AMSI (interfaz de escaneo de antimalware) es una característica de Windows diseñada para ayudar a proteger el sistema del malware escaneando contenido malicioso en scripts y archivos.
Sin embargo, los atacantes a menudo buscan evitar a Amsi para ejecutar guiones maliciosos no descubiertos. Una de esas herramientas para evitar AMSI es Amsi-bypass-hwbputiliza un pequeño depurador para manipular el comportamiento de AMSI.
Funciones de amsi-bypass-hwbp
Amsi-bypass-hwbp Operación creando una nueva instancia powershell.exe o adjunto a los existentes.
Luego, establece un punto de interrupción de hardware en la dirección AmsiScanBuffer() Funciones internas amsi.dll. Esta característica es crucial porque puede escanear los buffers de malware.
Una vez que se activa un punto de interrupción, la herramienta lo modificará AmsiScanBuffer()que es la longitud del búfer a escanear, almacenado en el registro R8.
Al establecer esta longitud en 1, la herramienta garantiza AmsiScanBuffer() Escanee solo un byte del búfer.
Esta operación conduce a AMSI_RESULT_CLEANindicando que el contenido escaneado es limpio y evita efectivamente la detección de AMSI.
- Establecer puntos de interrupción de hardware: Esta herramienta utiliza funciones de API de Windows para establecer puntos de interrupción de hardware anteriores
AmsiScanBuffer(). Esto le permite interceptar y modificar el comportamiento de una función en tiempo de ejecución. - Modificar los parámetros de longitud: Al cambiar el parámetro de longitud a 1, la herramienta limita el escaneo a un solo byte, que es poco probable que active cualquier detección de malware.
- resultado: Las operaciones conducen a resultados claros de escaneo, lo que permite que los scripts maliciosos se ejecuten sin ser marcados por AMSI.
Desarrollo del desarrollo Amsi-bypass-hwbp Influenciado por el libro de Justin Seitz «Python de sombrero gris»que proporciona información sobre el proceso de depuración utilizando funciones de la API de Windows.
Este conocimiento es esencial para comprender cómo interactuar y manipular las funciones a nivel de sistema en AMSI.
De todos modos, Amsi-bypass-hwbp es una herramienta compleja que explota el comportamiento de AMSI manipulando sus capacidades de escaneo, lo que permite a los atacantes ejecutar scripts sin detección.
Su desarrollo destaca los juegos en curso de gatos y ratones entre las medidas de seguridad y las tecnologías de evasión en el panorama de ciberseguridad.
