Posté le juin 3, 2021 à 18:41
LES HACKERS CONTOURNENT LE SCANNER ANTI LOGICIELS MALVEILLANTS AMSI DE MICROSOFT
Des chercheurs ont découvert les tactiques de piratage les plus populaires utilisées par les acteurs malveillants pour contourner l’outil de sécurité AMSI (Antimalware Scan Interface) de Microsoft.
Cet outil offre plus de sécurité aux systèmes car il est conçu pour s’intégrer aux produits anti logiciels malveillants.
La conclusion a été préparée par les chercheurs de Sophos et offre un rapport détaillé sur la nouvelle stratégie de piratage des acteurs malveillants sur AMSI. Selon le rapport, la tactique comprend le téléchargement de fichiers malveillants, la stéganographie et l’obfuscation des attaques.
Développé en 2015, AMSI fournit un logiciel qui communique avec les dispositifs de sécurité pour le streaming, l’analyse de la mémoire et le partage de fichiers de manière agnostique par rapport aux fournisseurs de charges utiles dangereuses.
Le logiciel a été récemment mis à niveau avec l’intégration de l’analyse des macros Excel 4.0 (XLM) afin d’assurer une meilleure sécurité contre le niveau accru d’outils malveillants sur les systèmes.
Les chercheurs de Sophos ont déclaré que les acteurs malveillants essaient plusieurs choses pour s’assurer de désactiver ou de contourner AMSI.
La possibilité du contournement du protocole de sécurité AMSI a été soulignée par l’expert en sécurité Matt Graeber en 2016. Il a déclaré qu’une seule ligne de code a été interchangée avec la fonctionnalité PowerShell pour l’intégration d’AMSI. Par conséquent, le processus basé sur PowerShell a pu être arrêté de manière théorique.
Les acteurs malveillants s’inspirent du contournement d’AMZI en une seule ligne pour développer des logiciels malveillants capables de contourner les logiciels de sécurité. Ils ont employé plusieurs techniques pour tenter de contourner les analyses basées sur les signatures.
Les hackers ont modifié la bibliothèque d’AMSI
Les chercheurs ont noté que la plupart des variantes du logiciel malveillant semblent être basées sur des activités post-exploitation, telles que le mouvement latéral. L’une des méthodes découvertes tente de copier une porte dérobée PowerShell dans un espace d’adresse IP privé à partir d’un serveur Web.
Un contournement similaire a également été découvert dans un autre incident lié aux attaques sur Proxy Logon, où l’acteur malveillant a dupliqué la connexion à un serveur distant pour récupérer un logiciel malveillant basé téléchargeur sur PowerShell.
Les acteurs malveillants utilisent également une autre tactique pour contourner AMSI. Ils utilisent un outil de sécurité offensif appelé Seatbelt. Un processus délégué a été créé à l’aide d’un script PowerShell utilisant la réflexion pour accéder au cadre .NET pour AmsiUtils.
Les chercheurs de Sophos ont également noté qu’environ 98 % du contournement de AMSI a été réalisé en modifiant la bibliothèque de AMSI. Différentes souches de logiciels malveillants tentent d’écraser les instructions dans AmsiScanBuffer pour faire échouer la demande d’analyse.
D’autres variétés peuvent essayer d’altérer le composant mémoire qui stocke le code, ce qui renvoie les résultats de l’analyse de la mémoire tampon et provoque l’échec.
Les hackers créent de fausses DLL pour contourner AMSI
Les chercheurs ont également identifié d’autres tactiques utilisées par les hackers pour contourner l’AMSI. Il s’agit notamment des moteurs de scripts Dumbgrading, des scripts à distance en ligne de commande et de la technique cobalt strike. La technique du Cobalt Strike consiste pour les hackers à inclure le correctif de mémoire sous amsi-disable, et à le rendre visible par la famille de chevaux de Troie Agent Tesla.
Dans le cadre de la tactique du script distant, les hackers créent de fausses DLL qui poussent PowerShell à charger une fausse version de amsi.DLL. Il s’agit d’une ancienne stratégie qui s’estompe progressivement en raison de l’amélioration des niveaux de sécurité mis en place par Microsoft.
Cobalt Strike utilise également une tactique de correctif de mémoire qui s’accompagne d’un script distant invoqué par PowerShell. Le hacker peut fabriquer des DLL pour charger une fausse version AMSI à partir de PowerShell. Cette méthode existe également depuis quelques années. Actuellement, il est extrêmement difficile de charger des moteurs non approuvés, ce qui est également dû à l’amélioration de la sécurité de Microsoft.
Les hackers utilisent plusieurs tactiques pour contourner AMSI
Sophos affirme qu’AMSI joue un rôle très important pour assurer la sécurité des systèmes Windows 10, compte tenu de la fréquence des stratégies utilisées dans les opérations de ransomware.
Cependant, les chercheurs ont souligné qu’AMSI n’est pas un bouclier complet ou une solution totale aux problèmes de sécurité. En effet, les acteurs malveillants qui ciblent AMSI ont augmenté en nombre et en activités. Ils travaillent sérieusement pour s’assurer qu’ils contournent le contrôle de sécurité afin d’accéder au système.
