As exclusões do AMSI para scripts do PowerShell por nome não são respeitadas
Última modificação: 04/07/2022
Aviso de isenção de responsabilidade
Produtos afetados
Idiomas:
Este artigo está disponível nos seguintes idiomas:
Veja como um ecossistema XDR que está sempre se adaptando pode energizar sua empresa.
O CEO da Trellix, Bryan Palma, explica a necessidade crítica por uma segurança que está sempre aprendendo.
Faça download do relatório Magic Quadrant, que avalia os 19 fornecedores com base na capacidade de execução e na abrangência de visão.
De acordo com a Gartner, “o XDR é uma tecnologia emergente que pode oferecer melhor prevenção, detecção e resposta a ameaças”.
Quais ameaças à segurança cibernética devem estar no radar das empresas em 2022?
A indústria da segurança cibernética nunca descansa, e não há melhor momento do que agora para enxergar isso como uma vantagem e um catalisador para o empoderamento dos negócios.
Duas líderes confiáveis em segurança cibernética se uniram para criar um mundo digital resiliente.
O CEO da Trellix, Bryan Palma, explica a necessidade crítica por uma segurança que está sempre aprendendo.
As of May 14, 2024, Knowledge Base (KB) articles will only be published and updated in our new Trellix Thrive Knowledge space.
Log in to the Thrive Portal using your OKTA credentials and start searching the new space. Legacy KB IDs are indexed and you will be able to find them easily just by typing the legacy KB ID.
As exclusões do AMSI para scripts do PowerShell por nome não são respeitadas
Artigos técnicos ID:
KB95419
Última modificação: 04/07/2022 Ambiente
Endpoint Security (ENS) Proteção adaptável contra ameaças (ATP) 10.x ENS Prevenção contra ameaças 10.x Resumo
A interface de varredura antimalware da Windows (AMSI) é uma API que Microsoft desenvolvida. O AMSI é compatível com os sistemas Windows 10 (e versões posteriores) e Windows Server 2016/2019 (e posterior). O AMSI permite que os aplicativos e serviços se integrem ao ENS Prevenção contra ameaças, proporcionando melhor proteção contra malware. O AMSI é integrado aos seguintes componentes:
Devido com as limitações da enumeração de buffer realizada pelo AMSI, a exclusão de um script do PowerShell pelo nome não funciona. Problema
Ao executar uma script do PowerShell que você exclui por nome, o script ainda é varrido e um evento de detecção ainda pode ocorrer.
Causa
Para um determinado buffer, o AMSI pode fornecer um nome de arquivo de backup correspondente. ENS pode usar o nome arquivo para decidir se um determinado arquivo ou script deve ser excluído da varredura. Os atributos de buffer fornecidos pelo AMSI são bastante específicos do aplicativo. Por exemplo, os mecanismos JavaScript e VBScript tendem a fornecer consistentemente um nome de arquivo e, como resultado, o ENS pode, freqüentemente, honrar exclusões. No entanto, os atributos AMSI fornecidos para uma buffer do PowerShell não são consistentes da mesma maneira. Às vezes, um nome de arquivo é retornado como um Quando o buffer é fornecido para varredura, o O PowerShell não rastreia a origem original de todos os bloqueios de script que são executados. Por exemplo, um script arquivo que contém scripts de texto envia esses textos script blocos para o AMSI. No entanto, o PowerShell não contém o arquivo nome do script arquivo onde os blocos de script de texto estão definidos. Esse comportamento é esperado de acordo com o design de AMSI do Microsoft. Não é possível que as exclusões do ENS correlacionem de forma confiável a buffer com um nome de arquivo. Solução alternativa
Existem algumas das possíveis soluções:
Informações relacionadas
Microsoft artigo sobre enumeração de AMSI_ATTRIBUTE "Excluindo itens da seção de varredura do AMSI" do 10.7 Guia de produto da Endpoint Security Aviso de isenção de responsabilidadeO conteúdo original deste artigo foi redigido em inglês. Se houver diferenças entre o conteúdo em inglês e sua tradução, o conteúdo em inglês será o mais exato. Parte deste conteúdo foi criado por meio de tradução automática da Microsoft.
Produtos afetadosIdiomas:Este artigo está disponível nos seguintes idiomas: |
|