Antimalware Scan Interface

Das Antimalware Scan Interface (AMSI) ist eine von Microsoft entwickelte Programmierschnittstelle, die dazu dient, Schadprogramme (englisch Malware) effektiver zu erkennen und zu bekämpfen.^[1][2] Sie ermöglicht die Zusammenarbeit zwischen Anwendungen und Antivirenprogrammen, indem sie Antimalware-Scans innerhalb des Programmablaufs ermöglicht. Via AMSI können Programme dynamisch generierte Codefragmente oder aus anderen Quellen (z. B. aus dem Internet) bezogene Plugins von Drittanbietern, die zur Laufzeit ausgeführt werden sollen, auf schädliches Verhalten untersucht werden.^[3] Die Einführung von AMSI stellt einen wichtigen Schritt im Bereich der Informationssicherheit dar, um die Fähigkeiten zur Erkennung und Abwehr von Bedrohungen zu verbessern.

Funktionsweise

AMSI ist eine Schnittstelle, die seit Windows 10 in den Betriebssystemen von Microsoft implementiert ist, um eine tiefere und effektivere Integration von Antimalware-Programmen in Softwareanwendungen zu ermöglichen. AMSI ist in der Lage, verdächtige Aktivitäten und Inhalte während der Laufzeit eines Programms in Echtzeit zu erkennen und zu blockieren.

Die Funktionsweise von AMSI basiert auf einem mehrstufigen Prozess, der eine gründliche Analyse von ausführbarem Code und skriptbasierten Inhalten ermöglicht. Dieser Prozess kann in folgenden Schritten zusammengefasst werden:^[1]

1. Aufruf der Schnittstelle: Eine Anwendung, sei es ein Programm oder ein Skript, ruft die AMSI-Schnittstelle auf, wenn sie einen potenziell schädlichen Code ausführen möchte. Dies geschieht entweder direkt durch die Anwendung oder durch die Umleitung von entsprechenden Betriebssystem-APIs.
2. Inhaltliche Analyse: Der übergebene Code oder Inhalt wird in kleinere Einheiten, wie z. B. Zeichenketten oder Bytefolgen, aufgeteilt. Dies ermöglicht eine detaillierte und granulare Analyse der Inhalte.
3. Scanning durch Antimalware-Produkte: Die auf dem System installierte Antimalware-Software wird nun aufgerufen, um die übermittelten Inhalte zu überprüfen. Diese Software nutzt ihre Signaturen und heuristischen Algorithmen, um nach bekannten Schadmustern zu suchen und verdächtige Aktivitäten zu identifizieren.
4. Generierung von Berichten und Bewertungen: Basierend auf den Ergebnissen der Überprüfung generiert die Antimalware-Software Berichte über die erkannten Aktivitäten und deren potenzielle Risiken. Diese Informationen werden an die AMSI-Schnittstelle zurückgegeben.
5. Entscheidungsprozess: Die AMSI-Schnittstelle entscheidet basierend auf den Berichten der Antimalware-Software, ob der übermittelte Code oder Inhalt als schädlich oder unbedenklich eingestuft wird. Bei Verdacht auf Schadhaftigkeit können entsprechende Aktionen ergriffen werden, wie z. B. die Blockierung der Ausführung.

Ein Schlüsselmerkmal von AMSI ist seine Fähigkeit, nicht nur auf traditionelle ausführbare Dateien, sondern auch auf Skripte zuzugreifen.^[1] Dies ist entscheidend, da moderne Malware oft Skripte verwendet, um sich auf einem System auszubreiten oder ihre schädlichen Aktivitäten zu tarnen. Insbesondere gilt das auch für dateilose Bedrohungen, also Schadcode, der zur Laufzeit dynamisch generiert wird und nur im Arbeitsspeicher existiert.^[4][5] Durch die Einbindung von AMSI in Laufzeitumgebungen für Skriptsprachen wie PowerShell, Windows Script Host (u. a. VBScript und JScript) und VBA-Makros in Microsoft Office wird die Wirksamkeit von Antimalware-Programmen erheblich verbessert.^[1][6] Durch einfache Code-Obfuskation lässt sich eine AMSI-Überprüfung nicht umgehen oder beeinflussen, da die Prüfung unmittelbar vor der Ausführung durch die Laufzeitumgebung stattfindet und zu diesem Zeitpunkt unverschleiert vorliegen muss.^[4][7]

Standardmäßig werden die Anfragen an die AMSI-Schnittstelle durch den Microsoft Defender bearbeitet. Allerdings können auch andere Antivirenprogramme hierfür registriert werden, sofern dies durch den Hersteller und die Benutzereinstellungen unterstützt wird.^[3] Es können mehrere AMSI-Anbieter registriert werden, die nacheinander durchlaufen werden.^[8]

Kritik

Trotz seiner potenziellen Vorteile und der Fortschritte im Bereich der Malware-Erkennung hat das Antimalware Scan Interface (AMSI) auch Kritik und Bedenken hervorgerufen. Einige Sicherheitsexperten argumentieren, dass AMSI nicht immun gegen Umgehungsversuche und Fehlklassifikation ist.^[9] Angreifer könnten versuchen, die AMSI-Überprüfung zu umgehen, indem sie Techniken anwenden, die schädlichen Code vor der Erkennung verbergen oder den AMSI-Prozess selbst manipulieren.^[10][11][12] Zudem können Fehlalarme auftreten, bei denen legitimer Code fälschlicherweise als schädlich eingestuft wird, was zu Unterbrechungen in rechtmäßigen Aktivitäten führen kann. Obwohl AMSI zweifellos eine wichtige Rolle im Schutz vor Malware spielt, sind solche Bedenken wichtige Aspekte, die bei der Entwicklung und Implementierung dieser Technologie berücksichtigt werden müssen.

Einzelnachweise

1. Alvin Ashcraft et al.: Antimalware Scan Interface (AMSI). In: learn.microsoft.com. Microsoft, 4. Juli 2023, abgerufen am 3. August 2023. 
2. Über den Schutz mithilfe von Antimalware Scan Interface. In: support.kaspersky.com. AO Kaspersky Lab, 31. August 2020, abgerufen am 3. August 2023 (englisch). 
3. Jo Bager et al.: Die Neuerungen. In: c’t: Windows 10 – Das Kompendium. Heise Medien, 2016, ISBN 978-3-95788-078-9, Sicherheit, S. 15 f. (eingeschränkte Vorschau in der Google-Buchsuche). 
4. Alvin Ashcraft: Wie das Antimalware Scan Interface (AMSI) Ihnen hilft, sich gegen Schadsoftware zu schützen. In: learn.microsoft.com. Microsoft, 4. Juli 2023, abgerufen am 15. August 2023. 
5. Daniel Simpson et al.: Dateilose Bedrohungen. In: learn.microsoft.com. Microsoft, 23. August 2019, abgerufen am 15. August 2023. 
6. Office VBA + AMSI: Parting the veil on malicious macros. In: microsoft.com. Microsoft, 12. September 2018, abgerufen am 14. August 2023 (englisch). 
7. Mathias Gut, Markus Kammermann: CompTIA Security+: IT-Sicherheit verständlich erklärt – Die umfassende Prüfungsvorbereitung zur CompTIA-Prüfung SYO-601. MITP, 2021, ISBN 978-3-7475-0256-3, S. 341 (eingeschränkte Vorschau in der Google-Buchsuche). 
8. Tal Liberman: The Rise and Fall of AMSI. (PDF 2,7 MB) In: Black Hat Briefings. Polarium, 2018, S. 46–49, abgerufen am 17. August 2023 (englisch). 
9. Charlie Osborne: This is how attackers bypass Microsoft’s AMSI anti-malware scanning protection. In: zdnet.com. ZDNet, 2. Juni 2021, abgerufen am 3. August 2023 (englisch). 
10. Panos Gkatziroulis: AMSI Bypass Methods. In: pentestlaboratories.com. Pentest Laboratories, 17. Mai 2021, abgerufen am 13. August 2023 (englisch). 
11. Mesut Cetin: AMSI Bypass 2023: 5 Techniken für EDR/AV-Systeme. In: redteamer.de. RedTeamer IT Security, 14. Juli 2023, abgerufen am 13. August 2023. 
12. Surya Dev Singh: AMSI Bypass New Way 2023. In: infosecwriteups.com. 11. März 2023, abgerufen am 13. August 2023 (englisch).