绕过AMSI详细指南 - 嘶吼 RoarTalk – 回归最本质的信息安全,互联网安全新媒体,4hou.com

绕过AMSI详细指南

luochicun 技术 2022-05-09 11:55:00
收藏

导语:我们将在本文中了解更多关于 AMSI、代码实现和一些众所周知的绕过方法。

Windows 开发了反恶意软件扫描接口 (AMSI) 标准,允许开发人员在其应用程序中集成恶意软件防御。AMSI 允许应用程序与系统上安装的任何防病毒软件进行交互,并防止基于脚本的动态恶意软件执行。我们将在本文中了解更多关于 AMSI、代码实现和一些众所周知的绕过方法。

背景

简而言之,它是微软提供的基于脚本的恶意软件扫描 API,可以集成到任何应用程序中,以扫描和检测用户输入的完整性,从而保护应用程序,从而保护消费者免受恶意软件的攻击。例如,一个消息应用程序可能会在将消息转发给接收者之前扫描带有 AMSI 的消息以查找恶意软件。

AMSI是独立于供应商的,并提供开放的 Win32 API 和 COM 接口供开发人员使用。由于 Microsoft 自己管理 AMSI,因此会自动更新最新的恶意软件签名。因此,开发人员可以很容易地集成 AMSI,以保护其消费者免受基于脚本的动态恶意软件的攻击。

AMSI 适用于基于签名的检测。这意味着对于每个特定的恶意关键字、URL、函数或过程,AMSI 在其数据库中都有一个相关的签名。因此,如果攻击者再次在他的代码中使用相同的关键字,AMSI 就会立即阻止执行。

恶意软件命名规则

在阅读有关 AMSI 工作原理的更多信息之前,让我们先了解一下恶意软件是如何命名的。在分析中,Windows 通常会检测到恶意软件,但分析人员无法确定恶意软件的确切细节和行为。计算机防病毒研究组织 (CARO) 给出了恶意软件的标准命名约定。例如,基于快捷方式的 caphaw 后门命名如下:

1.png

AMSI 工作原理

作为一名开发人员,你可以使用 AMSI 提供使用 AMSI 的恶意软件防御。假设你创建了一个应用程序,该应用程序输入一个脚本并使用像 Powershell 这样的脚本引擎执行。在进行输入时,可以调用 AMSI 以首先检查恶意软件。 Windows 提供 COM 和 Win32 API 来调用 AMSI。 AMSI 的执行流程如下:

2.png

AMSI API 是开放的,因此任何杀毒软件都可以从其函数中读取数据。此时,一个 Windows 脚本就会运行。当它通过 AMSI 时,amsi.dll 被注入到与我们程序相同的虚拟内存中。这个 amsi.dll 有各种可以评估代码的函数。但是,实际的扫描任务是由这两个函数执行的:

AmsiScanString()
AmsiScanBuffer()

这些函数的作用是评估代码。如果代码是干净的,则结果最终会传递给杀毒软件提供程序类,然后使用 RPC 调用从那里传递给杀毒软件服务。如果代码可疑,则会被 AMSI 阻止。

AMSI 绕过方法

既然我们已经讨论了 AMSI 的基础知识,我们将讨论一些非常著名的绕过 AMSI 的技术。为了执行横向移动/特权升级的任意代码,渗透测试人员通常需要绕过 AMSI。

如要讨论所有绕过方法则超出了本文的范围,因为每天都有新方法出现。。本文将讨论其中最突出的几个,并在Windows 10 1809版本上进行了测试。值得注意的是,随着签名的不断更新,Windows的最新版本(超过1903年)几乎阻止了互联网上所有可用的方法。

注意:AMSI 会阻止某些关键字,如“invoke-mimikatz”或“amsiutils”,因为它们被广泛用于利用,因此,作为概念证明,我们将仅在绕过后运行这些命令。此处不会绕过实际的有效载荷。

Microsoft 已将 AMSI 集成在 powershell 终端(powershell.exe 应用程序)中,该终端接收输入并通过 Powershell 引擎对其进行解析。如果我们打开进程黑客并搜索 amsi.dll,我们会看到 amsi 正在 powershell 终端中运行,任何输入都会首先被扫描。

3.png

方法1:Powershell降级

如果你正在运行基于 powershell 的有效负载并且 AMSI 阻止了它,你可以将你的 powershell 版本降级到 2.0,因为 AMSI 仅在 2.0 之后的版本中受支持。首先,你可以看到我们的关键字被amsi屏蔽了。

4.png

让我们检查一下 PS 的当前版本,然后降级到版本 2 并再次运行这些被阻止的命令。

5.png

但正如你想象的那样,这里最大的缺点是许多现代函数或脚本无法在 Powershell 2.0 上运行。

方法2:混淆

混淆是指使代码变得复杂和不可读的技巧。AMSI 根据某些关键字检测签名,因此对这些关键字进行模糊处理是有效的。例如,让我们混淆 invoke-mimikatz 命令

6.png

如你所见,只需断开一个字符串并使用+运算符将它们连接起来,这样就可以绕过 AMSI。

然而,这种技术也有它自己的缺点。有效载荷可能会触发AMSI多次。在每次运行有效负载后,一直对关键字进行模糊处理实际上非常耗时,而且会产生噪音。因此,手动混淆一直对关键字进行模糊处理实际上非常耗时,而且会产生噪音最好。

RhytmStick 开发了这个工具“AmsiTrigger”,它可以针对 AMSI 扫描脚本/有效负载,并告诉我们哪些行会触发 AMSI,然后我们可以混淆它们!你可以在此处下载该工具。

现在,我们使用以下命令创建了一个名为 demo.ps1 的脚本

7.png

我想使用 AmsiTrigger 对照 AMSI 进行检查。具体过程如下:

8.png

现在,就可以知道AMSI 阻止执行的行。我们可以继续使用字符串连接方法对它们进行混淆,例如:

9.png

现在,它们可以运行并成功绕过 AMSI!

10.png

你也可以尝试 https://amsi.fail 来混淆你的代码。

方法 3:强制执行错误

Matt Graeber 在他的推文中谈到了绕过 AMSI 的方法。如果在上述场景中启动 AMSI 扫描,则存在一个名为 amsiInitFailed() 的函数,该函数将抛出 0。这种绕过基本上是为 amsiInitFailed 分配一个布尔 True 值,以便 AMSI 初始化失败,不会对当前进程进行任何扫描!代码如下:

11.png

这之后,许多人发布了相同方法的不同版本。在某些方法中使用字节码,在其他方法中,替换函数或替换字符串,但逻辑都相同。

方法4:内存劫持

Daniel Duggan 在他的博客中发布了关于可以绕过 AMSI 的内存劫持技术。其逻辑是挂钩函数 AmsiScanBuffer() 以便它始终返回句柄 AMSI_RESULT_CLEAN 指示 AMSI 是否发现恶意软件。可以使用 Rohitab 的 API 监控工具监控 API 响应。

首先,通过我们下载 Invoke-Mimikatz 脚本,查看 AMSI 是否正常工作。

12.png

为了减少将代码编译为 DLL 的麻烦,你可以查看我的 fork。下载后,确保将主包的名称从“AmsiScanBufferBypass”更改为“Project”或任何你喜欢的名称,因为 AMSI 也会阻止字符串“AmsiScanBufferBypass”!

下载之后,进入发布文件夹,看到一个名为ASBBypass.dll的DLL。请注意,由于我们现在有一个 DLL,它也可以与我们的 EXE 有效负载集成,并且会绕过 AMSI!

这样内联 C# 代码仅使用 powershell 终端激活补丁!

13.png

如你所见,amsi 现在已经被绕过了!

方法 5:内存劫持(混淆操作码)

在 Rasta Mouse (Daniel Duggan) 技术开始被检测到后,人们对代码进行了各种更改以使其再次 FUD。 Fatrodzianko 在他的博客中发布了一种这样的技术。他使用操作码混淆了相同的代码,可以查看脚本。

要运行脚本,只需下载它,重命名它(以避免 AMSI 检测关键字),然后像这样运行:

14.png

如你所见,我们现在已经成功绕过了 AMSI。

方法6:使用反射技术绕过AMSI

根据微软的说法,Reflection 提供了描述程序集、模块和类型的对象(Type 类型)。你可以使用反射来动态创建类型的实例,将类型绑定到现有对象,或从现有对象获取类型并调用其方法或访问其字段和属性。如果你在代码中使用属性,反射可以让你访问它们。

Paul Laine 在contextis.com 上发布了原始的内存劫持方法。 Shantanu Khandelwal 使用Matt Graeber 的反射技术将相同的代码转换为完整的内存补丁。 Shantanu 使代码更加隐秘,因为现在没有留下任何磁盘上的绕过制品。

我们不会在本文中演示原始补丁,但反射更新可以下载。确保下载并重命名脚本并避免使用“amsibypass”等关键字,因为它们会被阻止。我已将其重命名为“am-bp-reflection.ps1”

15.png

方法7:Nishang All in One 脚本

Nikhil Mittal 在他著名的工具“Nishang”中添加了一个 AMSI 绕过脚本。该脚本结合了 6 种不同的方法来一次运行绕过 AMSI。具体如下:

unload——Matt Graeber 的方法。从当前 PowerShell 会话中卸载 AMSI。

unload2——Matt Graeber 的另一种方法。从当前 PowerShell 会话中卸载 AMSI。

unloadsilent——Matt Graeber 的另一种方法。卸载 AMSI 并避免 WMF5 自动记录。

unloadobfuscated——上面的“卸载”方法使用 Daneil Bohannon 的 Invoke-Obfuscation 进行了混淆,这就避免了 WMF5 自动记录。

dllhijack——Cornelis de Plaa 的方法。代码中使用的amsi.dll来自p0wnedshell。

psv2——如果 .net 2.0.50727 在 Windows 10 上可用。PowerShell v2 已启动,它不支持 AMSI。

我们只需下载脚本并运行,该工具将使用有效方法自动绕过 AMSI。例如,这里 WMF5 自动记录绕过已经奏效。此方法可以从当前终端卸载 AMSI 并绕过它。

从这里下载脚本并将其重命名为“nishang.ps1”并像这样运行它:

16.png

总结

在本文中,我们讨论了 AMSI的工作流程以及绕过它们的 7 种方法。需要注意的是,还有比本文介绍的更多的方法,但本文的目的只是讨论最广为人知的 7 种绕过 AMSI 的方法。

本文翻译自:https://www.hackingarticles.in/a-detailed-guide-on-amsi-bypass/如若转载,请注明原文地址
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论