AMSI (ANTİMALWARE SCAN INTERFACE)

NEDİR VE NE İÇİN KULLANILIR?

Merhaba değerli okuyucularım,
Hiç düşündünüz mü, bilgisayarınızda çalışan bir komut veya makronun daha siz fark etmeden antivirüs tarafından nasıl engellendiğini? İşte bugün sizlere bu sürecin merkezinde yer alan AMSI (Antimalware Scan Interface) teknolojisinden bahsedeceğim. Günümüzün en sinsi saldırılarından biri olan dosyasız zararlılara karşı en güçlü savunmalardan birini sunan AMSI’nin çalışma mantığını, neden önemli olduğunu ve güvenlik ekosistemindeki yerini mümkün olduğunca açıklayıcı ve detaylı bir şekilde aktarmak istedim. Keyifli okumalar dilerim.

Microsoft, kullanıcıların zararlı yazılımlara karşı daha etkili biçimde korunabilmesi için AMSI (Antimalware Scan Interface) adını verdiği koruma bileşenini geliştirmiştir. Türkçe karşılığıyla Kötü Amaçlı Yazılım Tarama Arayüzü olan bu sistem, uygulama ve servislerin bilgisayarda yüklü güvenlik ürünleriyle entegre çalışmasını sağlayan kapsamlı bir güvenlik standardıdır.

Microsoft tarafından 2015 yılında kullanıma sunulan ve Windows işletim sisteminde yer alan, uygulama ve hizmetlerin bilgisayardaki güvenlik ürünleriyle entegrasyonunu sağlayan bağımsız bir güvenlik katmanıdır. Bu yapı, sistemin iş yükleri ve uygulamalarını; tehlike oluşturabilecek kötü amaçlı yazılımlar ve zararlı scriptler de dâhil olmak üzere farklı saldırılardan koruma işlevi görür. Varsayılan olarak Windows Defender, yürütülmek istenen zararlı kodları engellemek için Windows Script Host aracılığıyla PowerShell komutlarını, VBA makrolarını ve JavaScript gibi çalıştırılabilir kodları AMSI API’sine gönderir; içerikte şüpheli veya zararlı bir ifade tespit edilirse bu kodun çalışmasını engeller.

AMSI ile tümleşen Windows bileşenleri

AMSI özelliği, Windows 10'un bu bileşenleriyle tümleşiktir.

• Kullanıcı Hesabı Denetimi veya UAC (EXE, COM, MSI veya ActiveX yüklemesinin yükseltilmesi)
• PowerShell (betikler, etkileşimli kullanım ve dinamik kod değerlendirmesi)
• Office VBA makroları
• Windows Betik Konağı (wscript.exe ve cscript.exe)
• JavaScript ve VBScript

Örneğin bir Word belgesi açıldığında, içerisinde internet üzerinden zararlı yazılım indirmeyi amaçlayan bir VBA makrosu bulunabilir. Normal koşullarda bu makro çalıştığında, zararlı kod sisteme indirilip yürütülebilir. Ancak AMSI devreye girerek ilgili makroyu antivirüs motoruna iletir ve şüpheli komutları tespit ettiğinde çalışmasına izin vermez.

Bu komutlar powershell üzerine yazılmaya çalışıldığında AMSI aktif ise komut antivirüs tarafından taranır; zararlı içerik belirlenirse yürütme engellenir ve böylece olası saldırı önlenmiş olur.

Tipik antivirüs çözümleri dosya tabanlı tarama gerçekleştirir, yani yalnızca sabit diskte bulunan dosyaları kontrol ederek kötü amaçlı içeriği engellemeye çalışır. Ancak yeni saldırılar, kötü amaçlı yazılımların bellekte ve betikler (PowerShell, JavaScript, VBA makrosu gibi) aracılığıyla çalıştırılması ve dolayısıyla dosyaların kullanılmaması gerçeğinden yararlanır. İşte tam bu noktada AMSI devreye girer.

AMSI'nin işlevi, önerilen kodu veya komutu çalıştırmadan önce antivirüs motoruna iletmek ve kötü amaçlı olup olmadığını belirlemektir. Kod şüpheli olarak değerlendirildiğinde yürütülmesi engellenir. Bu nedenle bir makro ya da PowerShell komutu istem dışı çalıştırılsa dahi, AMSI devreye girerek saldırının gerçekleşmesini önler.

AMSI tek bir satıcıya bağlı değildir. İnsanlar onu Windows Defender ile ilişkilendirse de, herhangi bir üçüncü taraf antivirüs ürünü de AMSI'ye katılabilir. Dosyaları, bellek içeriğini ve URL/IP tabanlı içerikler de dahil olmak üzere akışları inceleyen çok katmanlı tarama özellikleri sunar. PowerShell ve WSH'den (Windows Script Host) gelen kodu incelediği için Javascript/VBscript ve Office VBA makrolarını da içerir.

Neden Önemlidir?

• Günümüzde saldırıların büyük kısmı dosya yerine bellek üzerinden gerçekleştiği için, klasik antivirüslerin yakalayamadığı tehditlerin tespit edilmesini sağlar.
• Makro, betik veya PowerShell tabanlı zararlı kodların istem dışı çalıştırılmasını engeller.
• Birden fazla güvenlik yazılımıyla uyumlu çalışabilmesi, esnek ve güçlü bir koruma mekanizması sunar.

AMSI Nasıl Çalışır?

1. Sürecin Başlatılması

Bir uygulama (örneğin PowerShell) çalıştırıldığında, işletim sistemi otomatik olarak amsi.dll dosyasını o sürecin belleğine yükler. Bu sayede ilgili uygulamanın çalıştıracağı her komut veya betik AMSI tarafından taranabilir hale gelir.

2. İçeriğin Hazırlanması

Kullanıcı veya saldırgan bir komut yazdığında ya da bir betik çalıştırmak istediğinde, bu içerik AMSI’ye uygun şekilde hazırlanır.

• AmsiScanString(): Normal metin tabanlı içerikler (örneğin bir PowerShell komutu).
• AmsiScanBuffer(): Bellekteki daha karmaşık veriler (örneğin Base64 ile encode edilmiş veya obfuscate edilmiş bir script).

3. Komutun Yakalanması

Çalıştırılacak kod, yürütülmeden hemen önce AMSI’ye teslim edilir. Bu aşama kritik bir noktadır çünkü kullanıcıya komut sanki normal akışta ilerliyormuş gibi görünür, ancak sistem arka planda bir güvenlik kontrolü yapmaktadır.

4. Güvenlik Motoruna Gönderim

AMSI, aldığı veriyi bilgisayarda kurulu güvenlik çözümüne (örneğin Windows Defender veya kurumsal bir antivirüs/EDR ürünü) iletir. Burada devreye imza tabanlı analiz ve bazen de davranışsal analiz (heuristic/ML tabanlı) girer.

5. Karar ve Uygulama

• Eğer içerik zararlı olarak tanımlanırsa, komutun yürütülmesi engellenir ve kullanıcı PowerShell ekranında “Bu komut engellendi” gibi bir hata mesajı görür.
• Eğer içerik temiz ise, normal şekilde çalışmaya devam eder.

AmsiScanString(): Metin tabanlı içerikleri (ör. PowerShell komutu, betik satırı) tarar.

AmsiScanBuffer(): Bellek bloklarını veya ham verileri analiz eder.

amsi.dll dosyası, Windows’ta AMSI özelliğinin uygulanmasını sağlayan temel bileşendir. Bu dosya, AMSI’nin başlatılması, yapılandırılması ve kullanılması için gerekli işlevleri barındırır. Ayrıca AMSI motorunun belleğe yüklenmesi ve ihtiyaç halinde kaldırılmasından da sorumludur.

Akış: Komut/Betik → amsi.dll → AmsiScanString/AmsiScanBuffer → Güvenlik motoru → Engelle veya İzin ver.

2024-2025 Döneminde Keşfedilen Son AMSI Açıkları

 Son yıllarda özellikle 2024 ve 2025 döneminde AMSI’nin (Antimalware Scan Interface) atlatılmasına yönelik yeni yöntemler ortaya çıktı.

AMSI Write Raid (2024) – Offensive Security araştırmacısı Victor Khoury (Vixx) tarafından 2024 başlarında keşfedilen bu yöntem, PowerShell’in çekirdek kütüphanesi olan System.Management.Automation.dll içinde, AmsiScanBuffer fonksiyonunun adresini tutan kaydın yazılabilir olduğunu gösterdi. Normal şartlarda bu işaretçilerin salt-okunur olması gerekirken, bu tasarım açığı sayesinde saldırgan bellek korumasını değiştirmeden işaretçiyi üzerine yazabiliyor ve AMSI’yi etkisiz hale getirebiliyor. Böylece klasik yöntemlerde görülen VirtualProtect çağrılarına da ihtiyaç kalmadığı için, güvenlik ürünleri tarafından tespit edilmesi daha da zorlaşıyor. Khoury bulguyu Microsoft’a bildirdi ve Haziran 2024’te yayımlanan güvenlik güncellemesiyle bu açık kapatıldı.

Patchless Donanım Kesmesi Yöntemi (VEH², 2023/2025) – İlk olarak 2023’te konferanslarda gündeme gelen, 2025 ortasında ise daha geniş şekilde paylaşılan bu teknik, AMSI’yi herhangi bir kod yaması olmadan devre dışı bırakmayı hedefliyor. Burada saldırgan, AmsiScanBuffer fonksiyonuna donanım breakpoint’i koyarak bir Vectored Exception Handler (VEH) tanımlıyor. Fonksiyon çağrıldığında devreye giren bu yakalayıcı, tarama sürecini atlayıp temiz bir dönüş değeri döndürüyor. Bu yöntem bellek içeriğini doğrudan değiştirmediği için çok az iz bırakıyor ve geleneksel izleme yöntemleriyle fark edilmesi oldukça zorlaşıyor. CrowdStrike araştırmaları, bu tekniğin kırmızı takım senaryolarında ve bazı APT grupları tarafından denendiğini ortaya koydu.

CLR.dll Bellek Manipülasyonu (2024-2025) – OffSec’in bulduğu açığa benzer şekilde, .NET çalışma zamanı kütüphanelerinde de AMSI bypass imkanı bulundu. Özellikle clr.dll (PowerShell 5) ve coreclr.dll (PowerShell 7) içinde yazılabilir girişlerin olduğu fark edildi. 2025’te sahada görülen XWorm 6.0 zararlısı tam olarak bu yöntemi kullandı. Netskope araştırmacılarının incelediği örneklerde, XWorm bellek içindeki clr.dll dosyasında “AmsiScanBuffer” metnini bularak yerine null byte’lar yazıyordu. Bu sayede .NET kodları AMSI’ye hiç gönderilmiyor, yani tarama mekanizması tamamen devre dışı kalıyordu. Microsoft Defender dahil pek çok güvenlik ürününü atlatabilen bu teknik, saldırganların PoC seviyesindeki araştırmaları çok hızlı şekilde gerçek saldırılara uyarlayabildiğini gösterdi.

Bypass yöntemleri nelerdir?

AMSI’yi aşmanın pek çok yolu vardır. Bunlardan bazıları sistem yöneticileri tarafından engellense dahi ek bir güvenlik çözümü bulunmadığında bazı durumlarda AMSI yetersiz kalabilmektedir. AMSI’nin bypass teknikleri arasında saldırı araçlarının sunduğu hazır yöntemler olduğu gibi, manuel olarak uygulanabilen yaklaşımlar da mevcuttur. “invoke-mimikatz” veya “amsiutils” gibi anahtar sözcükler, AMSI tarafından doğrudan engellenebildiğinden, bu komutlar ancak bir bypass uygulandıktan sonra çalıştırılabilir. Dolayısıyla kırmızı takım faaliyetlerinde yanal hareket veya ayrıcalık yükseltme amacıyla rastgele kod çalıştırılması gerektiğinde, AMSI’yi atlatmak kritik bir adım hâline gelmektedir.

Yöntem 1: Powershell Sürümünü Düşürme

Windows PowerShell 2.0, Microsoft tarafından kullanımdan kaldırılmış olsa da işletim sistemiyle birlikte hâlâ yüklenmiş durumda olabilir. Eski sürümler, AMSI koruması gibi güvenlik denetimlerini içermediğinden bir güvenlik açığı oluşturur.

$PSVersionTable komutu ile mevcut sürüm kontrol edilebilir.

Eğer sistem PowerShell 5.x veya daha yeni bir sürüm çalıştırıyorsa, AMSI tarafından belirli anahtar kelimelerden olan “amsiutils”, “Invoke-Mimikatz” otomatik olarak engellenir. Ancak sürüm 2.0’a düşürüldüğünde AMSI devre dışı kaldığı için bu tür zararlı komutların çalıştırılması mümkün hale gelir.

  amsiutils → AMSI’nin kontrol edilmesi veya devre dışı bırakılması amacıyla kullanılır.

  Invoke-Mimikatz → Mimikatz aracını PowerShell üzerinden çağırarak kimlik bilgilerini elde etmeye yarar.

Eğer bu kısımda hata alınırsa PowerShell 2.0 sistemde yükle değildir. Bunu düzelmek için .NET Framework 2.0/3.5 desteği kurulmalıdır. Gerekli framework kurulumu tamamlandıktan sonra PowerShell 2.0 aktif hale getirilebilir.

$PSVersionTable komutu ile PowerShell’in 2.0 sürümüne düşürüldüğü doğrulanmıştır. Görüldüğü üzere amsiutils komutu herhangi bir modül olarak tanınmamaktadır. Bu, PowerShell 2.0’da AMSI korumasının bulunmadığını ve kötü amaçlı komutların engellenmeden çalıştırılabileceğini göstermektedir.

Yöntem 2: Base64 Kodlaması

Bu adımda string değerini doğrudan yazmak yerine Base64 formatına çevirerek gizleme (obfuscation) yöntemi kullanılmıştır. Böylece güvenlik yazılımlarının string tabanlı algılamasını zorlaştırmak amaçlanır.

İlk olarak amsiutils ifadesi Base64’e dönüştürülür:

Ardından şifrelenmiş ifade tekrar çözülerek string olarak geri alınır:

Komutlar çalıştırıldığında, çıktıda tekrar amsiutils ifadesi elde edilmektedir. Bu yöntem, kodun doğrudan tespit edilmesini zorlaştırarak AMSI (Antimalware Scan Interface) bypass sürecinde kullanılan bir tekniktir.

Bu şekilde string değer Base64 ile gizlenmiş, ardından çözülerek tekrar orijinal haline getirilmiştir.

Yöntem 3: Kelime ayrıştırma yöntemi

 Kullanılabilecek bir diğer yöntem ise sözdizimini parçalara ayırmaktır. Bir string doğrudan yazıldığında AMSI tarafından imza tabanlı olarak algılanabilir. Ancak stringi böldüğümüzde, amsi.dll bu ifadeyi bütün olarak göremez ve komutu engelleyemez.

Yöntem 4: AMSI Başlatma Hatası

Bu yaklaşımda, AMSI’nin doğru şekilde yüklenmesi engellenerek tarama mekanizmasının devre dışı bırakılması amaçlanır. Böylece, potansiyel olarak zararlı kodlar AMSI tarafından analiz edilmeden çalıştırılabilir. Özellikle kötü amaçlı yazılımlar, bu yöntemi kullanarak sistem üzerinde görünürlüğünü azaltmayı hedefler.

Dikkat edilmesi gereken nokta, bu yöntemin her koşulda kesin bir bypass sağlamadığıdır. Çünkü AMSI’nin devre dışı bırakılması, yalnızca başlatma sürecinin manipüle edilmesiyle sınırlıdır. Daha gelişmiş güvenlik çözümleri veya farklı analiz katmanları, bu tekniği tespit edebilir. Bu nedenle saldırganlar genellikle bu yaklaşımı farklı gizleme veya kaçınma yöntemleriyle desteklemektedir.

  $w, $c, $m değişkenleri: "System.Management.Automation.AmsiUtils" sınıfını parçalayarak gizli bir şekilde birleştiriyor.

  GetType: Bu sınıfı yansıtma (reflection) yöntemiyle alıyor.

  GetField: amsiInitFailed isimli private (özel) alanı seçiyor.

  SetValue($null,$true): Bu alanı true yaparak AMSI’nin başlatılamadığı izlenimini veriyor. Böylece AMSI, yüklenen PowerShell komutlarını tarayamıyor.

  'amsiutils' çıktısı: AMSI Utils sınıfının çağrıldığını gösteriyor.

Yöntem 5: Kayıt Defteri Anahtarı Değişikliği (AMSI Sağlayıcısı)

AMSI’nin kayıt defteri anahtarının silinmesi veya devre dışı bırakılması durumunda, Windows Defender’ın AMSI üzerinden gerçekleştirdiği içerik denetimleri etkisiz hale gelir. Bu sayede. PowerShell, VBScript veya diğer script tabanlı zararlı kodların AMSI tarafından incelenmesi engellenir.

Yöntem 6: DLL Kaçırma

DLL kaçırma tekniklerinden biri, AMSI’yi (Antimalware Scan Interface) kullanıcı alanında devre dışı bırakmak için son derece etkili bir yöntem olarak öne çıkıyor. Windows’ta bir uygulama çalıştırıldığında DLL’ler, uygulamanın bulunduğu dizinde en başta aranır. Eğer aranan isimle bir DLL dosyası o dizinde mevcutsa, sistem onu alır ve belleğe yükler. Bu davranış nihayetinde sahte bir AMSI dosyası oluşturma fikrine yönlendirir.

 Saldırgan, amsi.dll olarak hazırlanmış sahte bir dosyayı PowerShell’in çalıştığı dizine kopyalamaktadır. Yazılım çalıştırıldığında, Windows orijinal dosya yerine sahte dosyayı yükleyecek ve AMSI başlatılamayacağı için arka planda gerçekleşen güvenlik taraması devre dışı kalacaktır.

SensePost grubu, bu tekniği ispatlamaya yönelik bir kanıtı esas bir hâl oluşturdu. Geliştirilen kod, orijinal AMSI fonksiyonlarına referans yaparak bu fonksiyonları boş bırakmakta, böylece PowerShell oluşturulan sahte DLL’i yüklediğinde, AMSI aktifmiş gibi davranılsa da tarama prosesine geçilmez. Bu basit koddan oluşan yapıldıktan sonra amsi.dll adlı dosya olarak PowerShell dizinine bırakıldığında, sistem otomatik olarak orijinal AMSI dosyasına yönlenmiyor ve sahte dosya belleğe alınıyor. Ardından, DOS komutları ya da başka zararlı eylemler PowerShell üzerinden yürütüldüğünde, güvenlik kontrollerini alabilir.

Bu teknikle ilgili daha fazla bilgi ve dll koduna şu makaleden ulaşılmıştır: Resurrecting an Old AMSI Bypass – SensePost (2020).

MITRE ATT&CK Taktik ve Teknikleri

Yukarıdaki tablo, MITRE ATT&CK çerçevesinde yer alan bazı saldırı tekniklerini gözler önüne seriyor. Saldırganların sistemlere sızmak, kalıcılık sağlamak ya da savunma mekanizmalarını aşmak için kullandıkları yöntemler bu şekilde sınıflandırılmış.

Örneğin, T1059.001 (Komut ve Betik Yorumlayıcı), komut satırı veya betik yorumlayıcıları aracılığıyla zararlı kod çalıştırmayı ifade ederken;

T1055.001 (Dinamik Bağlantı Kitaplığı Enjeksiyonu), kötü niyetli DLL dosyalarının meşru süreçlere enjekte edilmesiyle savunmayı aşma tekniğini açıklıyor.

Benzer şekilde, T1132.001 (Veri Kodlama), saldırganların iletişimi gizlemek için verileri farklı formatlarda kodlamasını kapsıyor.

Ayrıca tabloda yer alan T1106 (Yerel API), Windows’un yerel API’lerinin istismarını, T1027 (Karmaşık Dosyalar veya Bilgiler) kötü amaçlı dosyaların gizlenmesini, T1562.001 (Savunmaları Zayıflatma) güvenlik çözümlerinin devre dışı bırakılmasını ve T1574.001 (DLL Arama Sırası Manipülasyonu) ise işletim sisteminin DLL arama sırasının değiştirilerek zararlı kod çalıştırılmasını tanımlıyor.

Bu tekniklerin anlaşılması, saldırıların tespit edilmesi ve uygun savunma önlemlerinin geliştirilmesi açısından son derece önemlidir.

SIEM ve SOC Yaklaşımları

AMSI bypass denemelerini tamamen engellemek her zaman mümkün olmasa da, doğru loglama ve izleme sayesinde SOC ekipleri bu girişimleri tespit edip erken uyarı alabilir. Burada hem Windows logları hem de Sysmon verileri kritik rol oynar.

1. PowerShell Logları

• Event ID 4104 (Script Block Logging): PowerShell’de çalışan scriptlerin çözülmüş hali loglanır.
  • Örnek: AmsiUtils, amsiInitFailed veya VirtualProtect gibi ifadeler şüphelidir.
  • Saldırgan genelde stringleri parçalayarak gizlemeye çalışır, bu yüzden regex kullanılmalıdır.
• Event ID 4103 / 800-801: Modül yükleme ve engine event logları. Burada Add-Type ile C# kodu eklenip bellek değiştiriliyorsa şüpheli bir AMSI bypass denemesidir.

2. Sysmon ile İzleme

• Event ID 10 (Process Access): Bir süreç kendi belleğine veya dll içine yazmaya çalışırsa.
• Event ID 7 (Image Load): PowerShell içine şüpheli bir DLL yüklenirse.
• Event ID 12/13 (Registry): AMSI provider anahtarı silinmeye/bozulmaya çalışılırsa.

3. Antivirüs & Defender

• Event ID 1116 (Malware Found): AMSI devre dışı kalmadan önce Defender yakalayabilir.
• Defender ATP, AMSI’nin devre dışı bırakıldığını algılarsa SOC’a uyarı düşebilir.

4. SIEM Kural Mantığı

SOC ekipleri, SIEM üzerinde şu tür kurallar yazabilir:

• ScriptBlock’ta “AmsiUtils” + “amsiInitFailed” aynı anda geçerse alarm.
• VirtualProtect + AmsiScanBuffer beraber görülürse alarm.
• Çok uzun Base64 komutlar → obfuscation ihtimali, şüpheli olarak işaretlenmeli.
• Registry’de AMSI provider anahtarı değişirse kritik alarm.

5. Önemli Noktalar

• Obfuscation’a dikkat: Saldırgan stringleri parçalayarak gizler. Regex kullanmak şarttır.
• Bağlam analizi: Tek başına VirtualProtect false positive üretebilir, ama amsi ile birlikteyse kuvvetle şüphelidir.
• Davranışsal yaklaşım: Sadece imza değil, alışılmadık davranışlar (örneğin SetValue($null,$true)) da izlenmeli.
• False positive yönetimi: Kurallar ilk etapta çok alarm üretebilir. SOC bunları gözden geçirip istisna eklemeli.

AMSI ve Alınması Gereken Önlemler

1. Windows Defender Uygulama Denetimi (WDAC) Kullanımı

WDAC, yalnızca güvenilir ve imzalı uygulamaların çalışmasına izin vererek güvenliği artırır. Ayrıca, PowerShell’i Kısıtlanmış Dil Modu’na alarak .NET tabanlı betik oluşturma, Win32 API çağrıları veya COM nesneleri ile etkileşim gibi riskli işlevleri kısıtlar. Bu sayede, PowerShell üzerinden gerçekleştirilebilecek dosyasız saldırıların önüne geçilmiş olur.

2. AppLocker Politikalarının Uygulanması

AppLocker, hangi uygulamaların çalıştırılabileceğini kontrol ederek kullanıcıların onaylanmamış yazılımları açmasını engeller. Dosya yolu, hash değeri veya dijital imza gibi kriterlere dayalı kurallar oluşturulabilir. Özellikle paylaşılan cihazlarda, farklı kullanıcı gruplarına özel politikalar tanımlanarak güvenlik seviyesi artırılabilir.

3. Kod Bütünlüğü İçin Sanallaştırma Tabanlı Koruma (HVCI) Etkinleştirilmesi

Hypervisor Code Integrity (HVCI), çekirdek belleğe yönelik zararlı kod enjeksiyonlarını zorlaştırarak, çekirdek modunda çalışan güvenlik açıklarının kötüye kullanılmasını engellemeye yardımcı olur.

4. Saldırı Yüzeyini Azaltma (Attack Surface Reduction - ASR) Kuralları

Yöneticiler, ASR politikalarıyla yaygın saldırı vektörlerini kapatabilir. Örneğin, Office makrolarının internetten otomatik içerik indirmesini engellemek veya PowerShell’in yalnızca güvenilir yollar üzerinden çalıştırılmasını sağlamak gibi kurallar belirlenebilir.

5. Uygulama Denetimi ve AppLocker’ın Birlikte Kullanılması

En iyi uygulama olarak, kurumlarda mümkün olan en kısıtlayıcı WDAC politikalarının uygulanması önerilir. Ardından, AppLocker ile kullanıcı veya gruplara özel ek kurallar eklenerek güvenlik seviyesi daha da artırılabilir.

6. Güncel İşletim Sistemleri Kullanımı

AMSI ve AppLocker özellikleri, Windows 10, Windows 11 ve Windows Server 2016/2019/2022 sürümlerinde tam desteklenmektedir. Bu nedenle, güvenlik politikalarının etkin çalışması için güncel işletim sistemlerinin tercih edilmesi gerekir.

Umarım faydalı olmuştur:)

HİLAL ÜNALAN

KAYNAKÇA:

https://learn.microsoft.com/tr-tr/defender-endpoint/amsi-on-mdav

https://www.guneybilisim.com/windows-anti-malware-scan-interface-amsi-nedir

https://phemis.gitbook.io/book/amsi-antimalware-scan-interface

https://learn.microsoft.com/en-us/windows/win32/amsi/antimalware-scan-interface-portal

https://learn.microsoft.com/tr-tr/windows/win32/amsi/how-amsi-helps?source=recommendations

https://support.microsoft.com/en-us/topic/june-11-2024-kb5039236-os-build-25398-950-441046e9-f48f-44f5-939c-60cbd895840d#:~:text=,expose%20your%20device%20to%20threats

https://okankurtulus.com.tr/2021/08/20/antimalware-scan-interface-amsi-nedir-ve-nasil-bypass-edilir/

https://www.trendmicro.com/tr_tr/research/22/l/detecting-windows-amsi-bypass-techniques.html

https://medium.com/@nullx3d/amsi-overview-and-bypass-methods-76b9d5896eb5

https://rastamouse.me/memory-patching-amsi-bypass/

https://pentestlaboratories.com/2021/05/17/amsi-bypass-methods/

https://sensepost.com/blog/2020/resurrecting-an-old-amsi-bypass/

https://infosecwriteups.com/amsi-bypass-new-way-2023-d506345944e9

https://pentestlaboratories.com/2021/06/01/threat-hunting-amsi-bypasses/#:~:text=Computer%20Configuration,Script%20Block%20Logging

HİLAL ÜNALAN