Modul ini Metasploit menggunakan username administrator dan password yang valid untuk mengeksekusi muatan PowerShell menggunakan teknik yang sama dengan "PsExec" utilitas yang disediakan oleh Sysinternals.
Payload dikodekan dalam base64 dan dieksekusi dari commandline menggunakan bendera-encodedcommand. Dengan menggunakan metode ini, payload tidak pernah ditulis ke disk, dan mengingat bahwa setiap muatan adalah unik, kurang rentan terhadap deteksi berbasis signature.
Sejak mengeksekusi shellcode di NET. Membutuhkan penggunaan sumber daya sistem dari ruang memori unmanaged, yang (PSH) arsitektur NET. Harus cocok dengan payload. Terakhir, pilihan bertahan disediakan untuk mengeksekusi payload dalam loop sementara untuk mempertahankan bentuk ketekunan.
Dalam hal terjadi sandbox mengamati PSH eksekusi, penundaan dan kebingungan lain dapat ditambahkan untuk menghindari deteksi. Untuk menghindari pemberitahuan proses interaktif untuk pengguna saat ini, muatan psh telah berkurang dalam ukuran dan dibungkus dengan doa PowerShell yang menyembunyikan proses sepenuhnya.
File ini merupakan bagian dari Metasploit Framework :
0komentar:
Post a Comment