Il codice C # in esecuzione con PowerShell Add-Type ha disattivato l'anti-virus?

-1

Il codice C # può essere incluso ed eseguito in uno script PowerShell usando Add-Type. Secondo Microsoft:

"Add-Type compiles the specified source code and generates an in-memory assembly that contains the new .NET Framework types."

link

Come funziona? Questo metodo lascia eventuali artefatti sul disco e, in tal caso, l'antivirus rileva e previene questo metodo (a condizione che il file binario compilato venga contrassegnato come malico)? Tradizionalmente, gli antivirus non rilevano o impediscono il malware PowerShell.

    
posta Daniel Grover 09.10.2017 - 17:45
fonte

1 risposta

0

È possibile trovare artefatti sul disco?

PowerShell compila l'assembly in memoria. Pertanto non si vedranno artefatti sul disco poiché stiamo parlando di memoria dinamica. L'unico posto che potresti trovare sarebbe in un registro di crash se PowerShell è stato terminato in modo errato.

Un antivirus rileva questo metodo e ne impedisce l'esecuzione?

No. Questo metodo non è intrinsecamente dannoso, tuttavia è possibile assemblare librerie specifiche in PowerShell che consentano agli attori delle minacce di eseguire il malware in modo arbitrario.

Ad esempio:

Gli attori delle minacce utilizzano il cmdlet Invoke Expression per eseguire le stringhe come comando. In teoria, è possibile assemblare ed eseguire un array di byte in PowerShell. Vedi questo post StackOverflow per un esempio:

link

Questo articolo MSDN spiega l'oggetto Client Web e come scaricare le stringhe: link puoi quindi eseguire il download stringa usando IEX o Invoke-Expression.

Se la tua domanda è come impedire che tale attività si verifichi sulla tua rete, la cosa migliore da fare è utilizzare il rilevamento delle minacce degli endpoint o iniziare a utilizzare AppLocker. Consiglio vivamente le politiche di AppLocker o se hai il budget Carbon Black Defense.

Rilevamento avanzato di minacce da endpoint

Inoltre, è meglio ottenere Carbon Black Response o Red Cloak AETD per rilevare questa attività. Nessun AV impedirà a PowerShell di funzionare sul tuo host. PowerShell non è dannoso né i suoi cmdlet né i suoi metodi. Tuttavia, Red Cloak e Carbon Black sono in grado di rilevare comandi specifici che vengono eseguiti da PowerShell utilizzando indicatori basati su pattern.

    
risposta data 22.10.2017 - 19:28
fonte

Leggi altre domande sui tag