Windows Defender ATP機器學習和AMSI：發掘基於腳本的攻擊

腳本逐漸成為針對性攻擊的武器，諸如JavaScript，VBScript和PowerShell之類的腳本引擎為攻擊者提供了巨大的好處。它們是系統合法的軟體，並且執行文件不落地在內存中載入。

強大的腳本引擎的開發出攻擊工具不遜色於PE文件，腳本文件混淆容易，可以從遠端或註冊表載入執行，並且腳本的動態特性允許攻擊者容易地逃避反惡意軟體和類似的端點防護產品的檢測與分析。

Windows 10通過反惡意軟體掃描介面（AMSI）提供查殺腳本的功能，AMSI是一種通用的開放介面，使Windows Defender Antivirus能夠以腳本解釋程序的相同方式查看腳本內容 ，以未加密和未混淆的形式。在Windows 10 Fall Creators Update中，利用多年分析基於腳本的惡意軟體的知識，我們向Windows腳本解釋器本身添加了深度行為工具，使其能夠捕獲源自腳本的系統交互。AMSI將這些詳細的交互信息提供給註冊的AMSI提供商，例如Windows Defender Antivirus，使這些提供商能夠對運行時腳本執行內容進行進一步的檢查和審查。

通過Windows Defender Antivirus和Windows Defender Advanced Threat Protection（Windows Defender ATP）中的其他Windows 10 Fall Creators Update增強功能，可以進一步了解腳本行為的這種無與倫比的可見性。這兩種解決方案都使用功能強大的機器學習演算法來處理改進的光學系統，使用Windows Defender Antivirus提供增強的阻止惡意腳本的功能，Windows Defender ATP為惡意的違規後腳本活動提供有效的基於行為的警報。

在這篇文章中，我們探討了Windows Defender ATP如何利用AMSI檢測數據來表現出複雜和規避的基於腳本的攻擊。我們來看看由高度熟練的KRYPTON活動組織所犯下的高級攻擊，並探討像Kovter這樣的商品惡意軟體如何濫用PowerShell來在磁碟上留下很少或沒有任何惡意行為的痕迹。從這裡，我們看看Windows Defender ATP 機器學習系統如何利用對腳本特性和行為的深入了解來提供極大改進的檢測功能。

KRYPTON 強調基於腳本的攻擊的韌性

檢測潛在威脅傳統方法是以文件為中心的。隨著現代攻擊朝著無文件方向靠攏，在相關的阻塞點處增加感測器是至關重要的。 除了在磁碟上沒有文件，現代的基於腳本的攻擊通常將加密的惡意內容與解密密鑰分開存儲。另外，最終的密鑰在被用於解碼實際的有效載荷之前經常經歷多個過程，使得不能根據單個文件進行確定而不跟蹤實際的腳本調用。即使是一個完美的腳本模擬器也會失敗這個任務。 為了說明KRYPTON攻擊，我們看一下由John Lambert和Office 365 Advanced Threat Protection團隊確定的Microsoft Word文檔。

KRYPTON不會丟棄或傳播任何通常會觸發反惡意軟體警報的傳統惡意二進位文件。相反，誘餌文檔包含宏，並使用Windows腳本主機（wscript.exe）來執行JavaScript有效內容。此腳本Payload僅使用正確的RC4解密密鑰執行，正如預期的那樣，它將作為參數存儲在計劃任務中。由於只能按照正確的順序引入正確的密鑰才能觸發，因此腳本有效負載能夠抵禦自動沙箱爆炸，甚至人工檢查。

用AMSI檢測腳本行為

AMSI通過在JavaScript API調用被解密並準備好由腳本解釋器執行後克服了KRYPTON的規避機制。下面的屏幕截圖顯示了由AMSI捕獲的KRYPTON攻擊的部分暴露內容。

通過檢查捕獲的腳本行為對抗由人類專家建立的攻擊指標（IoAs）以及機器學習演算法，Windows Defender ATP輕鬆地將KRYPTON腳本標記為惡意。同時，Windows Defender ATP提供了有意義的上下文信息，包括腳本如何被惡意的Word文檔觸發。

由Kovter和其他商品惡意軟體使用PowerShell

不僅像KRYPTON這樣的高級活動組織正在從二進位可執行文件轉移到迴避腳本。Kovter惡意軟體使用多個進程來最終執行惡意負載。此有效內容駐留在由JavaScript解碼的PowerShell腳本（由wscript.exe執行）中，並作為環境變數傳遞給powershell.exe。

通過查看AMSI 捕獲的PowerShell有效負載內容，有經驗的分析師可以輕鬆地發現與PowerSploit（一種公開可用的一套滲透測試模塊）的相似之處。雖然這樣的攻擊技術涉及基於文件的組件，但使用傳統方法仍然非常難以檢測到，因為惡意活動只發生在內存中。但是，這種行為很容易被Windows Defender ATP使用機器學習檢測到，該機器學習將詳細的AMSI信號與PowerShell活動產生的信號相結合。

AMSI的機器學習

雖然AMSI可以從捕獲的腳本內容中提供豐富的信息，但惡意腳本的高度變體的性質仍然使其成為具有挑戰性的檢測目標。為了有效地提取和識別區分惡意腳本的新特徵，Windows Defender ATP採用了先進的機器學習方法。 正如我們以前的博客所述，我們使用監督機器學習分類器來識別違規行為。我們根據在典型機器上的野外和正常活動中觀察到的惡意行為來構建訓練集，並利用來自受控爆炸惡意偽影的數據來增加訓練集。下面的圖表從概念上顯示了我們如何捕捉進程樹形式的惡意行為。

通過AMSI數據檢測增加了工藝樹 如過程樹中所示，kill鏈從惡意文檔開始，導致Microsoft Word（winword.exe）啟動PowerShell（powershell.exe）。反過來，PowerShell執行嚴重混淆的腳本，該腳本將丟棄並執行惡意軟體fhjUQ72.tmp，然後通過向註冊表添加運行密鑰來獲得持久性。從流程樹中，我們的機器學習系統可以提取各種功能，為註冊表修改和文件創建等領域構建專家分類器，然後將其轉換為用於決定是否提高警報的數字分數。 隨著Windows 10 Fall Creators Update（版本1709）中添加了AMSI信號的儀器，Windows Defender ATP機器學習演算法現在可以利用對未混淆的腳本內容的深入了解，同時不斷參考與進程活動相關的機器狀態更改。我們還構建了各種基於腳本的模型，用於檢查已執行腳本的性質，如混淆層的數量，熵，混淆功能，ngram和特定的API調用等等。由於AMSI剝離了混淆層，Windows Defender ATP受益於對惡意腳本的一般結構中的API調用，變數名稱和模式的可見性和洞察力的提高。雖然AMSI數據有助於提高人類專業知識和培養學習系統的能力，但我們的深度神經網路能夠自動學習人類分析人員常常隱藏的特徵。

JavaScript和PowerShell腳本的機器學習檢測 雖然這些基於腳本的新型機器學習模型增強了我們的專家分類器，但我們也將新的結果與其他行為信息相關聯。例如，Windows Defender ATP將來自AMSI的可疑腳本內容的檢測與其他鄰近行為（如網路連接）相關聯。這個上下文信息被提供給SecOps人員，幫助他們有效地回應事件。

機器學習將來自AMSI的VBScript內容與跟蹤的網路活動結合起來圖9.機器學習結合了AMSI的VBScript內容和跟蹤的網路活動

檢測AMSI旁路嘗試

通過AMSI提供對惡意腳本活動的強大洞察力，攻擊更可能將AMSI旁路機制整合為三類： 旁觀者是腳本內容的一部分，可以檢查和提醒 篡改AMSI感測器基礎設施，可能涉及更換系統文件或操縱相關DLL的載入順序 AMSI儀器在內存中的修補 Windows Defender ATP研究團隊主動為我們所有的感測器開發防篡改機制。我們已經設計了啟發式警報，以便可能操作我們的光學系統，設計這些警報以便在旁路可以抑制它們之前在雲中觸發它們。

在涉及CVE-2017-8759的實際攻擊期間，Windows Defender ATP不僅檢測到惡意的開發後腳本活動，還檢測到使用與Matt Graeber識別的代碼,類似的代碼來繞過AMSI的企圖。

圖10.基於AMSI旁路模式的Windows Defender ATP警報

AMSI本身在Windows Defender ATP雲中捕獲了以下繞過AMSI代碼進行分析。

結論：Windows Defender ATP機器學習和AMSI提供了革命性的防禦，防範高度迴避的基於腳本的攻擊

作為Windows 10上的開放式界面，反惡意軟體掃描界面提供強大的功能，將惡意活動隱藏在隱藏在經常不寫入磁碟的加密和模糊腳本中。這種使用腳本的方法正在變得司空見慣，並且正在被高技能的活動組織和商品惡意軟體的作者使用。

AMSI通過查看被解釋的腳本內容捕獲惡意腳本行為，而不必檢查物理文件或被混淆，加密或多態性阻礙。在端點上，AMSI可以使本地掃描器受益，從而提供必要的光學功能，從而即使是經過模糊處理和加密的腳本也可以檢查惡意內容。Windows Defender Antivirus專門利用AMSI動態檢查和攔截負責丟棄各種惡意負載（包括勒索軟體和銀行特洛伊木馬）的腳本。

使用Windows 10 Fall Creators更新（1709），新添加的腳本運行時間檢測為腳本行為提供了無與倫比的可視性，不管模糊處理如何。Windows Defender Antivirus使用這些關於惡意腳本的行為信息的寶庫，在運行時提供預先防護的保護。為了提供違規後防禦，Windows Defender ATP使用先進的機器學習系統從這些數據中獲得更深入的洞察力。

除了查看特定活動和活動模式之外，Windows Defender ATP中的新機器學習演算法還將查看腳本混淆層，API調用模式以及可用於有效識別惡意腳本的其他功能。Windows Defender ATP還將基於腳本的指示符與其他臨近活動相關聯，因此它可以提供有關疑似違規的更豐富的上下文信息。

為了受益於新的腳本運行時間檢測以及Windows Defender Exploit Guard等其他強大的安全性增強功能，鼓勵客戶安裝Windows 10 Fall Creators更新。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！