Contact
QR code for the current URL

Story Box-ID: 1061994

Sophos Technology GmbH Gustav-Stresemann-Ring 1 65189 Wiesbaden, Germany http://www.sophos.de
Contact Mr Thilo Christ +49 8081 954617

Angreifer umgehen Microsoft Anti Malware Interface (AMSI) - Sophos erklärt wie

(PresseBox) (Wiesbaden, )
Sophos beschreibt in einem aktuellen Report, wie Angreifer beharrlich versuchen, Microsofts Antimalware Scan Interface (AMSI) zu umgehen und was dies für die IT-Security in Unternehmen bedeutet.

Der Report "AMSI Bypasses Remain Tricks of the Malware Trade" zeigt einige der gängigsten Tools und Techniken auf, mit denen Angreifer versuchen, AMSI zu umgehen.

Zur Liste gehören zum Beispiel das Aushebeln von Powershell-Scans, die Manipulation von Code in der AMSI-Bibliothek, gefälschte DLLs oder auch Versuche, AMSI mithilfe von älteren Skript-Engine-Versionen gänzlich zu umgehen.

In vielen der von Sophos untersuchten Fälle war der Eintrittspunkt für den Angriff ein ungeschützter Desktop oder Server, in anderen Fällen waren ungepatchte Schwachstellen – wie die im März in Exchange Servern entdeckte ProxyLogon-Schwachstelle – die Ursache für den Angriff.

Microsoft hat 2015 die Antimalware Scan Interface (AMSI)-Schnittstelle eingeführt, die es Anwendungen und Diensten – auch solchen von Drittanbietern – ermöglicht, verdächtigen Code zu erkennen, den Angreifer in den Speicher eines gehackten Computers zu laden versuchen. Wenn AMSI eine bekannte bösartige Signatur erkennt, soll das Skript blockiert werden.

"Trotz der Anstrengungen, die Microsoft in die Härtung von AMSI und den damit integrierten Komponenten betrieben hat, bleibt es ein Ziel der Malware-Entwickler, die Sicherheitsscans zu umgehen", sagt Sean Gallagher, Senior Threat Researcher bei Sophos. "Das liegt vor allem am Erfolg von Windows 10 und den Windows Server-Plattformen, die mit AMSI ausgestattet sind. Schätzungen gehen davon aus, dass derzeit etwa 78% aller Windows-PCs mit Windows 10 betrieben werden. Die Sorge besteht darin, dass Angreifer ihre Techniken fortlaufend an die Änderungen der Windows-Plattform anpassen und den Code stetig verändern und verschleiern, um signaturbasierte Erkennungen zu umgehen."

Den gesamten ausführlichen Report finden Sie hier: https://bit.ly/2SPI3Jq

Website Promotion

Website Promotion
The publisher indicated in each case (see company info by clicking on image/title or company info in the right-hand column) is solely responsible for the stories above, the event or job offer shown and for the image and audio material displayed. As a rule, the publisher is also the author of the texts and the attached image, audio and information material. The use of information published here is generally free of charge for personal information and editorial processing. Please clarify any copyright issues with the stated publisher before further use. In case of publication, please send a specimen copy to service@pressebox.de.
Important note:

Systematic data storage as well as the use of even parts of this database are only permitted with the written consent of unn | UNITED NEWS NETWORK GmbH.

unn | UNITED NEWS NETWORK GmbH 2002–2024, All rights reserved

The publisher indicated in each case (see company info by clicking on image/title or company info in the right-hand column) is solely responsible for the stories above, the event or job offer shown and for the image and audio material displayed. As a rule, the publisher is also the author of the texts and the attached image, audio and information material. The use of information published here is generally free of charge for personal information and editorial processing. Please clarify any copyright issues with the stated publisher before further use. In case of publication, please send a specimen copy to service@pressebox.de.