瑞星卡卡安全论坛

首页 » 个人产品讨论区 » 瑞星杀毒软件 » 建议【已收集】
立刻回答 - 2016-9-3 0:04:00
建议瑞星利用系统中的AMSI的辅助进行高级防御,捕获内存中的病毒。


资料:
微软开发出了反恶意软件扫描接口(AMSI)工具,可以在内存中捕捉恶意脚本。任何应用程序都可以调用这个接口,任何注册反恶意软件引擎都能处理提交给AMSI的内容。Windows Defender 、ESET和AVG目前正在使用AMSI,这一接口应该被更广泛地采纳。
NoSoSecure渗透测试员兼助理顾问在黑帽大会的演讲上说:“AMSI是Windows系统上封锁脚本攻击的一大步。”
网络罪犯们越来越依赖于脚本攻击,尤其是那些用PowerShell执行的脚本,这些脚本组成了他们攻击行动中不可或缺的部分。由于很难与合法行为区分开来,公司企业很难发现采用PowerShell的攻击。而且,因为PowerShell脚本可用于管理系统和网络的方方面面,恢复起来也十分困难。尤其是现在每个版本的Windows都预载了PowerShell,基于脚本的攻击就变得更加常见了。
罪犯们开始采用PowerShell,在内存中加载脚本,但防御者想要赶上却还需要时间。直到几年前,才有人开始注意到PowerShell。恶意脚本根本就不会被检测到。杀毒软件厂商直到3年前才开始领会到PowerShell的能量。
检测存在硬盘上的脚本不难,但阻止内存中的脚本运行就不容易了。AMSI试图在主机层级捕获脚本,也就是说,输入方式——无论是存在硬盘上,留在内存里,还是交互启动,无关紧要!AMSI是游戏规则颠覆者。
然而,AMSI不能独立运行,因为其有用性依赖于其他安全方法。执行脚本攻击很难不产生日志,所以,Windows管理员定期检查PowerShell日志就显得十分重要了。

AMSI并不完美——经混淆编码的脚本,或者从WMI名字空间、注册表、事件日志等非常规位置加载的脚本,就不太会被AMSI检测出来。不用powershell.exe执行(可用网络策略服务器之类的工具)的PowerShell脚本也会使AMSI失效。绕过AMSI的方法也有很多,比如修改脚本签名、使用 PowerShell 2 、或者禁用AMSI。但无论如何,AMSI是Windows管理的未来。


希望瑞星能利用该接口增强防御能力。

用户系统信息:Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/51.0.2704.79 Safari/537.36 Edge/14.14393
瑞星工程师16 - 2016-9-5 13:03:00
建议已收集。
1
查看完整版本: 建议【已收集】