È possibile trovare artefatti sul disco?
PowerShell compila l'assembly in memoria. Pertanto non si vedranno artefatti sul disco poiché stiamo parlando di memoria dinamica. L'unico posto che potresti trovare sarebbe in un registro di crash se PowerShell è stato terminato in modo errato.
Un antivirus rileva questo metodo e ne impedisce l'esecuzione?
No. Questo metodo non è intrinsecamente dannoso, tuttavia è possibile assemblare librerie specifiche in PowerShell che consentano agli attori delle minacce di eseguire il malware in modo arbitrario.
Ad esempio:
Gli attori delle minacce utilizzano il cmdlet Invoke Expression per eseguire le stringhe come comando. In teoria, è possibile assemblare ed eseguire un array di byte in PowerShell. Vedi questo post StackOverflow per un esempio:
link
Questo articolo MSDN spiega l'oggetto Client Web e come scaricare le stringhe:
link puoi quindi eseguire il download stringa usando IEX o Invoke-Expression.
Se la tua domanda è come impedire che tale attività si verifichi sulla tua rete, la cosa migliore da fare è utilizzare il rilevamento delle minacce degli endpoint o iniziare a utilizzare AppLocker. Consiglio vivamente le politiche di AppLocker o se hai il budget Carbon Black Defense.
Rilevamento avanzato di minacce da endpoint
Inoltre, è meglio ottenere Carbon Black Response o Red Cloak AETD per rilevare questa attività. Nessun AV impedirà a PowerShell di funzionare sul tuo host. PowerShell non è dannoso né i suoi cmdlet né i suoi metodi. Tuttavia, Red Cloak e Carbon Black sono in grado di rilevare comandi specifici che vengono eseguiti da PowerShell utilizzando indicatori basati su pattern.