AMSI- und ETW-Bypass fuer Defensive Forschung: Was Blue Teams Wissen Sollten

Ein Operator wirft Invoke-Mimikatz ohne jede Obfuskation in eine PowerShell 5.1 und es passiert nichts. Defender schreit nicht, das SOC bekommt keinen Alert, und das Ticket bleibt still, waehrend der lsass-Speicher laengst gelesen wurde. Das ist keine Magie: das ist ein Einzeiler-Patch in amsi.dll, der AmsiScanBuffer mit zwei Instruktionen nullt. Im Jahr 2026 sind AMSI und ETW immer noch das Skelett der Windows-Telemetrie und werden immer noch von vierzeiligen Skripten neutralisiert, die seit 2016 auf GitHub kursieren. Bevor man den naechsten EDR kauft, lohnt es sich zu verstehen, warum diese Bypasses weiter funktionieren und was auf der blauen Seite tatsaechlich etwas bewegt.

AMSI (Antimalware Scan Interface) ist eine Bruecke. PowerShell, VBScript, JScript, WMI und sogar Office-Makros rufen AmsiScanBuffer auf, um den Antivirus zu fragen, ob der im Speicher liegende Inhalt boesartig ist. Das unangenehme Detail: dieser Aufruf laeuft im Zielprozess selbst, mit dessen Rechten. Wenn der Angreifer bereits Code innerhalb von powershell.exe ausfuehrt, kann er in den .text-Bereich von amsi.dll schreiben, das Prolog von AmsiScanBuffer durch mov eax, 0x80070057; ret ersetzen und das Licht ausschalten. Matt Graeber veroeffentlichte die klassische Version 2016, und Varianten mit Hardware-Breakpoints, AmsiOpenSession-Patching und amsiContext-Korruption tauchen weiter auf. Wer mit EDR-Umgehung fur Forschung: Direct Syscalls Erklart ohne Romantik arbeitet, kennt das Muster: User-Mode-Instrumentation ist immer Soft Power.

ETW (Event Tracing for Windows) liegt tiefer, hat aber dieselbe Achillesferse. Provider wie Microsoft-Windows-Threat-Intelligence emittieren Events zu AllocateVirtualMemory, lsass-Handle-Oeffnungen und Remote-Thread-Injection und speisen damit praktisch jeden kommerziellen EDR. Der kanonische Bypass patcht EtwEventWrite in ntdll.dll mit einem simplen ret (xor eax,eax; ret), und das war's: der Provider bleibt registriert, aber nichts verlaesst den Prozess. Moderne Varianten greifen EtwpEventWriteFull an oder entfernen den Provider aus TRACE_ENABLE_INFO. Da diese Bypasses lokal und leise sind, wird Hunting auf Basis fehlender erwarteter Events wertvoller als signaturbasiertes Hunting. Wer bereits ein Threat Hunting mit Sigma und Elastic: Vom Indikator zur Detektionsregel aufbaut, weiss, dass Regeln fuer 'abnormale Stille' muehsam zu tunen sind, aber das fangen, was positive Regeln nicht erwischen.

Aus ethisch-offensiver Sicht ist das Reproduzieren dieser Bypasses im Labor Pflicht, wenn man verstehen will, was die Blue Team wirklich sieht. Minimales Setup: Windows 11 23H2 mit aktivem Defender, Sysmon 15 mit Olaf Hartongs Config, und Elastic Agent, der an einen Testcluster sendet. Fuehre den klassischen reflection-basierten AMSI-Patch aus, danach die Hardware-Breakpoint-Variante (die .text nicht beruehrt und an schwachen Integrity-Checks vorbeiziehen kann), und vergleiche, was Defender und Sysmon jeweils protokollieren. Haeufige Ueberraschung: PowerShell Event ID 4104 erfasst den boesartigen Script-Block weiterhin, weil ScriptBlockLogging unabhaengig von AMSI ist. Solche Uebungen passen sehr gut in einen Purple Team in der Praxis: Aufbau eines Red-Blue-Feedback-Zyklus-Zyklus und lehren mehr als jedes Whitepaper.

Echte Haertung beginnt mit der Akzeptanz, dass User-Mode-Bypass billig ist. Aktiviere PowerShell Constrained Language Mode via WDAC fuer Standardnutzer, schalte ScriptBlockLogging und Module Logging mit Forwarding raus aus der Maschine ein (lokale Logs loescht der Angreifer), und erzwinge PowerShell 7+ mit verifizierter AMSI-Integration. Aktiviere Protected Process Light fuer Defender, schalte LSA Protection (RunAsPPL) ein und ziehe Credential Guard in Betracht, um die Kosten fuer jeden zu erhoehen, der bis lsass kommt. Auf ETW-Ebene aendert das Spiel, die Erkennung vom Host wegzuziehen: Sysmon plus WEF auf einen dedizierten Collector, und wo moeglich Kernel-Callbacks ueber den eigenen Treiber des EDR, den der Angreifer nur per BYOVD plattmacht. Wer bereits Windows 11 Hardening fuer Hochrisiko Arbeitsplaetze umsetzt, hat einen Grossteil des Wegs hinter sich.

Bypass-Erkennung hat klare, billig umsetzbare Muster. Suche nach NtProtectVirtualMemory, das Permissions an amsi.dll oder ntdll.dll in Prozessen aendert, die keine Installer sind (Sysmon Event ID 10 plus Filter auf das Zielimage). Achte auf PowerShell, das System.Management.Automation.AmsiUtils per Reflection laedt (Event 4104 mit 'amsiInitFailed' ist quasi ein wortwoertlicher IOC). Beobachte die Divergenz zwischen erwarteten ETW-TI-Events und dem, was pro Host im SIEM ankommt: wenn ein Endpunkt ploetzlich 70 Prozent weniger Events emittiert ohne Lastaenderung, hat etwas EtwEventWrite gepatcht. Diese Per-Host-Baseline-Logik verbindet sich mit Hunting von Living-off-the-Land-Binaries unter Windows mit KQL und mit Windows-Persistenz: 10 Dokumentierte Techniken und ihre Gegenmassnahmen, wo Stille ebenfalls ein Signal ist.

Forschung in diesem Bereich zu veroeffentlichen erfordert ethische Sorgfalt. Ein AMSI/ETW-Bypass ist kein Zero-Day, aber noch eine PoC ohne Microsoft-Koordination und ohne defensiven Fokus zu veroeffentlichen, verschmutzt das Oekosystem und hilft Leuten, die keine Hilfe brauchen. Gesunder Standard: im isolierten Lab reproduzieren, defensiven IOC vor dem Exploit dokumentieren, und beim Publizieren mit der Sigma-Regel fuehren, nicht mit dem zufriedenen Mimikatz-Screenshot. Wenn deine Arbeit Kunden beruehrt, fixiere den Scope vorher schriftlich; wenn sie deine eigene Infra beruehrt, praktiziere OPSEC fuer Security-Researcher: Persoenliches Bedrohungsmodell, damit du nicht zum Ziel dessen wirst, was du erforschst. Praktischer Takeaway: gehe davon aus, dass AMSI und ETW auf dem kompromittierten Host umgangen werden, und investiere in weitergeleitetes ScriptBlockLogging, eine kuratierte Sysmon-Config und ein Event-Volumen-Baseline pro Endpoint. Diese drei Kontrollen alleine fangen die meisten oeffentlich bekannten Bypasses aus 2025-2026, ohne dass ein bestimmter Vendor noetig waere.