mirdochegal
29.01.2025
view831
view5
1
Goto Top

Neue (bislang nicht bekanntes) Remoteshellscript aufgetaucht

InformationViren, Trojaner
Moin,

wurde gestern auf ein Remote-powershell-shell-script aufmerksam welches wohl aktuell noch kaum oder gar nicht erkannt wird.

Trifft bislang gar nichts bei Virustotal:
www.virustotal.com/gui/file/f8f5e0440c57c7deffd75ca33e2511867039796aa803e7ef847396a379188a7d

github.com/tihanyin/PSSW100AVB/blob/main/ReverseShell_2025_01.ps1

Ggf. eurem AV Anbieter mitteilen, dass das Ding (etwas)schneller detected wird?

Gruß
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 671006

Url: https://administrator.de/knowledge/neue-bislang-nicht-bekanntes-remoteshellscript-aufgetaucht-671006.html

Ausgedruckt am: 30.01.2025 um 17:01 Uhr

5 Kommentare
Neuester Kommentar
Goto Top
geraldxx
geraldxx 29.01.2025 um 08:21:55 Uhr
Goto Top
Wenns schon bei Virustotal hochgeladen wurde dann habens die AV Anbieter bereits ;)
pebcak7123
pebcak7123 29.01.2025 aktualisiert um 08:36:49 Uhr
Goto Top
Moin,
warum sollte auch speziell dieses script erkannt werden ? Da ist weder shellcode noch irgend eine c&c kommunikation, ein dropper, oä drin. Ja es macht mit normalen Powershell Kommandos eine recht krude Art shell auf, aber sonst auch nichts.
Der Versuch die Analyse durch ein LLM Modell in die irre zu leiten ist aber ganz interessant. Wenn auch nicht erfolgreich zumindest mit copilot
heart2
mirdochegal
mirdochegal 29.01.2025 um 08:36:34 Uhr
Goto Top
warum sollte auch speziell dieses script erkannt werden
Ich arbeite relativ häufig mit so Krams (insb. bei hackthebox) und eig. alle Powershell-Shells werden als bösartig erkannt.

recht krude Art shell auf auf die man sich verbinden könnte
Eben.. da sollte der AV schon anspringen, auf dem Zielsystem.

diese ist aber nun wirklich einfach zu erkennen
Stimmt, Remoteaccess fragt immer, welches Script es ausführen darf. Im Ernst: wie soll das ein User erkennen bei Infektion?

Der Versuch die Analyse durch ein LLM Modell in die irre zu leiten ist aber ganz interessant.
Ich finde die ganze Art des Scriptes interessant, tbh.

Gruzß
kpunkt
kpunkt 29.01.2025 um 09:11:57 Uhr
Goto Top
Eben.. da sollte der AV schon anspringen, auf dem Zielsystem.

AV? Eher EDR/XDR
mirdochegal
mirdochegal 29.01.2025 um 09:50:27 Uhr
Goto Top
AV? Eher EDR/XDR

Pardon, korrekt.
InformationViren, Trojaner
Mehr von mirdochegalmirdochegalHat Fortinet ein Problem? Spammail von fortinet.commirdochegal - 6 KommentaremirdochegalPatchdienstag: wer traute sich bereits?mirdochegal - 17 KommentaremirdochegalWin11 Taskleiste Oben - "Hack" bekannt?mirdochegal - 21 KommentaremirdochegalPolicy zur Deaktivierung der automatischen Umstellung auf Microsoft Outlook newmirdochegal - 8 Kommentare
Heiß diskutiert
fabichanEmail Homeserver auf Dedicated Server Tunnelnfabichan - 110 Kommentaretian1974GPOs werden nur auf einem Rechner nicht aktualisierttian1974 - 34 KommentareTheMechanicNach Serverumzug von ESXi zu Proxmox funktionieren lokale Drucker nicht mehrTheMechanic - 24 KommentareStarmanagerDeepSeek am StartStarmanager - 24 KommentarenachgefragtAlternative Exchange Server SE (2025) Mail- Groupware Tool mit Office LTSC 2024nachgefragt - 23 KommentareknurrhahnRouter-Reusing (Fritzbox): z.B. ein Drucker für zwei Netzeknurrhahn - 22 KommentareStarmanagerMicrosofts Gier wird immer groesser! Stillgelegte Onedrives kosten GeldStarmanager - 21 KommentareFrankOpenAI und die USA sind schlechte Verlierer - jetzt wird DeepSeek beschuldigtFrank - 21 KommentareMacLeodEmpfehlung Mini PC Win 11MacLeod - 21 KommentareXaero1982Server 2016 auf 2022 Inplace Upgrade - 0xC1900101 - 0x30018Xaero1982 - 17 KommentarecordialExchange 2016 (geschlossenes System) to zu Exchange Onlinecordial - 17 KommentareLennoX2844Windows mit Tastenkombination die "Funktionstasten" aktiviertLennoX2844 - 15 Kommentare