Angreifer umgehen Microsoft Anti Malware Interface (AMSI) - Sophos erklärt wie
ID: 1906987
Der Report "AMSI Bypasses Remain Tricks of the Malware Trade" zeigt einige der gängigsten Tools und Techniken auf, mit denen Angreifer versuchen, AMSI zu umgehen.
Zur Liste gehören zum Beispiel das Aushebeln von Powershell-Scans, die Manipulation von Code in der AMSI-Bibliothek, gefälschte DLLs oder auch Versuche, AMSI mithilfe von älteren Skript-Engine-Versionen gänzlich zu umgehen.
In vielen der von Sophos untersuchten Fälle war der Eintrittspunkt für den Angriff ein ungeschützter Desktop oder Server, in anderen Fällen waren ungepatchte Schwachstellen ? wie die im März in Exchange Servern entdeckte ProxyLogon-Schwachstelle ? die Ursache für den Angriff.
Microsoft hat 2015 die Antimalware Scan Interface (AMSI)-Schnittstelle eingeführt, die es Anwendungen und Diensten ? auch solchen von Drittanbietern ? ermöglicht, verdächtigen Code zu erkennen, den Angreifer in den Speicher eines gehackten Computers zu laden versuchen. Wenn AMSI eine bekannte bösartige Signatur erkennt, soll das Skript blockiert werden.
"Trotz der Anstrengungen, die Microsoft in die Härtung von AMSI und den damit integrierten Komponenten betrieben hat, bleibt es ein Ziel der Malware-Entwickler, die Sicherheitsscans zu umgehen", sagt Sean Gallagher, Senior Threat Researcher bei Sophos. "Das liegt vor allem am Erfolg von Windows 10 und den Windows Server-Plattformen, die mit AMSI ausgestattet sind. Schätzungen gehen davon aus, dass derzeit etwa 78% aller Windows-PCs mit Windows 10 betrieben werden. Die Sorge besteht darin, dass Angreifer ihre Techniken fortlaufend an die Änderungen der Windows-Plattform anpassen und den Code stetig verändern und verschleiern, um signaturbasierte Erkennungen zu umgehen."
Den gesamten ausführlichen Report finden Sie hier: https://bit.ly/2SPI3Jq
Weitere Infos zu dieser Pressemeldung:
Unternehmensinformation / Kurzprofil:
Bereitgestellt von Benutzer: PresseBox
Datum: 02.06.2021 - 16:20 Uhr
Sprache: Deutsch
News-ID 1906987
Anzahl Zeichen: 2236
Kontakt-Informationen:
Stadt:
Wiesbaden
Kategorie:
New Media & Software
Diese Pressemitteilung wurde bisher 789 mal aufgerufen.
Die Pressemitteilung mit dem Titel:
"Angreifer umgehen Microsoft Anti Malware Interface (AMSI) - Sophos erklärt wie"
steht unter der journalistisch-redaktionellen Verantwortung von
Sophos Technology GmbH (Nachricht senden)
Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).
Unternehmen in Deutschland, Österreich und der Schweiz stehen wie viele Organisationen weltweit vor der Herausforderung, eine wachsende Zahl an IT- und Cybersecurity-Vorgaben zu erfüllen. Eine aktuelle, von Sophos in Auftrag gegebene internationale Studie zeigt, wie stark regulatorische Anforderun
Entwickler-Tools als neue Angriffsfläche ...
Aktuelle Angriffe auf den Infrastruktur-Scanner Checkmarx KICS und den Kommandozeilen-Client von Bitwarden zeigen eine neue Qualität von Supply-Chain-Attacken. Die Angreifer verteilten trojanisierte Versionen über offizielle Kanäle wie npm, Docker Hub und GitHub Actions. Sie unterwanderten damit
Security-Blindspot: Wie Angreifer QEMU nutzen, um Erkennungssysteme zu umgehen ...
Sophos-Analysten untersuchen den aktiven Missbrauch von QEMU (Quick Emulator), einem Open-Source-Maschinenemulator und Virtualisierungs-Tool. Angreifer nutzen QEMU und weitere gängigere, auf Hypervisoren basierende Virtualisierungs-Tools, wie Hyper-V, VirtualBox und VMware, seit längerer Zeit. Gru
Weitere Mitteilungen von Sophos Technology GmbH
OpenStorage stellt das Qualstar Qi Desptop LTO SAS Laufwerk vor ...
. Das Qualstar Qi* Desktop Laufwerk ist für kleine Unternehmen und Privatpersonen geeignet und kompakt genug, um von Ort zu Ort transportiert zu werden und das zu einem sehr attraktiven Preis. Das Qi* Desktop Laufwerk bietet das fehlerfreie, zuverlässige, hochkapazitive Speichern von Backupdaten,
METOCLEAN ESD-Kleidung von Asmetec? Hochwertig, preiswert und individuell ...
Das ESD-Produktsortiment von Asmetec hat reichliche Vielfalt an Produkten zum Schutz vor elektrischen Ladungen wie zum Beispiel ESD-Erdungsbänder. Neben solchen Produkten vertreibt die Firma auch ESD-Kleidung in größerem Ausmaß. ESD-T-Shirts, Hemden, Westen, Cardigans, Kittel, Poloshirts und vie
Den Modern Secure Workplace besser verstehen und für alle nutzbar machen ...
Der Modern Secure Workplace ist als Thema in aller Munde. Besonders durch Corona bekam flexibles und unabhängiges Arbeiten von unterschiedlichen Standorten einen entscheidenden Kick. Auch nach Corona wird unsere Arbeitswelt eine andere sein. Doch wie gehen wir damit um? Sind wir alle den Herausford
Indoor LoRaWAN Gateway für SMARTE Anwendungen ...
Funktionsupgrade beim UG65 von ICP Deutschland. Mit dem Firmware Update auf Version 60.0.0.35, unterstützt der UG65 LoRaWAN Gateway neben LoRa Class Updates nun auch Node-RED. Node-RED, entwickelt von IBM, ist eine Programmieroberfläche mit der eine Verbindung zwischen Hardware, Schnittstellen und




