![使用红队工具SpecterInsight绕过AV检测和反恶意软件扫描]( "使用红队工具SpecterInsight绕过AV检测和反恶意软件扫描")
最近发布的一份新报告详细介绍了红队作员如何使用 SpecterInsight 4.2.0 成功绕过 Windows Defender 和其他防病毒解决方案。该技术允许威胁行为者逃避检测,同时将恶意 .NET 有效负载加载到内存中,这给安全团队带来了重大挑战。
安全研究人员 Pracsec 证明,尽管 Microsoft 在改进启发式签名和检测 AMSI 绕过技术方面做出了巨大努力,包括检测 AMSI.dll 中的代码纵,但某些方法仍然允许攻击者规避这些保护。
Windows Defender 的最新进展使得制作无法检测到的有效载荷变得越来越困难,但报告显示,精心构建的攻击链仍然可以成功。该方法涉及一个四阶段攻击链,从触发后续阶段的 PowerShell 命令开始。该攻击依赖于日志记录旁路、AMSI 旁路和精心应用的混淆技术的复杂组合来避免被发现。
“Microsoft 投入了大量精力来部署良好的启发式签名,以阻止已知的 AMSI 绕过技术及其混淆的常见方式,”Practical Security Analytics LLC 的研究人员指出,并强调了安全形势的演变。“Windows Defender 现在可以检测 AMSI.dll 中的代码作,从而有效地消除了整个类别的 AMSI 绕过技术。”
![使用红队工具SpecterInsight绕过AV检测和反恶意软件扫描]( "使用红队工具SpecterInsight绕过AV检测和反恶意软件扫描")
SpecterInsight Payload Pipeline 接口
技术实现
旁路技术的核心是 AmsiScanBufferStringReplace 方法,该方法通过在CLR.DLL中搜索字符串“AmsiScanBuffer”并覆盖它来避免检测。这可以防止 CLR.DLL 在加载有效负载时调用该函数,从而有效地禁用反射加载的 .NET 模块的 AMSI 扫描。与直接修补 AmsiScanBuffer 函数的其他技术不同,此方法不会触发 Windows Defender 的行为签名。攻击链利用多个阶段的混淆,包括删除注释、混淆成员表达式、类型表达式、函数名称、cmdlet、变量和字符串。
通过使用合法的非恶意 PowerShell 脚本填充有效负载来进一步伪装有效负载,使其与正常的系统作混合。当混淆负载提交给 VirusTotal 时,它记录的检测次数为零,证实了它对当前安全解决方案的有效性。
研究人员指出,NICS Labs 发现了“关于脚本的可疑内容”,但无法看穿混淆,这表明虽然将 AI 集成到防病毒解决方案中可能会给攻击者带来未来的挑战,但当前的实施仍然容易受到攻击。
![使用红队工具SpecterInsight绕过AV检测和反恶意软件扫描]( "使用红队工具SpecterInsight绕过AV检测和反恶意软件扫描")
建议安全团队实施深度防御策略,并考虑超越基于签名的检测方法的高级端点检测和响应解决方案。
原文来自: cybersecuritynews.com
原文链接: https://cybersecuritynews.com/av-detection-anti-malware-scans-bypassed/
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/3798132.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论