Who the hell is amsi

Who the hell is amsi

Für einen erfolgreichen Antivirus Bypass gibt es mehrere Ansätze. Beim Thema Malware kann so zum Beispiel zwischen „Filebased Threats“ und „Fileless Threats“ unterschieden werden. Filebased Threats auch Script based Malware genannt, hat unter anderem den Vorteil, dass Diese nur im Arbeitsspeicher des Hosts operiert und somit für die meisten AV-Produkte unerkannt bleibt. Unter anderem haben deshalb Script based Malware Attacken in den letzten Jahren stark zugenommen. Um diese Art von Malware Attacken dennoch unterbinden zu können, implementierte Microsoft 2016 standardmäßig in die Powershell Version 5 den Schutzmechanismus Amsi. Amsi ermöglicht die Untersuchung des Arbeitsspeichers auf Malware (z.B. Powershell Scripts). Doch auch Amsi hat Schwachstellen die ausgenutzt werden können. Wer mehr zur Thematik Amis Bypass erfahren möchte, ist herzlich dazu eingeladen, im darüber erstellten Paper ein wenig mehr zu lesen.

.

Daniel Feichter
daniel.feichter@strong-it.at