New Tool: amsiscan.py and how Windows 10 Plans to Stop Script-Based Attacks and How Well It Does It (AMSI)

El script amsiscan.py publicado por Didier Stevens utiliza la función “AmsiScanBuffer” de Microsoft en Windows 10, puntualmente para el scaneo de Malware en este tipo de entornos. El script lee las entradas estándar stdin y revuelve 5 posibles resultados.

AMSI_RESULT_CLEAN
AMSI_RESULT_NOT_DETECTED
AMSI_RESULT_BLOCKED_BY_ADMIN_START
AMSI_RESULT_BLOCKED_BY_ADMIN_END
AMSI_RESULT_DETECTED

This image has an empty alt attribute; its file name is 20190612-234302.png MD5: 47E50599E0CFAF1D27416E68394289A0
SHA256: 044E41D7F31D8333CB5295FD6E430933CA67F9AC37CD400D38189C96AE48544D

Tiene al menos 5 componentes de integración;

[+] Control de cuentas de usuario o UAC (elevación de la instalación de EXE, COM, MSI o ActiveX)

[+] PowerShell (scripts, uso interactivo y evaluación de código dinámico)

[+] Windows Script Host (wscript.exe y cscript.exe)

[+] JavaScript y VBScript

Para saber mas: Antimalware Scan Interface (AMSI)

En el 2016 ya se hablo de AMSI en Blackhat, por lo que compartimos un video sobre cuan efectivo es el trabajo de AMSI y la detección de amenazas.

Para ver el PDF de la Presentación blackhat USA 2016: “AMSI: cómo planea Windows 10 detener los ataques basados en scripts y qué tan bien lo hace”

Autor: malwargsecurity

malwargsecurity un proyecto personal, sin fines de lucro y para la comunidad.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s