Демонстрации AMSI с Microsoft Defender для конечной точки

Microsoft Defender для конечной точки использует интерфейс проверки антивредоносных программ (AMSI) для повышения защиты от вредоносных программ без файлов, динамических атак на основе скриптов и других нетрадиционных киберугроз. В этой статье описано, как протестировать подсистему AMSI с помощью некачественного примера.

Предварительные требования

• Microsoft Defender антивирусную программу (в качестве основной) и необходимо включить следующие возможности:
  • Защита Real-Time (RTP)
  • Мониторинг поведения (BM)
  • Включение сканирования скриптов

Поддерживаемые операционные системы

• Windows 10 и более поздние версии
• Windows Server 2016 и более поздних версий

Тестирование AMSI с помощью Defender для конечной точки

В этой демонстрационной статье вы можете протестировать AMSI двумя способами:

• PowerShell
• VBScript

Тестирование AMSI с помощью PowerShell

1. Сохраните следующий сценарий PowerShell как AMSI_PoSh_script.ps1:

   $testString = "AMSI Test Sample: " + "7e72c3ce-861b-4339-8740-0ac1484c1386"
   Invoke-Expression $testString
   ```powershell
   
   

2. На устройстве откройте PowerShell от имени администратора.

3. Введите Powershell -ExecutionPolicy Bypass AMSI_PoSh_script.ps1, а затем нажмите клавишу ВВОД.

   Результат должен выглядеть следующим образом:

      Invoke-Expression : At line:1 char:1
   
      + AMSI Test Sample: 7e72c3ce-861b-4339-8740-8ac1484c1386
   
      + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
   
      This script contains malicious content and has been blocked by your antivirus software.
   
      At C:\Users\Admin\Desktop\AMSI_PoSh_script.ps1:3 char:1
   
      + Invoke-Expression $testString
   
      + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
   
      + CategoryInfo          : ParserError: (:) [Invoke-Expression], ParseException
   
      + FullyQualifiedErrorId : ScriptContainedMaliciousContent,Microsoft.PowerShell.Commands.InvokeExpressionCommand
       ```
   
   

Тестирование AMSI с помощью VBScript

1. Сохраните следующий VBScript как AMSI_vbscript.vbs:

   REM Save this sample AMSI vbscript as AMSI_vbscript.vbs
   Dim result
   result = eval("AMSI Test Sample: " + "7e72c3ce-861b-4339-8740-0ac1484c1386")
   WScript.Echo result
   

2. На устройстве Windows откройте командную строку от имени администратора.

3. Введите wscript AMSI_vbscript.vbs, а затем нажмите клавишу ВВОД.

   Результат должен выглядеть следующим образом:

   Windows Script Host
   
   Script: C:\Users\Admin\Desktop\AMSI_vbscript.vbs
   
   Line: 3
   
   Char: 1
   
   Error: This script contains malicious content and has been blocked by your antivirus software.: 'eval'
   
   Code: 800A802D
   
   Source: Microsoft VBScript runtime error
   

Проверка результатов теста

В журнале защиты должны отображаться следующие сведения:

Threat blocked

Detected: Virus: Win32/MpTest!amsi

Status: Cleaned

This threat or app was cleaned or quarantined before it became active on your device.

Details: This program is dangerous and replicates by infecting other files.

Affected items:

amsi: \Device\HarddiskVolume3\Windows\System32\WindowsPowershell\v1.0\powershell.exe

or

amsi: C:\Users\Admin\Desktop\AMSI_vbscript.vbs

and/or you might see:

Threat blocked

Detected: Virus: Win32/MpTest!amsi

Status: Cleaned

This threat or app was cleaned or quarantined before it became active on your device.

Details: This program is dangerous and replicates by infecting other files

Получение списка угроз антивирусной программы Microsoft Defender

Вы можете просмотреть обнаруженные угрозы с помощью журнала событий или PowerShell.

Использование журнала событий

1. Перейдите в меню Пуск и найдите EventVwr.msc. Откройте Просмотр событий в списке результатов.

2. Перейдите в раздел Приложения и службы Журналы операционных>>событий MicrosoftWindows> Defender.

3. event ID 1116Найдите . Вы должны увидеть следующие сведения:

   
   Microsoft Defender Antivirus has detected malware or other potentially unwanted software.
   
   For more information please see the following: https://go.microsoft.com/fwlink/?linkid=37020&name=Virus:Win32/MpTest!amsi&t
   
   Name: Virus:Win32/MpTest!amsi
   
   ID: 2147694217
   
   Severity: Severe
   
   Category: Virus
   
   Path: \Device\HarddiskVolume3\Windows\System32\WindowsPowerShell\v1.0\powershell.exe or C:\Users\Admin\Desktop\AMSI_jscri
   
   Detection Origin: Local machine or Unknown
   
   Detection Type: Concrete
   
   Detection Source: System
   
   User: NT AUTHORITY\SYSTEM
   
   Process Name: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe or C:\Windows\System32\cscript.exe or C:\Windows\Sy
   
   Security intelligence Version: AV: 1.419.221.0, AS: 1.419.221.0, NIS: 1.419.221.0
   
   Engine Version: AM: 1.1.24080.9, NIS: 1.1.24080.9
   

Воспользуйтесь PowerShell

1. На устройстве откройте PowerShell.

2. Введите следующую команду: Get-MpThreat.

   Вы можете увидеть следующие результаты:

   CategoryID     : 42
   
   DidThreatExecute : True
   
   IsActive       : True
   
   Resources      :
   
   RollupStatus   : 97
   
   SchemaVersion  : 1.0.0.0
   
   SeverityID     : 5
   
   ThreatID       : 2147694217
   
   ThreatName     : Virus:Win32/MpTest!amsi
   
   TypeID         : 0
   
   PSComputerName :
   

См. также

Microsoft Defender для конечной точки — демонстрационные сценарии