季全面生效。然而......

    10-01    来源:长虹华伟

    分享
  • cdn防御_香港高防服务器托管_无限

      各组织一直在迁移到并采用Microsoft Azure Active Directory Premium,以增强其业务能力,以满足其苛刻的数字转型需求。作为基于风......

    10-01    来源:长虹华伟

    分享
  • _高仿手表哪里可以买到_无限

      从2012年LinkedIn数据泄露事件的持续影响来看,数据泄露的后果会产生长期的影响。虽然袭击发生在五年前,但连锁反应一直持......

    10-01    来源:长虹华伟

    分享
  • 网站安全防护_美国高防100g4h4g_精准

      摘要在这篇博客文章中,我们介绍了一种技术,可以帮助攻击者使用PowerShell(版本5)在Microsoft Windows 10(版本1607)上运行恶......

    10-30    来源:长虹华伟

    分享
  • 免备案高防cdn_有盾云慧眼_零元试用

      《网络防御》杂志专访创始人兼首席执行官罗伯特•赫哈维克托伯27号,2017b作者加里•米利夫斯基(Gary Milefskyi)还记得很多......

    10-30    来源:长虹华伟

    分享
  • 云盾高防采集_ddos流量攻击_解决方案

      "马克斯先生,根据哥伦比亚特区预防犯罪司的授权,我将以谋杀莎拉·马克斯和唐纳德·杜宾的罪名逮捕你,这将于今天,......

    10-30    来源:长虹华伟

    分享
  • cc攻击防御_服务器高防香港_怎么办

      Ketan Kapadia在Vancouver2018年3月21日与企业对话最近,身份和访问管理(IAM)副总裁Ketan Kapadia在温哥华与企业对话,讨论企业在网......

    11-04    来源:长虹华伟

    分享
  • ddos防御攻击_抗ddos产品_如何解决

      Herjavec Group被公认为2018年IDC安全服务领导者March 26,2018年 2018加拿大安全服务IDC研究报告通过IDC MarketScape模型对加拿大的安全......

    11-04    来源:长虹华伟

    分享
  • 阿里云高防ip_国盾云商城_打不死

      网络安全首席执行官:到20212018年11月21日,针对医院的勒索软件攻击预计将增加5倍https://www.herjavecgroup.com/wp-content/uploads/201......

    11-09    来源:长虹华伟

    分享
  • 高防IP_高防服务器托管_新用户优惠

      在我环球旅行的过程中,我被问到很多关于密码策略的问题,包括演讲和在网络研讨会后发邮件的人。很多问题都是一样的,......

    11-10    来源:长虹华伟

    分享
返回列表
Ctrl+D 将本页面保存为书签,全面了解最新资讯,方便快捷。