Microsoft Defender Virüsten Koruma ile Kötü Amaçlı Yazılımdan Koruma Tarama Arabirimi (AMSI) tümleştirmesi
Şunlar için geçerlidir:
- Microsoft Defender XDR
- Microsoft Defender Virüsten Koruma
- P1 & P2'Uç Nokta için Microsoft Defender
- İş için Microsoft Defender
- Bireyler için Microsoft Defender
Platform:
- Windows 10 ve daha yeni
- Windows Server 2016 ve daha yeni
Uç Nokta için Microsoft Defender dosyasız kötü amaçlı yazılımlara, dinamik betik tabanlı saldırılara ve diğer geleneksel olmayan siber tehditlere karşı korumayı geliştirmek için kötü amaçlı yazılımdan koruma Tarama Arabirimini (AMSI) kullanır. Bu makalede AMSI tümleştirmesinin avantajları, desteklediği betik dili türleri ve gelişmiş güvenlik için AMSI'nin nasıl etkinleştirileceği açıklanmaktadır.
Dosyasız kötü amaçlı yazılım, algılamayı önlemek için gizli teknikleri kullanarak modern siber saldırılarda kritik bir rol oynar. Birçok büyük fidye yazılımı salgını, öldürme zincirlerinin bir parçası olarak dosyasız yöntemler kullandı.
Dosyasız kötü amaçlı yazılım, PowerShell.exe veya wmic.exe gibi güvenliği aşılmış bir cihazda zaten mevcut olan araçları kullanır. Kötü amaçlı yazılım bir işleme sızabilir, bellek alanı içinde kod yürütebilir ve bu yerleşik araçları çağırabilir. Saldırganlar ayak izini önemli ölçüde azaltır ve geleneksel algılama mekanizmalarından kaçınılır.
Bellek geçici olduğundan ve dosyasız kötü amaçlı yazılım dosyaları diske yerleştirmediğinden, dosyasız kötü amaçlı yazılım kullanarak kalıcılık oluşturmak zor olabilir. Dosyasız kötü amaçlı yazılımların kalıcılığı nasıl elde ettiğini gösteren örneklerden biri, "one-liner" PowerShell cmdlet'ini başlatan bir kayıt defteri çalıştırma anahtarı oluşturmaktı. Bu komut, kayıt defteri BLOB'unda depolanan karartılmış bir PowerShell betiğini başlattı. Karartılmış PowerShell betiği, kayıt defterinden Base64 ile kodlanmış bir PE yükleyen yansıtıcı bir taşınabilir yürütülebilir (PE) yükleyici içeriyordu. Kayıt defterinde depolanan betik, kötü amaçlı yazılımın kalıcı olmasını sağladı.
Saldırganlar, kötü amaçlı yazılım implantlarını gizli ve kaçınıcı hale getirebilecek birkaç dosyasız teknik kullanır. Bu teknikler şunlardır:
Yansıtıcı DLL ekleme Yansıtıcı DLL ekleme işlemi, söz konusu DLL'lerin diskte olmasına gerek kalmadan kötü amaçlı DLL'lerin bir işlemin belleğine el ile yüklenmesini içerir. Kötü amaçlı DLL, uzak saldırgan denetimindeki bir makinede barındırılabilir ve hazırlanmış bir ağ kanalı (örneğin, Aktarım Katmanı Güvenliği (TLS) protokolü) aracılığıyla teslim edilebilir veya makrolar ve betikler gibi bulaşma vektörlerinin içine karartılmış biçimde eklenebilir. Bu, yürütülebilir modüllerin yüklenmesini izleyen ve takip eden işletim sistemi mekanizmasının atlanmasıyla sonuçılır. Yansıtıcı DLL ekleme kullanan kötü amaçlı yazılımlara örnek olarak HackTool:Win32/Mikatz!dha gösteriliyor.
Bellek açıklarından yararlanma Saldırganlar, kurban makinelerinde rastgele kodu uzaktan çalıştırmak için dosyasız bellek açıklarını kullanır. Örneğin UIWIX tehdidi, tamamen çekirdeğin belleğinde (SMB Dispatch Table) bulunan DoublePulsar arka kapı aracını yüklemek için hem Petya hem de WannaCry tarafından kullanılan EternalBlue açıklarını kullanır. Petya ve Wannacry'nin aksine, UIWIX diske herhangi bir dosya bırakmaz.
Betik tabanlı teknikler Betik oluşturma dilleri, yalnızca bellekle kullanılabilen yürütülebilir yükleri teslim etmek için güçlü araçlar sağlar. Betik dosyaları, çalışma zamanında şifrelerini çözebilecekleri kodlanmış kabuk kodlarını veya ikili dosyaları ekleyebilir ve diske yazılması gerekmeden .NET nesneleri aracılığıyla veya doğrudan API'lerle yürütülebilir. Betikler kayıt defterinde gizlenebilir, ağ akışlarından okunabilir veya diske hiç dokunmadan bir saldırgan tarafından komut satırında el ile çalıştırılabilir.
Not
Dosyasız kötü amaçlı yazılımları engellemenin bir aracı olarak PowerShell'i devre dışı bırakmayın. PowerShell güçlü ve güvenli bir yönetim aracıdır ve birçok sistem ve BT işlevi için önemlidir. Saldırganlar kötü amaçlı PowerShell betiklerini, yalnızca bir ilk güvenlik açığı oluştuktan sonra gerçekleşebilecek bir kötüye kullanım sonrası tekniği olarak kullanır. Kötüye kullanımı, yazılımdan yararlanma, sosyal mühendislik veya kimlik bilgisi hırsızlığı gibi diğer kötü amaçlı eylemlerle başlayan bir saldırının belirtisidir. Önemli olan, bir saldırganın PowerShell'i kötüye kullanabilecekleri konuma gelmesini engellemektir.
- WMI kalıcılığı Bazı saldırganlar, daha sonra WMI bağlamaları kullanılarak düzenli aralıklarla çağrılan kötü amaçlı betikleri depolamak için Windows Yönetim Araçları (WMI) deposunu kullanır.
Microsoft Defender Virüsten Koruma, genel, buluşsal ve davranış tabanlı algılamaların yanı sıra yerel ve bulut tabanlı makine öğrenmesi modellerini kullanan çoğu kötü amaçlı yazılımı engeller. Microsoft Defender Virüsten Koruma, şu özellikler aracılığıyla dosyasız kötü amaçlı yazılımlara karşı koruma sağlar:
- Birden çok karartma katmanıyla bile PowerShell ve diğer betik türlerini inceleme özelliği sağlayan AMSI kullanarak betik tabanlı teknikleri algılama
- WMI deposunu hem düzenli olarak hem de anormal davranış gözlemlendiğinde tarayarak WMI kalıcılık tekniklerini algılama ve düzeltme
- Gelişmiş bellek tarama teknikleri ve davranışsal izleme aracılığıyla yansıtıcı DLL eklemesini algılama
AMSI, Windows'un yerleşik betik konaklarında karartma ve kaçınma tekniklerini kullanan kötü amaçlı yazılımlar için daha derin bir inceleme düzeyi sağlar. UÇ NOKTA IÇIN MICROSOFT DEFENDER, AMSI'yi tümleştirerek gelişmiş tehditlere karşı ek koruma katmanları sunar.
- PowerShell
- Jscript
- Vbscript
- Windows Betik Konağı (wscript.exe ve cscript.exe)
- .NET Framework 4.8 veya üzeri (tüm derlemelerin taranarak)
- Windows Yönetim Araçları (WMI)
Microsoft Office 365 kullanıyorsanız AMSI JavaScript, VBA ve XLM'yi de destekler.
AMSI şu anda Python veya Perl'i desteklemez.
AMSI'yi etkinleştirmek için Betik taramasını etkinleştirmeniz gerekir. Bkz. Microsoft Defender Virüsten Koruma için tarama seçeneklerini yapılandırma
Ayrıca bkz . Defender İlkesi CSP - Windows İstemci Yönetimi
Kötü Amaçlı Yazılımdan Koruma Tarama Arabirimi (AMSI) API'leri , geliştiricilerin ve virüsten koruma yazılımı satıcılarının uygulaması için kullanılabilir.
Exchange ve Sharepoint gibi diğer Microsoft ürünleri de AMSI tümleştirmesini kullanır.
Uygulama Denetimi ve AppLocker'ı Windows Defender. Güçlü kod Bütünlüğü ilkelerini zorlar ve yalnızca güvenilen uygulamaların çalışmasına izin verir. Dosyasız kötü amaçlı yazılım bağlamında WDAC, PowerShell'i Kısıtlanmış Dil Modu'na kilitleyerek doğrudan .NET betiği oluşturma, Add-Type cmdlet'i aracılığıyla Win32 API'lerinin çağrılması ve COM nesneleriyle etkileşim gibi doğrulanamayan kod yürütmeye yol açabilecek genişletilmiş dil özelliklerini sınırlar. Bu temelde PowerShell tabanlı yansıtıcı DLL ekleme saldırılarını azaltır.
Saldırı yüzeyini azaltma, yöneticilerin yaygın saldırı vektörlerine karşı korunmasına yardımcı olur.
Kod bütünlüğünün sanallaştırma tabanlı korumasını etkinleştirin. Hiper Yönetici Kod Bütünlüğü (HVCI) aracılığıyla çekirdek belleği açıklarını azaltır ve bu da çekirdek modu yazılım güvenlik açıklarını kullanarak kötü amaçlı kod ekleme işlemini zorlaştırır.