Dnes jsem si přečetl tehle tweet
https://twitter.com/BCSecurity1/status/1297573856597676034 a neubránil jsem se dojmu, že i přes veškerou snahu MS prostě neví, co dělá. Před pár lety s velkou pompou předvedli AMSI jako jednu z bezpečnostních mezivrstev, které pomůžou Defenderu do AV ligy. Jenže to, co se ukázalo být jako zajímavý tah, nakonec skončilo jako trash na oddělení noobů od profíků. Koho by napadlo, že bude stačit přepsat pár bajtů v paměti procesu chráněného AMSI (klasicky se jedná o PowerShell nebo třeba VBA)
https://github.com/rasta-mouse/AmsiScanBufferBypass ? Teď po dlouhé době konečně zpracují na možnosti killnout Mimikatz. Jenže prakticky okamžitě se objeví hromada možností, jak tuhle super bezpečnou fičuru obejít. Mě osobně jako první napadlo zkopírovat a uložit powershell.exe do jiné lokace. A, světe div se, ono to funguje
Nutno podotknout, že jsem nebyl jediný, koho to napadlo, takže žádný hype se nekoná
