andreas65m

Unbekanntes Powershell-Script wird auf Server ausgeführt

Hallo,

ich habe gestern testweise auf einem unserer Server Deep scriptblock logging aktiviert und heute in der Früh gleich einen Eintrag in den Eventlogs gefunden, den ich nicht zuordnen kann.

Das Powershell-Skript enthält folgende Befehle

$res = 0;
if(get-vmswitch | Where {$_.NetAdapterInterfaceDescription -ne $null -and $_.NetAdapterInterfaceDescription -eq (Get-NetLbfoTeamNic).InterfaceDescription}){$res=1}; Write-Host Final result:, $res

Ich habe im Netz gesucht und nur einen Thread in reddit gefunden, bei dem niemand antworten konnte, was es effektiv ist.
Da der Server ist eine VM auf VMware ist, dachte ich zuerst, dass es von VMware ausgehen könnte. Da stört mich aber die Tatsache, dass das Skript mit der SID S-1-5-18 läuft, außer VMware kann Skripte mit diesem Benutzer ausführen.

Kann mir vielleicht jemand von euch einen Hinweis geben?

Vielen Dank
Andreas
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilen

Content-ID: 672780

Url: https://administrator.de/forum/unbekanntes-powershell-script-wird-auf-server-ausgefuehrt-672780.html

Ausgedruckt am: 08.05.2025 um 12:05 Uhr

SlainteMhath
SlainteMhath 08.05.2025 um 09:38:53 Uhr
Goto Top
Moin,

Das Skript prüft, ob ein virtueller Switch mit einem NIC-Teaming-Adapter verbunden ist, und gibt 1 aus, wenn das der Fall ist, sonst 0.

Wenn du die VMWare Tools installiert hast: die laufen als Treiber im KernelMode und ggfs. als Dienst mit entsprechenden Rechten, die können also tun und machen was sie wollen face-smile

Sieht mir aber eher nach was von MS aus. Hast du schon mal deine Scheduled Tasks komtrolliert?

lg,
Slainte
Michi91
Michi91 08.05.2025 um 10:35:17 Uhr
Goto Top
Beobachte das doch mal intensiv:
- Findet es immer zur selben Zeit statt?
- Gibt es ähnliche Befehle die regelmäßig laufen?
- Wenn es immer zur gleichen Zeit passiert: ProcessMon mitlaufen lassen
- Ggf. Powershell Transaktionslogs per GPO aktivieren und schauen ob die auch auflaufen, der Transaktionslog enthält auch die Prozess-ID, damit sollte man dann dem Verursacher auf die Schliche kommen.


Grüße
Crusher79
Crusher79 08.05.2025 um 10:54:09 Uhr
Goto Top
Ganz harte Methode:
Everything oder mit Notepad++ mal in den Dateien danach suchen. Dauert ein Weilchen, wäre aber noch eine Idee. Wenn der Code nicht aus SQL Blob o.ä. kommt, müsste der ja als Plaintext ggf. zu finden sein.

Kann sich auch in Binaries und DLLs verstecken. Aber so eine Suche tut nicht weh und du hast ggf. rasch neue Erkenntnisse.