FullBypass防御对策：如何快速检测和防止AMSI内存劫持攻击

FullBypass防御对策：如何快速检测和防止AMSI内存劫持攻击

【免费下载链接】FullBypassA tool which bypasses AMSI (AntiMalware Scan Interface) and PowerShell CLM (Constrained Language Mode) and gives you a FullLanguage PowerShell reverse shell.项目地址: https://gitcode.com/gh_mirrors/fu/FullBypass

AMSI（AntiMalware Scan Interface）是Windows系统的重要安全防线，而FullBypass作为一款能够绕过AMSI和PowerShell约束语言模式的工具，其内存劫持技术可能被恶意利用。本文将详细介绍如何检测这类攻击并提供有效的防御策略，帮助系统管理员和安全人员构建更坚固的安全屏障。

AMSI内存劫持攻击的工作原理

AMSI内存劫持攻击主要通过修改内存中amsi.dll的关键函数实现绕过。以FullBypass工具为例，其核心代码位于FullBypass/FullBypass/Program.cs文件中，主要通过以下步骤实现攻击：

1. 定位PowerShell进程：通过枚举系统中的PowerShell进程获取目标进程ID（代码第35-45行）
2. 查找amsi.dll模块：在目标进程中定位amsi.dll的基地址和内存大小（代码第61-70行）
3. 识别AmsiScanBuffer函数：通过特征字节数组匹配找到AmsiScanBuffer函数地址（代码第79-106行）
4. 修改内存保护属性：使用VirtualProtectEx函数将内存区域设置为可写（代码第119-126行）
5. 注入劫持代码：写入0x31, 0xff, 0x90（XOR EDI, EDI; NOP）指令实现函数绕过（代码第128-137行）

这种攻击方式直接在内存中修改关键安全函数，传统基于文件的检测方法很难发现。

检测AMSI内存劫持的实用方法

1. 内存特征扫描技术

通过监控amsi.dll中AmsiScanBuffer函数的特征字节变化可以有效检测劫持行为。正常的AmsiScanBuffer函数前32字节特征为：

0x4c, 0x8b, 0xdc, 0x49, 0x89, 0x5b, 0x08, 0x49, 0x89, 0x6b, 0x10, 0x49, 0x89, 0x73, 0x18, 0x57, 0x41, 0x56, 0x41, 0x57, 0x48, 0x83, 0xec, 0x70, 0x4d, 0x8b, 0xf9, 0x41, 0x8b, 0xf8, 0x48, 0x8b

当检测到该特征被修改为0x31, 0xff, 0x90等跳转或空指令时，表明可能存在内存劫持。

2. API调用监控方案

监控以下关键API的异常调用可以发现可疑行为：

• VirtualProtectEx：检测对amsi.dll内存区域的保护属性修改
• WriteProcessMemory：监控对amsi.dll函数的内存写入操作
• OpenProcess：跟踪对PowerShell进程的异常打开行为

建议使用ETW（Event Tracing for Windows）或API钩子技术实现实时监控。

3. 行为异常检测策略

FullBypass攻击通常伴随以下行为特征：

• 突然出现的PowerShell反向连接（代码第155-181行）
• 进程内存中出现异常的网络连接代码
• AMSI扫描结果与实际内容不匹配

通过EDR（端点检测与响应）工具监控这些行为模式，可以有效识别攻击企图。

防止AMSI内存劫持的防御措施

1. 启用内存完整性保护

在Windows 10及以上系统中，启用"内核隔离"中的"内存完整性"功能可以有效防止内存篡改。这一功能通过HVCI（基于虚拟化的安全性）技术限制对系统内存的修改权限。

2. AMSI签名更新与强化

确保系统中的反恶意软件定义保持最新，同时考虑部署第三方AMSI提供程序增强扫描能力。Microsoft定期发布AMSI签名更新，及时应用这些更新可以提高检测绕过技术的能力。

3. PowerShell安全配置加固

通过以下措施限制PowerShell的滥用风险：

• 启用PowerShell脚本执行策略（如设置为"RemoteSigned"）
• 部署AppLocker或WDAC策略限制未授权脚本运行
• 监控PowerShell的"Constrained Language Mode"状态变化
• 禁用不必要的PowerShell版本（如PowerShell 5.1）

4. 实施应用白名单策略

通过应用白名单限制只有经过授权的程序可以运行，阻止未知的AMSI绕过工具执行。可以使用Windows Defender Application Control或第三方白名单解决方案实现这一目标。

应急响应与处置流程

当检测到可能的AMSI内存劫持攻击时，建议采取以下应急响应步骤：

1. 隔离受影响系统：立即断开受感染主机与网络的连接，防止攻击者进一步横向移动
2. 终止可疑进程：结束被劫持的PowerShell进程及相关子进程
3. 内存取证分析：使用内存取证工具（如Volatility）捕获内存镜像进行深入分析
4. 系统修复：重启系统以清除内存中的恶意代码，或使用系统还原功能恢复到干净状态
5. 漏洞修复：检查并修复系统中可能存在的漏洞，防止攻击者再次利用

总结：构建多层次防御体系

防御AMSI内存劫持攻击需要采用多层次的安全策略，结合技术防御和管理措施。通过实施内存保护、API监控、行为分析和应用控制等多种手段，可以有效降低被FullBypass等工具攻击的风险。同时，保持系统和安全软件的更新、加强安全意识培训也是构建坚固安全防线的重要组成部分。

安全防护是一个持续的过程，建议定期评估和更新防御策略，以应对不断演变的攻击技术。通过本文介绍的方法，您可以显著提高系统对AMSI内存劫持攻击的检测和防御能力。

【免费下载链接】FullBypassA tool which bypasses AMSI (AntiMalware Scan Interface) and PowerShell CLM (Constrained Language Mode) and gives you a FullLanguage PowerShell reverse shell.项目地址: https://gitcode.com/gh_mirrors/fu/FullBypass