Vijf manieren om een PowerShell-script in-memory te laden. Want diversiteit is belangrijk. Ook — néé, vóóral — in de offensieve beveiliging.
Bestand
Wat het doet
ps_cradle_webclient
De klassieker: (New-Object Net.WebClient).DownloadString(). Iedereen kent hem. Elke EDR kent hem. Maar soms werkt de klassieker nog steeds. Omdat classics classics zijn om een reden.
ps_cradle_iwr
Invoke-WebRequest. De modernere variant. Doet hetzelfde, maar voelt moderner. Soms is dat genoeg.
ps_cradle_xmlhttp
MSXML2.XMLHTTP COM-object. Vliegt onder de radar van sommige EDR’s. Niet alle. Sommige. Genoeg om het te proberen.
ps_cradle_webrequest
System.Net.WebRequest. Nog een manier. Dezelfde bestemming, ander vervoermiddel.
ps_cradle_comie
InternetExplorer COM-object. Gebruikt IE als downloadmechanisme. IE is dood. Het COM-object leeft. Zoals een geest die nog door het huis waart nadat de bewoner is verhuisd. Creatief? Ja. Morbide? Een beetje.
Op de hoogte blijven?
Ontvang maandelijks cybersecurity-inzichten in je inbox.