回避手法: AMSI バイパス
【ブログ】■2020年 ◆AMSIの関数について (セキュリティアナリストのつぶやき, 2020/04/16) https://securityblog.jp/securityanalyst/contents/100108.php ⇒ https://malware-log.hatenablog.com/entry/2021/04/16/000000_7 ■2021年 ◆マルウェアで用いられる…
【ブログ】 ◆Windows AMSIをバイパスする手口の発見 (Trendmicro, 2023/02/27) https://www.trendmicro.com/ja_jp/research/23/b/detecting-windows-amsi-bypass-techniques.html 【関連まとめ記事】◆全体まとめ ◆マルウェア / Malware (まとめ) ◆EDR回避 (…
【概要】■EDR バイパス方法 項目 内容 AMSI バイパス アンフック リフレクティブDLLロード ディスクからDLLをロードする代わりに、既存のプロセスにメモリから悪意あるDLLをロードする手法 【ブログ】 ◆EDRを回避するためのスター・ウォーズのジェダイ・マイ…
【ブログ】 ◆マルウェアで用いられる AMSI の回避方法 (Sophos News, 2021/06/15) マルウェアの開発者たちは、ターゲットの防御システムからの検出を回避する方法を常に探しています https://news.sophos.com/ja-jp/2021/06/15/amsi-bypasses-remain-tricks-…
【図表】 AMSIが機能しているところ 引用元:How the Antimalware Scan Interface (AMSI) helps you defend against malware powershell.exeから呼ばれるamsi.dll内の関数 AmsiScanBuffer()の引数の一部 引用元:AmsiScanBuffer function 関数AmsiScanBuffer…
【訳】アンチマルウェア スキャン インターフェース(AMSI) 【公開情報】 ◆Antimalware Scan Interface (AMSI) (Microsoft, 2019/08/24) [アンチマルウェア スキャン インターフェース(AMSI)] https://learn.microsoft.com/en-us/windows/win32/amsi/antimalw…
【訳】アンチマルウェアスキャンインターフェース(AMSI)がマルウェア対策に役立つ仕組み 【図表】 AMSI アーキテクチャ Base64でエンコードされたサンプルスクリプト Windows DefenderがAMSIテストサンプルを検出 JavaScript/VBA との AMSI の統合 出典: htt…