AMSIext, nossa extensão que detecta malware na memória do navegador

Anti-malware (AMSI) procura resolver um problema ao longo da vida no setor da indústria de antivírus. Foi introduzido no Windows 10 e procura estabelecer um canal de comunicação nativo entre o sistema operacional e o antivírus sem a necessidade de tocar em um disco, fazer chamadas de I/O, etc. Ou seja, conectar a memória a um sistema de detecção de maneira simples. Isso é ideal para as chamadas de scripts que avaliam e reconstroem sua carga maliciosa na memória, mas não são detectadas no disco. Portanto, a Microsoft já conecta o Powershell e o Office ao AMSI, para que a memória desses processos seja analisada. Mas e os navegadores? Esta extensão corrige.

A evolução do malware

No início, era o vírus: trechos de código de montagem que eram concatenados para arquivos, modificando seu ponto de entrada, mais tarde, essa técnica foi distorcida e aprimorada até seus limites, buscando a execução, reprodução automática, a independência de um «convidado» (o malware há muito tempo é  independente  ) e passando despercebido pelo radar do antivírus.

«Tocar em disco» parece ser a premissa de infectar, mas também uma condenação, porque é quando os scanners antivírus começam a ser analisados. Se o malware conseguisse evitar esse pedágio, eles poderiam escapar dos detectores. Essa técnica foi denominada sem arquivo e procurava uma fórmula etérea na qual permanecer na memória o máximo possível, evitando tocar no disco ou atrasá-lo ao máximo, sem aterrissar no disco, que é rigidamente controlado pelo antivírus. O arquivo sem arquivo foi aperfeiçoado a tal ponto que já existe uma fórmula nativa do Windows para mitigá-lo o máximo possível. O AMSI é um sistema que facilita a conexão de qualquer fluxo de informações na memória com o antivírus.

Como o AMSIext funciona

Nossa extensão conecta o navegador à AMSI, transmite ao sistema AMSI (estático) todos os scripts em potencial que passam pelo navegador antes de atingirem o disco e os analisa para interromper a navegação, se necessário. Funciona de duas maneiras:

• Se detectar páginas ou arquivos com as extensões «js», «ps1», «vbs», «hta», «vb», «vbe», «bat», «cmd», «jse», «wsf», «ws «,» Msh «,» msh1 «,» msh2 «,» mshxml «,» msh1xml «e» msh2xml «no navegador, ou mesmo uma única página apontando para eles, bloquearão a web. Isso evita que o script precise tocar no disco para ser detectado pelo antivírus tradicional.
• Adicione uma opção de clique com o botão direito do mouse para enviar rapidamente qualquer script para o ASMI.

Depois que o enviamos para a AMSI, geralmente é o Windows Defender (embora outros antivírus possam estar associados a ele) que fica encarregado de avaliar a maldade do script. A extensão não é avaliada por si só, serve apenas como uma interface entre o navegador e a AMSI, que por sua vez a envia para o Windows Defender.

Em resumo, é uma fórmula muito simples para se proteger contra scripts maliciosos muito mais cedo do que o habitual. O sistema, caso o Windows Defender esteja errado, tem a possibilidade de criar uma lista branca de domínios.

Este vídeo esclarece como funciona:

O AMSIext está disponível para Chrome e Firefox e está na versão beta (com muitas melhorias em potencial, incluindo o logotipo) e iremos atualizá-lo no futuro.

Esperamos que ache isso útil.