名前による PowerShell スクリプトの AMSI 除外は尊重されません
Last Modified: 2022-05-17 11:50:53 Etc/GMT
Disclaimer
Affected Products
Languages:
This article is available in the following languages:
Trellix CEO, Bryan Palma, explains the critical need for security that’s always learning.
As per Gartner, "XDR is an emerging technology that can offer improved threat prevention, detection and response."
Trellix announced the establishment of the Trellix Advanced Research Center to advance global threat intelligence.
Trellix Advanced Research Center analyzes threat data on ransomware, nation-states, sectors, vectors, LotL, MITRE ATT&CK techniques, and emails.
As of May 14, 2024, Knowledge Base (KB) articles will only be published and updated in our new Trellix Thrive Knowledge space.
Log in to the Thrive Portal using your OKTA credentials and start searching the new space. Legacy KB IDs are indexed and you will be able to find them easily just by typing the legacy KB ID.
名前による PowerShell スクリプトの AMSI 除外は尊重されません
Technical Articles ID:
KB95419
Last Modified: 2022-05-17 11:50:53 Etc/GMT Environment
Endpoint Security (ENS) 適応型脅威対策 (ATP) 10.x ENS 脅威対策 10.x Summary
Windows Antimalware Scan Interface(AMSI)は、Microsoft が開発した API です。 AMSI は、Windows 10 以降および Windows Server 2016/2019 以降のシステムでサポートされています。 AMSI を使用すると、アプリケーションとサービスを ENS 脅威対策と統合して、マルウェアに対する保護を強化できます。 AMSI は、次のコンポーネントに統合されています。
AMSI によって実行されるバッファー列挙の制限により、PowerShell スクリプトを名前で除外しても機能しません。 Problem
名前で除外した PowerShell スクリプトを実行すると、スクリプトは引き続きスキャンされ、検出イベントが発生する可能性があります。
Cause
特定のバッファーに対して、AMSI は対応するバッキング ファイル名を提供する場合があります。 ENS はファイル名を使用して、特定のファイルまたはスクリプトをスキャンから除外するかどうかを決定できます。 AMSI によって提供されるバッファ属性は、アプリケーション固有のものです。 たとえば、JavaScript および VBScript エンジンは一貫してファイル名を提供する傾向があり、その結果、ENS は除外を尊重することがよくあります。 ただし、PowerShell バッファーに提供される AMSI 属性は、同じように一貫性がありません。 ファイル名が バッファがスキャン用に提供される場合、バッファに付属する PowerShell は、実行されるすべてのスクリプト ブロックの元のソースを追跡しません。 たとえば、テキスト スクリプトを含むスクリプト ファイルは、それらのテキスト スクリプト ブロックを AMSI に送信します。 ただし、PowerShell には、テキスト スクリプト ブロックが定義されているスクリプト ファイルのファイル名は含まれていません。 この動作は、Microsoft の AMSI の設計に従って予想されます。 ENS の除外によって、バッファーをファイル名と確実に関連付けることはできません。 Workaround
考えられる回避策がいくつかあります。
Related InformationDisclaimerThe content of this article originated in English. If there are differences between the English content and its translation, the English content is always the most accurate. Some of this content has been provided using Machine Translation translated by Microsoft.
Affected ProductsLanguages:This article is available in the following languages: |
|