mirdochegal
29.01.2025
view1794
view5
1
Goto Top

Neue (bislang nicht bekanntes) Remoteshellscript aufgetaucht

InformationViren, Trojaner
Moin,

wurde gestern auf ein Remote-powershell-shell-script aufmerksam welches wohl aktuell noch kaum oder gar nicht erkannt wird.

Trifft bislang gar nichts bei Virustotal:
www.virustotal.com/gui/file/f8f5e0440c57c7deffd75ca33e2511867039796aa803e7ef847396a379188a7d

github.com/tihanyin/PSSW100AVB/blob/main/ReverseShell_2025_01.ps1

Ggf. eurem AV Anbieter mitteilen, dass das Ding (etwas)schneller detected wird?

Gruß
ShareTeilen
Auf Facebook teilen Auf X (Twitter) teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 671006

Url: https://administrator.de/knowledge/neue-bislang-nicht-bekanntes-remoteshellscript-aufgetaucht-671006.html

Ausgedruckt am: 12.03.2025 um 04:03 Uhr

5 Kommentare
Neuester Kommentar
Goto Top
maulwurf222
maulwurf222 29.01.2025 um 08:21:55 Uhr
Goto Top
Wenns schon bei Virustotal hochgeladen wurde dann habens die AV Anbieter bereits ;)
pebcak7123
pebcak7123 29.01.2025 aktualisiert um 08:36:49 Uhr
Goto Top
Moin,
warum sollte auch speziell dieses script erkannt werden ? Da ist weder shellcode noch irgend eine c&c kommunikation, ein dropper, oä drin. Ja es macht mit normalen Powershell Kommandos eine recht krude Art shell auf, aber sonst auch nichts.
Der Versuch die Analyse durch ein LLM Modell in die irre zu leiten ist aber ganz interessant. Wenn auch nicht erfolgreich zumindest mit copilot
heart2
mirdochegal
mirdochegal 29.01.2025 um 08:36:34 Uhr
Goto Top
warum sollte auch speziell dieses script erkannt werden
Ich arbeite relativ häufig mit so Krams (insb. bei hackthebox) und eig. alle Powershell-Shells werden als bösartig erkannt.

recht krude Art shell auf auf die man sich verbinden könnte
Eben.. da sollte der AV schon anspringen, auf dem Zielsystem.

diese ist aber nun wirklich einfach zu erkennen
Stimmt, Remoteaccess fragt immer, welches Script es ausführen darf. Im Ernst: wie soll das ein User erkennen bei Infektion?

Der Versuch die Analyse durch ein LLM Modell in die irre zu leiten ist aber ganz interessant.
Ich finde die ganze Art des Scriptes interessant, tbh.

Gruzß
kpunkt
kpunkt 29.01.2025 um 09:11:57 Uhr
Goto Top
Eben.. da sollte der AV schon anspringen, auf dem Zielsystem.

AV? Eher EDR/XDR
mirdochegal
mirdochegal 29.01.2025 um 09:50:27 Uhr
Goto Top
AV? Eher EDR/XDR

Pardon, korrekt.
InformationViren, Trojaner
Mehr von mirdochegalmirdochegalOutlook Classic: Tastenkürzel ändern o. deaktivierenmirdochegal - 3 KommentaremirdochegalHat Fortinet ein Problem? Spammail von fortinet.commirdochegal - 8 KommentaremirdochegalPatchdienstag: wer traute sich bereits?mirdochegal - 17 KommentaremirdochegalWin11 Taskleiste Oben - "Hack" bekannt?mirdochegal - 21 Kommentare
Heiß diskutiert
Uwe-KernchenWieviel (v)LANs sind "normal"?Uwe-Kernchen - 52 KommentareITeinsteigerIst in einem Netzwerk die MAC-Adresse nicht überflüssig?ITeinsteiger - 36 KommentareAbstrackterSystemimperatorJobsuche: Eventuell übergangsweise als SL-Supporter?AbstrackterSystemimperator - 25 KommentareMilordIT-Großhandel für kleinen IT-DienstleisterMilord - 20 Kommentarer2d2r3poZugriff auf Windows Server und NAS mit Windows 11r2d2r3po - 17 KommentareaxlemoxleMailarchivierung nach gesetzl. Vorgaben Journalingpostfachaxlemoxle - 16 KommentareWolf2000Ist mein Server sicher?Wolf2000 - 16 KommentarepetereIT Inventar verwaltenpetere - 15 KommentareStefanKittelAdmin.exchange.microsoft.com Offline?StefanKittel - 14 Kommentare-WeBu-ODT für Office 365 Family möglich?-WeBu- - 14 KommentareStefanKittelAlternative zu O365 + TeamsStefanKittel - 13 KommentaremannidUnterwegs via LTE oder WLAN auf Terminalserver in Firma zugreifenmannid - 13 KommentareByteArchitectUser Management LinuxByteArchitect - 12 Kommentare