​👨🏻‍💻 Anti-Malware Scan Interface. Обходим AMSI при заражении тачки на Windows. Луч­ший бой — это тот, которо­го уда­лось избе­жать. 🖖🏻 Приветствую тебя user_name. • Аб­бре­виату­ра AMSI рас­шифро­выва­ется как Anti-Malware Scan Interface. Эту тех­нологию Microsoft раз­работа­ла в качес­тве метода защиты поль­зовате­лей от вре­донос­ных прог­рамм и впер­вые внед­рила в Windows 10. AMSI в реаль­ном вре­мени перех­ватыва­ет скрип­ты и коман­ды, после чего направляется на про­вер­ку анти­вирус­ному прог­рам­мно­му обес­печению. 📌 Перед тобой список компонентов, которые реализуют AMSI в Windows 10: • Контроль учетных записей или UAC (повышение прав установки EXE, COM, MSI или ActiveX); • #PowerShell (cкрипты, интерактивное использование и динамическая оценка кода); • Windows Script Host (wscript.exe и cscript.exe); • JavaScript и VBScript; • Макросы VBA. • Стоит учитывать, что AMSI является предметом многих исследований, и возможность обойти AMSI может стать решающим фактором между успешной и неудачной атакой. Более подробную информацию, о том как работает AMSI, ты можешь найти в открытом доступе. Тема крайне популярная и найти информацию не составит труда. Ну а сегодня мы поговорим о нескольких методах, которые помогут обойти AMSI: • Дело в том, что механизмы AMSI, исполь­зует сиг­натур­ное детек­тирова­ние угроз. Благодаря этому, мы можем при­думы­вать раз­ные так­тики и тех­ники. Некото­рые извес­тные спо­собы уже не сра­бота­ют, но, исполь­зуя модифи­кацию кода, обфуска­цию и крип­тование, мож­но добить­ся инте­рес­ных резуль­татов. 1. Используем Function hooking — метод, поз­воля­ющий нам получить управле­ние над фун­кци­ей до ее вызова. Перезаписываем аргу­мен­ты, которые фун­кция AmsiScanBuffer() (или AmsiScanString()) будет переда­вать на про­вер­ку. Переходим к инжекту dll, которая примет AmsiScanBuffer() и передаст на про­вер­ку другие данные. В этом нам поможет AmsiHook.dll. Более подробную информацию об этом методе, можно найти тут: https://x64sec.sh/understanding-and-bypassing-amsi/ 2. PowerShell downgrade — #PowerShell 2.0 уста­рел, но Microsoft не спе­шит уда­лять его из своей ОС. У вер­сии 2.0 нет таких защит­ных механиз­мов, как AMSI, поэто­му для обхо­да детек­та иног­да дос­таточ­но исполь­зовать коман­ду powershell -version 2. www.leeholmes.com/detecti…-attacks github.com/redcana…9.001.md 3. Патчинг памяти — патчим AmsiScanBuffer(), что­бы всег­да воз­вра­щалось зна­чение «Про­вер­ка прой­дена успешно». Необходимые инструменты: https://github.com/med0x2e/NoAmci github.com/rasta-m…erBypass gist.github.com/FatRodz…28717998 gist.github.com/am0nsec…cc557628 gist.github.com/am0nsec…556e9597 ‼️ В дополнение, я рекомендую ознакомиться с материалом на дамаге: https://xss.is/threads/30227/. Твой S.E. #AMSI #Пентест #Red_Team #Blue_Team.