{"id":201087,"date":"2018-02-19T19:28:06","date_gmt":"2018-02-19T18:28:06","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=201087"},"modified":"2020-05-05T18:25:14","modified_gmt":"2020-05-05T16:25:14","slug":"windows10-null-zeichen-ermglichte-anti-malware-bypass","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2018\/02\/19\/windows10-null-zeichen-ermglichte-anti-malware-bypass\/","title":{"rendered":"Windows 10: Null-Zeichen ermöglichte Anti-Malware-Bypass"},"content":{"rendered":"

[English<\/a>]In Windows 10 gab es einen Bug, der es Schadsoftware erm\u00f6glichte, durch ein eingef\u00fcgtes Null-Zeichen das Anti-Malware Scan Interface (AMSI) von Windows 10 auszutricksen. Das Zeichen bewirkte schlicht, dass der Code nicht gescannt wurde. Der Bug wurde beim Februar 2018-Patchday beseitigt. <\/p>\n

<\/p>\n

Was ist das Anti-Malware Scan Interface (AMSI)?<\/h2>\n

\"\"Die Antimalware Scan Interface (AMSI) ist ein generischer Schnittstellenstandard, der es Anwendungen und Diensten erm\u00f6glicht, sich in jedes beliebige Anti-Malware-Produkt auf einer Maschine zu integrieren. Es bietet einen verbesserten Schutz vor Malware f\u00fcr Benutzer und deren Daten, Anwendungen und Workloads. <\/p>\n

Das Ganze wurde mit Windows 10 eingef\u00fchrt \u2013 ich hatte im Blog-Beitrag Windows 10: Welche Antivirus-L\u00f6sung soll ich einsetzen?<\/a> 2015 kurz auf das Thema hingewiesen. Vorgestellt wurde das Thema im Sommer 2015 in diesem Microsoft Blog-Beitrag<\/a>. Weitere Details lassen sich bei MSDN in diesem Artikel<\/a> nachlesen. <\/p>\n

Bypassing-Bug im Anti-Malware Scan Interface <\/h2>\n

Der Sicherheitsforscher Satoshi Tanda aus Vancouver (Kanada) hat einen Bug im Anti-Malware Scan Interface gefunden. Wird in einer Datei ein Null-Zeichen (00H) eingef\u00fcgt, wird einfach der Rest der Datei nicht mehr gescannt. Das Null-Zeichen fungiert wie eine End-of-File (EOF) Marke. Ein Malware-Entwickler k\u00f6nnte dann Malware hinter dem Null-Zeichen ablegen, die beim Scan nicht erkannt w\u00fcrde. <\/p>\n

Dieser Blog-Beitrag<\/a> von Tanda geht auf die technischen Details ein. In K\u00fcrze: Die System.Management.Automation.dll<\/em> ber\u00fccksichtigte nicht, dass in PowerShell-Dateien solche Null-Zeichen vorkommen d\u00fcrfen. Tanda hat dann PowerShell-Scripte mit solchen Null-Zeichen erstellt und zum Scan an die AMSI-Provider \u00fcbergeben. Erwartungsgem\u00e4\u00df wurden die 'sch\u00e4dlichen' Script-Bestandteile hinter dem Null-Zeichen nicht erkannt, da nicht gescannt. <\/p>\n

\"Erkannter
(Quelle: standa-note.blogspot.de<\/a>)<\/p>\n

Im Blog-Beitrag hat er ein Beispiel ver\u00f6ffentlicht, in dem eine PowerShell-Anweisung ein Mimikatz-Exploit aus dem Internet herunter l\u00e4dt. Erwartungsgem\u00e4\u00df schl\u00e4gt die Thread-Protection (in obigem Bild ist dies der Windows Defender) bei der Ausf\u00fchrung des PowerShell-Scripts an. <\/p>\n

\"Mit(Quelle: standa-note.blogspot.de<\/a>)<\/p>\n

Dann hat er ein Null-Zeichen im PowerShell-Script eingef\u00fcgt (obiger Screenshot, rechtes Fenster) und dieses erneut unter Windows 10 ausf\u00fchren lassen. <\/p>\n

\"Befehlszeile
(Quelle: standa-note.blogspot.de<\/a>)<\/p>\n

Das obige Fenster der Eingabeaufforderung zeigt, dass das PowerShell-Scripts ausgef\u00fchrt wurde. Im Blog-Beitrag beschreibt Tanda  seine Vorgehensweise. In Kurzfassung: Ein Null-Zeichen reicht zur Maskierung des Schadcodes, obwohl dieser anschlie\u00dfend ausgef\u00fchrt werden kann. <\/p>\n<\/p>\n

Microsoft hat inzwischen das Problem mit dem Februar 2018-Patchday behoben, wie Tanda schreibt. Aber er empfiehlt Drittanbietern ihre Antimalware-Produkte dahingehend zu \u00fcberpr\u00fcfen, ob diese Null-Zeichen tolerieren und die gesamte Datei scannen. Die Episode zeigt wieder einmal, auf welch wackeligem Fundament wir \u2013 auch mit Windows 10 \u2013 wandeln. (via<\/a>)<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]In Windows 10 gab es einen Bug, der es Schadsoftware erm\u00f6glichte, durch ein eingef\u00fcgtes Null-Zeichen das Anti-Malware Scan Interface (AMSI) von Windows 10 auszutricksen. Das Zeichen bewirkte schlicht, dass der Code nicht gescannt wurde. Der Bug wurde beim Februar 2018-Patchday … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,3694],"tags":[4328,4378],"class_list":["post-201087","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows-10","tag-sicherheit","tag-windows-10"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/201087","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=201087"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/201087\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=201087"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=201087"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=201087"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}