La integración de McAfee AMSI protege contra scripts maliciosos


Siguiendo desde el McAfee protege contra archivos adjuntos sospechosos blog, este blog describe cómo se utiliza la AMSI (Interfaz de escaneo antimalware) en los diversos productos de McAfee Endpoint. El escáner AMSI dentro de McAfee ENS 10.6 ya ha detectado más de 650,000 piezas de malware desde principios de 2019. Este blog le ayudará a mostrar cómo habilitarlo y le explicará por qué debería habilitarse, al resaltar algunos de los malware que podemos detectar con eso.

ENS 10.6 y superior

El escáner AMSI escaneará los scripts una vez que se hayan ejecutado. Esto permite que el escáner desactive la secuencia de comandos y la escanee utilizando contenido DAT. Esto es útil ya que los scripts originales pueden estar muy ofuscados y son difíciles de detectar genéricamente, como se muestra en la imagen a continuación:

Figura 1: el script de VBS ofuscado se desenfusca con AMSI

Habilitar el escáner

Por defecto, el escáner AMSI está configurado para observar el modo. Esto significa que el escáner se está ejecutando pero no bloqueará ningún script detectado; en su lugar, aparecerá en el registro de ENS y en el visor de eventos como se muestra a continuación:

Figura 2 – Bloquearía en el registro de eventos

Para bloquear activamente las amenazas detectadas, debe anular la selección de la siguiente opción en la configuración de ENS:

Figura 3 – Cómo habilitar el bloqueo

Una vez hecho esto, el registro de eventos mostrará que el script malicioso ahora ha sido bloqueado:

Figura 4 – Acción bloqueada en Registro de eventos

En la naturaleza

Desde enero de 2019, hemos observado más de 650,000 detecciones y esto se muestra en el Mapa Geo IP a continuación:

Figura 5 – Mapa geográfico de todas las detecciones AMSI desde enero de 2019

Ahora podemos bloquear algunas de las amenazas más frecuentes con AMSI. Estos incluyen PowerMiner, Fileless MimiKatz y familias de descarga JS como JS / Nemucod.

La siguiente sección describe cómo operan estas familias y su infección se propagó por todo el mundo.

PowerMiner

El malware PowerMiner es un malware de criptomonedas cuyo propósito es infectar tantas máquinas como sea posible para extraer moneda Monero. El vector de infección inicial es a través de correos electrónicos de phishing que contienen un archivo por lotes. Una vez ejecutado, este archivo por lotes descargará un script de PowerShell malicioso que luego comenzará el proceso de infección.

El flujo de infección se muestra en el siguiente gráfico:

Figura 6 – Iflujo de nfection de PowerMiner

Con el escáner AMSI, podemos detectar el script malicioso de PowerShell y detener la infección. El siguiente mapa de IP geográfico muestra cómo este malware se ha extendido por todo el mundo:

Figura 7: Mapa geográfico de detección de PS / PowerMiner! Ams desde enero de 2019

McAfee detecta PowerMiner como PS / PowerMiner! Ams.a.

Mimikatz sin archivos

Mimikatz es una herramienta que permite extraer contraseñas de Windows LSASS. Mimikatz se usaba anteriormente como una herramienta independiente, sin embargo, se han creado scripts maliciosos que descargan Mimikatz en la memoria y luego lo ejecutan sin descargarlo nunca en el disco local. A continuación se muestra un ejemplo de un script Mimikatz sin archivos (nota: esto puede ofuscarse mucho):

Figura 8 – Script Mimikatz PowerShell sin archivos

El siguiente mapa de IP geográfico muestra cómo Mimikatz sin archivos se ha extendido por todo el mundo:

Figura 9 – Mapa Geo IP de detección de PS / Mimikatz desde enero de 2019

McAfee puede detectar este script malicioso como PS / Mimikatz.a, PS / Mimikatz.b, PS / Mimikatz.c.

JS / Descargador

Los descargadores JS generalmente se distribuyen por correo electrónico. El propósito de estos archivos JavaScript es descargar más cargas útiles como ransomware, ladrones de contraseñas y puertas traseras para explotar aún más la máquina comprometida. La cadena de infección se muestra a continuación, así como un ejemplo de correo electrónico de phishing:

Figura 10 – Flujo de infección de Js / Downloader

Figura 11 – Ejemplo de correo electrónico de phishing que distribuye JS / Downloader

A continuación se muestra el mapa geográfico IP de las detecciones AMSI JS / Downloader desde enero de 2019:

Figura 12 – Mapa geográfico de detección de AMSI-FAJ desde enero de 2019

El escáner AMSI detecta esta amenaza como AMSI-FAJ.

MVISION Endpoint y ENS 10.7

MVISION Endpoint y ENS 10.7 (no publicado actualmente) utilizarán Real Protect Machine Learning para detectar contenido generado por PowerShell AMSI.

Esto se realiza extrayendo características de los buffers AMSI y ejecutándolas contra el clasificador ML para decidir si el script es malicioso o no. Un ejemplo de esto se muestra a continuación:

Gracias a esta técnica de detección, MVISION EndPoint puede detectar amenazas de PowerShell de día cero.

Conclusión

Esperamos que este blog haya ayudado a resaltar por qué es importante habilitar AMSI y cómo ayudará a mantener seguros sus entornos.

Recomendamos a nuestros clientes que usan ENS 10.6 en un entorno de Windows 10 que habiliten AMSI en el modo "Bloque" para que cuando se detecte un script malicioso se termine. Esto protegerá los Endpoints de las amenazas mencionadas en este blog, así como de muchas otras.

Los clientes que usan MVISION EndPoint están protegidos de forma predeterminada y no necesitan habilitar el modo "Bloquear".

También recomendamos leer McAfee protege contra archivos adjuntos sospechosos lo que ayudará a protegerlo contra el malware que se propaga por correo electrónico, como los JS / Downloaders descritos en este blog.

Todas las pruebas se realizaron con el paquete V3 DAT 3637.0 que contiene las últimas firmas AMSI. A diario se agregan firmas al paquete V3 DAT, por lo que recomendamos a nuestros clientes que siempre usen las últimas.





Enlace a la noticia original