Intercept X Advanced z nową ochroną przed skryptowym malware

Producent oprogramowania SOPHOS poinformował, że InterceptX został wyposażony w interfejs skanowania antymalware (AMSI) udostępniany przez Microsoft dla twórców aplikacji. 

Windows Antimalware Scan Interface (AMSI) to wszechstronny standard interfejsu, który umożliwia integrację aplikacji i usług z dowolnym produktem antymalware obecnym na komputerze. AMSI zapewnia lepszą ochronę przed złośliwym oprogramowaniem dla użytkowników końcowych oraz ich danych. Interfejs ten jest obsługiwany przez Microsoft w systemach Windows 10 oraz w systemach Windows Server 2016 i nowszych.

AMSI obsługuje strukturę wywoływania pozwalającą na skanowanie plików i pamięci oraz skanowanie strumieniowe, sprawdzanie reputacji źródła adresu URL / adresu IP. Dodatkowo interfejs ten wykorzystuje pojęcie sesji, dzięki czemu można korelować różne żądania skanowania. Dla przykładu: różne fragmenty złośliwego kodu mogą być powiązane ze sobą w celu podjęcia bardziej wnikliwej analizy, którą znacznie trudniej byłoby przeprowadzić, patrząc na te fragmenty osobno.

Komponenty Windows, które integrują się z AMSI:

– Kontrola Konta użytkownika (UAC) – reakcja na podwyższenie przywilejów na plikach EXE, COM, MSI, instalacja komponentów ActiveX;
– PowerShell – skrypty, wykonanie interaktywne, dynamiczna ewaluacja kodu;
– Host Skryptów Windows – wscript.exe i cscript.exe;
– JavaScript oraz VBScript;
– Makra Office VBA.

Interfejs AMSI i jego funkcjonalności jest dostępny dla produktów: Intercept X Advanced, Intercept X Advanced with EDR oraz Central Endpoint Protection. Funkcjonalność ta jest również planowana dla produktu Intercept X for Server w drugim kwartale bieżącego roku.