AMSI-Demonstrationen mit Microsoft Defender for Endpoint

Microsoft Defender for Endpoint nutzt das Antimalware Scan Interface (AMSI), um den Schutz vor dateiloser Schadsoftware, dynamischen skriptbasierten Angriffen und anderen nicht traditionellen Cyberbedrohungen zu verbessern. In diesem Artikel wird beschrieben, wie Sie die AMSI-Engine mit einer gutartigen Probe testen.

Prerequsites

• Microsoft Defender Antivirus (als primär) und diese Funktionen müssen aktiviert werden:
  • Real-Time Protection (RTP)
  • Verhaltensüberwachung (BM)
  • Aktivieren der Skriptüberprüfung

Unterstützte Betriebssysteme

• Windows 10 und höher
• Windows Server 2016 und höher

Testen von AMSI mit Defender für Endpunkt

In diesem Demoartikel haben Sie zwei Engine-Optionen zum Testen von AMSI:

• PowerShell
• VBScript

Testen von AMSI mit PowerShell

1. Speichern Sie das folgende PowerShell-Skript als AMSI_PoSh_script.ps1:

   $testString = "AMSI Test Sample: " + "7e72c3ce-861b-4339-8740-0ac1484c1386"
   Invoke-Expression $testString
   ```powershell
   
   

2. Öffnen Sie PowerShell auf Ihrem Gerät als Administrator.

3. Geben Sie Powershell -ExecutionPolicy Bypass AMSI_PoSh_script.ps1ein, und drücken Sie dann die Eingabetaste.

   Das Ergebnis sollte wie folgt aussehen:

      Invoke-Expression : At line:1 char:1
   
      + AMSI Test Sample: 7e72c3ce-861b-4339-8740-8ac1484c1386
   
      + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
   
      This script contains malicious content and has been blocked by your antivirus software.
   
      At C:\Users\Admin\Desktop\AMSI_PoSh_script.ps1:3 char:1
   
      + Invoke-Expression $testString
   
      + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
   
      + CategoryInfo          : ParserError: (:) [Invoke-Expression], ParseException
   
      + FullyQualifiedErrorId : ScriptContainedMaliciousContent,Microsoft.PowerShell.Commands.InvokeExpressionCommand
       ```
   
   

Testen von AMSI mit VBScript

1. Speichern Sie das folgende VBScript als AMSI_vbscript.vbs:

   REM Save this sample AMSI vbscript as AMSI_vbscript.vbs
   Dim result
   result = eval("AMSI Test Sample: " + "7e72c3ce-861b-4339-8740-0ac1484c1386")
   WScript.Echo result
   

2. Öffnen Sie auf Ihrem Windows-Gerät die Eingabeaufforderung als Administrator.

3. Geben Sie wscript AMSI_vbscript.vbsein, und drücken Sie dann die Eingabetaste.

   Das Ergebnis sollte wie folgt aussehen:

   Windows Script Host
   
   Script: C:\Users\Admin\Desktop\AMSI_vbscript.vbs
   
   Line: 3
   
   Char: 1
   
   Error: This script contains malicious content and has been blocked by your antivirus software.: 'eval'
   
   Code: 800A802D
   
   Source: Microsoft VBScript runtime error
   

Überprüfen der Testergebnisse

In Ihrem Schutzverlauf sollten die folgenden Informationen angezeigt werden:

Threat blocked

Detected: Virus: Win32/MpTest!amsi

Status: Cleaned

This threat or app was cleaned or quarantined before it became active on your device.

Details: This program is dangerous and replicates by infecting other files.

Affected items:

amsi: \Device\HarddiskVolume3\Windows\System32\WindowsPowershell\v1.0\powershell.exe

or

amsi: C:\Users\Admin\Desktop\AMSI_vbscript.vbs

and/or you might see:

Threat blocked

Detected: Virus: Win32/MpTest!amsi

Status: Cleaned

This threat or app was cleaned or quarantined before it became active on your device.

Details: This program is dangerous and replicates by infecting other files

Abrufen der Liste der Microsoft Defender Antivirus-Bedrohungen

Sie können erkannte Bedrohungen mithilfe des Ereignisprotokolls oder mithilfe von PowerShell anzeigen.

Verwenden des Ereignisprotokolls

1. Wechseln Sie zu Start, und suchen Sie nach EventVwr.msc. Öffnen Sie Ereignisanzeige in der Ergebnisliste.

2. Wechseln Sie zu Anwendungen und Dienste Protokolle>Microsoft>Windows>Windows Defender-Betriebsereignisse.

3. Suchen Sie nach event ID 1116. Die folgenden Informationen sollten angezeigt werden:

   
   Microsoft Defender Antivirus has detected malware or other potentially unwanted software.
   
   For more information please see the following: https://go.microsoft.com/fwlink/?linkid=37020&name=Virus:Win32/MpTest!amsi&t
   
   Name: Virus:Win32/MpTest!amsi
   
   ID: 2147694217
   
   Severity: Severe
   
   Category: Virus
   
   Path: \Device\HarddiskVolume3\Windows\System32\WindowsPowerShell\v1.0\powershell.exe or C:\Users\Admin\Desktop\AMSI_jscri
   
   Detection Origin: Local machine or Unknown
   
   Detection Type: Concrete
   
   Detection Source: System
   
   User: NT AUTHORITY\SYSTEM
   
   Process Name: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe or C:\Windows\System32\cscript.exe or C:\Windows\Sy
   
   Security intelligence Version: AV: 1.419.221.0, AS: 1.419.221.0, NIS: 1.419.221.0
   
   Engine Version: AM: 1.1.24080.9, NIS: 1.1.24080.9
   

PowerShell verwenden

1. Öffnen Sie PowerShell auf Ihrem Gerät.

2. Geben Sie den folgenden Befehl ein: Get-MpThreat.

   Möglicherweise werden die folgenden Ergebnisse angezeigt:

   CategoryID     : 42
   
   DidThreatExecute : True
   
   IsActive       : True
   
   Resources      :
   
   RollupStatus   : 97
   
   SchemaVersion  : 1.0.0.0
   
   SeverityID     : 5
   
   ThreatID       : 2147694217
   
   ThreatName     : Virus:Win32/MpTest!amsi
   
   TypeID         : 0
   
   PSComputerName :
   

Siehe auch

Microsoft Defender for Endpoint : Demonstrationsszenarien