引言:在迷雾中穿行的脚本
在现代企业内网中,脚本(PowerShell、VBScript、WMI)是运维的利器,也是黑客的通途。为了躲避安全监控,攻击者演化出了极高水平的混淆技术。一段简单的恶意代码,在经过五层甚至十层的 Base64 嵌套、字符拼接和动态加载后,在磁盘扫描看来就是一段完全合法的“乱码”。
如果 EDR 只在脚本启动时进行静态扫描,其检出率几乎为零。高性能 EDR 的解法是:不在其“穿衣”时检查,而在其“执行”时审视。
技术深挖:AMSI——脚本攻防的“最后一道屏障”
AMSI (Antimalware Scan Interface) 是 Windows 提供的一个通用接口标准,它允许任何应用(如 PowerShell 或 Office)将需要执行的动态脚本内容发送给已注册的安全产品(如 EDR)进行审查。
1. 动态反混淆:捕获“赤裸”的指令
脚本在被执行前,无论经过多少层加密,在最终交给脚本引擎(如 powershell.exe)解析时,都必须还原成可执行的原始文本。
技术细节:EDR 通过注册为 AMSI 提供程序(Provider),可以在脚本引擎解析的最后阶段介入。当混淆脚本在内存中完成“自解密”的一瞬间,AMSI 接口会将这段纯文本 payload 同步传送给 EDR 扫描引擎。
核心价值:这种“动态捕获”能力让攻击者的所有静态混淆手段全部失效。EDR 审视的是代码的真实意图,而非其外在形态。
2. AMSI Patch 绕过防御:保护“监控哨所”
高级黑客深知 AMSI 的厉害,因此会尝试通过内存补丁(AMSI Patching)来使该接口失效(例如修改内存中的 amsi.dll 指令)。
技术细节:深度的 EDR 方案会通过微型过滤驱动或 ETW 遥测,对 amsi.dll 关键函数进行实时完整性校验。
防护逻辑:一旦发现有非授权进程试图修改 AMSI 相关的内存偏移量,EDR 会立即判定为高危注入行为,在接口被破坏前强行终止攻击进程,从而确保“哨所”的持续有效性。
运营进化:从“文本匹配”到“语义分析”
获取到解密后的脚本后,EDR 并不是简单地进行关键字匹配,而是进行更深层的语义审计。
敏感 API 组合监测:
EDR 会重点扫描脚本中是否包含高度可疑的函数序列,例如:VirtualAlloc(内存分配)紧跟 CreateThread(创建线程),这通常意味着脚本正试图执行内存溢出攻击或注入恶意 Shellcode。
Office 宏深度扫描:
在“钓鱼邮件”场景中,恶意 Office 宏常利用复杂的脚本实现初始进入。通过 AMSI 联动,EDR 可以穿透 Office 的保护视图,直接审视宏代码在运行时的动态调用轨迹。
结语:让代码回归透明
在网络攻防的博弈中,复杂性是黑客的避难所,而透明度则是防御者的终极追求。
我们的深度 EDR 方案,通过对 AMSI 接口的深度集成与加固,彻底打破了脚本混淆的“黑盒”。它不仅能识别已知威胁,更能凭借对代码执行意图的深刻洞察,让那些伪装成合法运维指令的恶意代码在内存深处无所遁形。
和中科技神雕内核级终端威胁监测与响应系统(EDR)
和中神雕是一款聚焦 PC 办公设备、企业服务器、移动设备等终端安全的防护产品,核心定位为 “内核级感知 + 全流程防护”,将防护理念从传统 “被动拦截” 升级为 “主动检测与响应”,构建覆盖事前 - 事中 - 事后的全周期终端安全防护体系。产品通过在系统内核层深度捕捉文件操作、进程活动、注册表变更、网络通信等各类终端行为,融合行为分析、威胁情报、攻击诱捕、机器学习及 MITRE ATT&CK 框架等核心技术,实现对终端威胁的精准识别、快速处置与全面溯源。
核心优势包括:1. 高效对抗高级威胁,通过关联程序执行后调用的文件、进程、网络等全量信息,清晰呈现攻击事件链路,强化无文件攻击等高级威胁的侦测能力;2. 深度追踪攻击意图,支持全量日志威胁狩猎、全网行为分析与远程调查取证,精准还原威胁传播路径、影响范围及攻击目的,为安全整改提供依据;3. 全流程闭环防护,事前通过漏扫、弱口令识别、安全基线核查等排查风险,事中依托多引擎实时监控,发现威胁即执行隔离、阻断等止损操作,事后通过日志分析、进程调用链溯源防范复发。
核心功能涵盖:事前排查预防(病毒查杀、USB 设备管控、资产盘点、漏洞扫描修复等);事中检测响应(IOC/IOA 检测、文件诱饵捕获、勒索防护、终端隔离、进程阻断等);事后追溯溯源(日志狩猎、攻击链分析、远程取证、漏洞复查等)。产品适配 Windows、Linux、Android、国产信创、虚拟化平台等多系统环境,支持内网、外网、工控网络、隔离网等多场景部署,部署模式包括私有化部署(适配大型集团及物理隔离网络)与公有云部署(支持快速接入)。
典型应用场景包括:攻防演练中的威胁检测与快速响应,作为纵深防护体系终端抓手,实现全流程安全支撑;等保合规基线核查,通过自动化扫描满足等保三级等合规要求,可视化呈现合规率并提供整改方案;移动设备统一监管,实现 BYOD 终端管理、个人隐私保护与家人亲情守护,覆盖多维度终端安全需求。
