Обход AMSI

Репозиторий ‎GitHub‏ ‎«V-i-x-x/AMSI-BYPASS» предоставляет ‎информацию ‎об ‎уязвимости, ‎известной‏ ‎как ‎«AMSI‏ ‎WRITE‏ ‎RAID», ‎которая ‎может‏ ‎быть ‎использована‏ ‎для ‎обхода ‎интерфейса ‎проверки‏ ‎на‏ ‎вредоносное ‎ПО‏ ‎(Antimalware ‎Scan‏ ‎Interface, ‎AMSI).

📌Описание ‎уязвимости: ‎Уязвимость ‎«AMSI‏ ‎WRITE‏ ‎RAID» ‎позволяет‏ ‎злоумышленникам ‎перезаписывать‏ ‎определенные ‎доступные ‎для ‎записи ‎области‏ ‎в‏ ‎стеке‏ ‎вызовов ‎AMSI,‏ ‎эффективно ‎обходя‏ ‎защиту ‎AMSI.

📌Области,‏ ‎доступные‏ ‎для ‎записи:‏ ‎В ‎репозитории ‎подчеркивается, ‎что ‎несколько‏ ‎областей ‎в‏ ‎стеке‏ ‎вызовов ‎AMSI ‎доступны‏ ‎для ‎записи‏ ‎и ‎могут ‎быть ‎использованы‏ ‎для‏ ‎обхода ‎и‏ ‎описаны ‎в‏ ‎скриншотах, ‎как ‎«vulnerable_entries.png» ‎и ‎«writable_entries_part_1.png».

📌Подтверждение‏ ‎концепции: В‏ ‎хранилище ‎имеется‏ ‎документ ‎в‏ ‎формате ‎PDF ‎(Amsi.pdf), ‎в ‎котором‏ ‎подробно‏ ‎описывается‏ ‎уязвимость, ‎дается‏ ‎исчерпывающее ‎объяснение‏ ‎икак ‎можно‏ ‎обойти‏ ‎AMSI.

📌Влияние: ‎Успешное‏ ‎использование ‎этой ‎уязвимости ‎позволяет ‎вредоносному‏ ‎коду ‎избегать‏ ‎обнаружения‏ ‎AMSI, ‎что ‎является‏ ‎серьезной ‎проблемой‏ ‎безопасности, ‎поскольку ‎AMSI ‎предназначена‏ ‎для‏ ‎обеспечения ‎дополнительного‏ ‎уровня ‎защиты‏ ‎от ‎вредоносных ‎программ.

Влияние ‎на ‎отрасли

📌Повышенный‏ ‎риск‏ ‎заражения ‎вредоносными‏ ‎программами: ‎методы‏ ‎обхода ‎AMSI ‎позволяют ‎злоумышленникам ‎выполнять‏ ‎вредоносный‏ ‎код‏ ‎незамеченными, ‎что‏ ‎увеличивает ‎риск‏ ‎заражения ‎вредоносными‏ ‎программами,‏ ‎включая ‎программы-вымогатели‏ ‎и ‎атаки ‎без ‎использования ‎файлов.‏ ‎Это ‎особенно‏ ‎актуально‏ ‎для ‎отраслей, ‎работающих‏ ‎с ‎конфиденциальными‏ ‎данными, ‎таких ‎как ‎финансы,‏ ‎здравоохранение‏ ‎и ‎государственный‏ ‎сектор.

📌Нарушенный ‎уровень‏ ‎безопасности: Обход ‎AMSI ‎может ‎привести ‎к‏ ‎нарушению‏ ‎уровня ‎безопасности,‏ ‎поскольку ‎традиционные‏ ‎антивирусные ‎решения ‎и ‎средства ‎обнаружения‏ ‎и‏ ‎реагирования‏ ‎на ‎конечные‏ ‎точки ‎(EDR)‏ ‎могут ‎не‏ ‎обнаруживать‏ ‎и ‎предотвращать‏ ‎вредоносные ‎действия. ‎Это ‎может ‎привести‏ ‎к ‎утечке‏ ‎данных,‏ ‎финансовым ‎потерям ‎и‏ ‎ущербу ‎репутации.

📌Сбои‏ ‎в ‎работе: ‎Успешные ‎атаки‏ ‎в‏ ‎обход ‎AMSI‏ ‎могут ‎привести‏ ‎к ‎значительным ‎сбоям ‎в ‎работе,‏ ‎особенно‏ ‎в ‎таких‏ ‎критически ‎важных‏ ‎секторах ‎инфраструктуры, ‎как ‎энергетика, ‎транспорт‏ ‎и‏ ‎коммунальные‏ ‎услуги. ‎Эти‏ ‎сбои ‎могут‏ ‎оказывать ‎комплексное‏ ‎воздействие‏ ‎на ‎предоставление‏ ‎услуг ‎и ‎общественную ‎безопасность.