Bypass d'AMSI et d'ETW pour la Recherche Defensive: Ce que les Blue Teams Doivent Savoir

Un operateur lance Invoke-Mimikatz dans PowerShell 5.1 sans la moindre obfuscation et il ne se passe rien. Defender ne hurle pas, le SOC ne recoit aucune alerte, et le ticket reste silencieux alors que la memoire de lsass a deja ete lue. Ce n'est pas de la magie: c'est un patch d'une ligne dans amsi.dll qui annule AmsiScanBuffer en deux instructions. En 2026, AMSI et ETW restent le squelette de la telemetrie Windows, et restent neutralises par des scripts de quatre lignes qui circulent sur GitHub depuis 2016. Avant d'acheter un EDR de plus, il vaut mieux comprendre pourquoi ces bypass marchent encore et ce qui change vraiment la donne cote bleu.

AMSI (Antimalware Scan Interface) est un pont. PowerShell, VBScript, JScript, WMI et meme les macros Office appellent AmsiScanBuffer pour demander a l'antivirus si le contenu en memoire est malveillant. Le detail genant est que cet appel a lieu dans le processus cible lui-meme, avec les droits de la cible. Si l'attaquant execute deja du code dans powershell.exe, il peut ecrire dans la zone .text d'amsi.dll, remplacer le prologue d'AmsiScanBuffer par mov eax, 0x80070057; ret et eteindre la lumiere. Matt Graeber a publie la version classique en 2016, et les variantes via hardware breakpoints, patch d'AmsiOpenSession et corruption d'amsiContext continuent d'apparaitre. Toute personne qui travaille avec Evasion EDR pour la Recherche: Direct Syscalls Expliques sans Romance reconnait le motif: l'instrumentation user-mode est toujours du soft power.

ETW (Event Tracing for Windows) se trouve plus en profondeur, mais souffre du meme talon d'Achille. Des providers comme Microsoft-Windows-Threat-Intelligence emettent des evenements sur AllocateVirtualMemory, l'ouverture de handles vers lsass et l'injection de threads distants, alimentant la quasi-totalite des EDR commerciaux. Le bypass canonique patche EtwEventWrite dans ntdll.dll avec un simple ret (xor eax,eax; ret), et voila: le provider reste enregistre mais rien ne sort. Les variantes modernes touchent EtwpEventWriteFull ou suppriment le provider de TRACE_ENABLE_INFO. Comme ces bypass sont locaux et silencieux, le hunting fonde sur l'absence d'evenements attendus devient plus precieux que le hunting par signature. Quiconque construit deja un Threat Hunting avec Sigma et Elastic: De l'Indicateur a la Regle de Detection sait que les regles de 'silence anormal' sont penibles a calibrer, mais elles attrapent ce que la regle positive rate.

Cote offensif ethique, reproduire ces bypass en laboratoire est obligatoire pour comprendre ce que la blue team voit reellement. Setup minimal: Windows 11 23H2 avec Defender actif, Sysmon 15 avec la config d'Olaf Hartong, et Elastic Agent qui pousse vers un cluster de test. Execute le patch AMSI classique par reflection, puis la variante a hardware breakpoints (qui ne touche pas a .text et passe donc les controles d'integrite faibles), et compare ce que Defender et Sysmon enregistrent dans chaque cas. Surprise frequente: l'Event ID 4104 de PowerShell capture toujours le bloc de script malveillant parce que ScriptBlockLogging est independant d'AMSI. Ce type d'exercice s'integre tres bien dans un cycle de Purple Team en Pratique: Construire une Boucle de Feedback Red vs Blue et apprend plus qu'un whitepaper.

Le vrai durcissement commence en acceptant que le bypass en user-mode coute peu. Active PowerShell Constrained Language Mode via WDAC pour les utilisateurs standard, mets ScriptBlockLogging et Module Logging avec un forwarding hors machine (parce que le log local, l'attaquant l'efface), et impose PowerShell 7+ avec integration AMSI verifiee. Active Protected Process Light pour Defender, met LSA Protection (RunAsPPL) en place et envisage Credential Guard pour augmenter le cout de quiconque atteint lsass. Cote ETW, ce qui change la donne c'est de sortir la detection du host: Sysmon plus WEF vers un collecteur dedie, et la ou possible des kernel callbacks via le driver de l'EDR, que l'attaquant ne fait tomber qu'avec du BYOVD. Quiconque applique deja Durcissement de Windows 11 pour Postes de Travail a Haut Risque a deja fait une bonne partie du chemin.

La detection des bypass suit des motifs clairs et peu couteux a implementer. Cherche NtProtectVirtualMemory qui modifie les permissions d'amsi.dll ou ntdll.dll dans des processus qui ne sont pas des installateurs (Sysmon Event ID 10 plus filtres d'image cible). Regarde le PowerShell qui charge System.Management.Automation.AmsiUtils par reflection (Event 4104 contenant 'amsiInitFailed' est presque un IOC litteral). Surveille l'ecart entre les evenements attendus d'ETW-TI et ce qui arrive au SIEM par host: si un endpoint emet soudain 70 pour cent d'evenements en moins sans changement de charge, quelque chose a patche EtwEventWrite. Cette logique de baseline par host se relie a Hunting des Living-off-the-Land Binaries sous Windows avec KQL et a Persistance Windows : 10 Techniques Documentees et leurs Contre-mesures, ou le silence est aussi un signal.

Publier de la recherche dans ce domaine exige du soin ethique. Un bypass AMSI/ETW n'est pas un 0day, mais publier un nouveau PoC sans coordination avec Microsoft et sans angle defensif pollue l'ecosysteme et aide ceux qui n'en ont pas besoin. La norme saine: reproduit en lab isole, documente l'IOC defensif avant l'exploit, et quand tu publies, ouvre avec la regle Sigma, pas avec le screenshot de mimikatz content. Si ton travail touche un client, verrouille le perimetre par ecrit avant; s'il touche ta propre infra, pratique OPSEC pour Chercheurs en Securite: Modele de Menace Personnel pour ne pas devenir la cible de ce que tu etudies. Takeaway pratique: pars du principe qu'AMSI et ETW seront bypassed sur l'hote compromis, et investis dans le ScriptBlockLogging forwarde, une config Sysmon curee et un baseline de volume d'evenements par endpoint. Ces trois controles a eux seuls attrapent la majorite des bypass publics vus en 2025-2026, sans dependre d'un vendor particulier.