andreas65m

Unbekanntes Powershell-Script wird auf Server ausgeführt

Hallo,

ich habe gestern testweise auf einem unserer Server Deep scriptblock logging aktiviert und heute in der Früh gleich einen Eintrag in den Eventlogs gefunden, den ich nicht zuordnen kann.

Das Powershell-Skript enthält folgende Befehle

$res = 0;
if(get-vmswitch | Where {$_.NetAdapterInterfaceDescription -ne $null -and $_.NetAdapterInterfaceDescription -eq (Get-NetLbfoTeamNic).InterfaceDescription}){$res=1}; Write-Host Final result:, $res

Ich habe im Netz gesucht und nur einen Thread in reddit gefunden, bei dem niemand antworten konnte, was es effektiv ist.
Da der Server ist eine VM auf VMware ist, dachte ich zuerst, dass es von VMware ausgehen könnte. Da stört mich aber die Tatsache, dass das Skript mit der SID S-1-5-18 läuft, außer VMware kann Skripte mit diesem Benutzer ausführen.

Kann mir vielleicht jemand von euch einen Hinweis geben?

Vielen Dank
Andreas
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilen

Content-ID: 672780

Url: https://administrator.de/forum/unbekanntes-powershell-script-wird-auf-server-ausgefuehrt-672780.html

Ausgedruckt am: 20.05.2025 um 03:05 Uhr

SlainteMhath
Lösung SlainteMhath 08.05.2025 um 09:38:53 Uhr
Goto Top
Moin,

Das Skript prüft, ob ein virtueller Switch mit einem NIC-Teaming-Adapter verbunden ist, und gibt 1 aus, wenn das der Fall ist, sonst 0.

Wenn du die VMWare Tools installiert hast: die laufen als Treiber im KernelMode und ggfs. als Dienst mit entsprechenden Rechten, die können also tun und machen was sie wollen face-smile

Sieht mir aber eher nach was von MS aus. Hast du schon mal deine Scheduled Tasks komtrolliert?

lg,
Slainte
Michi91
Michi91 08.05.2025 um 10:35:17 Uhr
Goto Top
Beobachte das doch mal intensiv:
- Findet es immer zur selben Zeit statt?
- Gibt es ähnliche Befehle die regelmäßig laufen?
- Wenn es immer zur gleichen Zeit passiert: ProcessMon mitlaufen lassen
- Ggf. Powershell Transaktionslogs per GPO aktivieren und schauen ob die auch auflaufen, der Transaktionslog enthält auch die Prozess-ID, damit sollte man dann dem Verursacher auf die Schliche kommen.


Grüße
Crusher79
Crusher79 08.05.2025 um 10:54:09 Uhr
Goto Top
Ganz harte Methode:
Everything oder mit Notepad++ mal in den Dateien danach suchen. Dauert ein Weilchen, wäre aber noch eine Idee. Wenn der Code nicht aus SQL Blob o.ä. kommt, müsste der ja als Plaintext ggf. zu finden sein.

Kann sich auch in Binaries und DLLs verstecken. Aber so eine Suche tut nicht weh und du hast ggf. rasch neue Erkenntnisse.
andreas65m
andreas65m 09.05.2025 um 08:10:33 Uhr
Goto Top
Wenn du die VMWare Tools installiert hast: die laufen als Treiber im KernelMode und ggfs. als Dienst mit entsprechenden Rechten, die können also tun und machen was sie wollen face-smile

Sieht mir aber eher nach was von MS aus. Hast du schon mal deine Scheduled Tasks komtrolliert?

lg,
Slainte
Hallo Slainte,
ich hatte nachgesehen, aber nicht genau genug. Nun mit schtasks /fo csv und es sieht wirklich danach aus,
dass es Scripts von MS sind.
Es werden verschiedene Scripts auf C:\Windows\diagnostics\scheduled\Maintenance ausgeführt, aber nicht direkt von diesem Pfad sondern z.B. aus

C:\Windows\TEMP\SDIAG_a89389bb-9438-4524-adf8-4b0fbc2beae7\TS_DiagnosticHistory.ps1

Dadurch ist es viel schwieriger zu erkennen, ob ein Script nun von MS oder bösartig ist.

Grüße
Andreas
andreas65m
andreas65m 09.05.2025 um 08:11:46 Uhr
Goto Top
Zitat von @Michi91:

- Ggf. Powershell Transaktionslogs per GPO aktivieren und schauen ob die auch auflaufen, der Transaktionslog enthält auch die Prozess-ID, damit sollte man dann dem Verursacher auf die Schliche kommen.


Grüße

Hallo Michi,

wie geschrieben habe ich das Logging aktiviert und bin deshalb auf diese Scripte gestossen.
Sind wohl, wie schon geschrieben, von MS.

Grüße
Andreas