Обход AMSI
Репозиторий GitHub «V-i-x-x/AMSI-BYPASS» предоставляет информацию об уязвимости, известной как «AMSI WRITE RAID», которая может быть использована для обхода интерфейса проверки на вредоносное ПО (Antimalware Scan Interface, AMSI).
📌Описание уязвимости: Уязвимость «AMSI WRITE RAID» позволяет злоумышленникам перезаписывать определенные доступные для записи области в стеке вызовов AMSI, эффективно обходя защиту AMSI.
📌Области, доступные для записи: В репозитории подчеркивается, что несколько областей в стеке вызовов AMSI доступны для записи и могут быть использованы для обхода и описаны в скриншотах, как «vulnerable_entries.png» и «writable_entries_part_1.png».
📌Подтверждение концепции: В хранилище имеется документ в формате PDF (Amsi.pdf), в котором подробно описывается уязвимость, дается исчерпывающее объяснение икак можно обойти AMSI.
📌Влияние: Успешное использование этой уязвимости позволяет вредоносному коду избегать обнаружения AMSI, что является серьезной проблемой безопасности, поскольку AMSI предназначена для обеспечения дополнительного уровня защиты от вредоносных программ.
Влияние на отрасли
📌Повышенный риск заражения вредоносными программами: методы обхода AMSI позволяют злоумышленникам выполнять вредоносный код незамеченными, что увеличивает риск заражения вредоносными программами, включая программы-вымогатели и атаки без использования файлов. Это особенно актуально для отраслей, работающих с конфиденциальными данными, таких как финансы, здравоохранение и государственный сектор.
📌Нарушенный уровень безопасности: Обход AMSI может привести к нарушению уровня безопасности, поскольку традиционные антивирусные решения и средства обнаружения и реагирования на конечные точки (EDR) могут не обнаруживать и предотвращать вредоносные действия. Это может привести к утечке данных, финансовым потерям и ущербу репутации.
📌Сбои в работе: Успешные атаки в обход AMSI могут привести к значительным сбоям в работе, особенно в таких критически важных секторах инфраструктуры, как энергетика, транспорт и коммунальные услуги. Эти сбои могут оказывать комплексное воздействие на предоставление услуг и общественную безопасность.