Contenidos
- Ejecutar un script en PowerShell (que se ejecute durante un tiempo para poder ser detectado listando procesos)
- Analizar los procesos y detectar el proceso que tenga la palabra «encodedCommand» en su propiedad «CommandLine»
- Convertir a base64 (descodificar) el valor «encodedCommand» que se encuentra en la tercera posición
Ejecutar un script en PowerShell (que se ejecute durante un tiempo para poder ser detectado listando procesos)
|
1 2 3 4 5 6 7 8 9 |
powershell.exe -Command { $i = 1 while ( $i -le 10 ) { $i Start-Sleep -Seconds 60 $i++ } } |
Analizar los procesos y detectar el proceso que tenga la palabra «encodedCommand» en su propiedad «CommandLine»
|
1 |
$informacion = Get-CimInstance -ClassName Win32_Process | where CommandLine -Match "encodedCommand" |
Convertir a base64 (descodificar) el valor «encodedCommand» que se encuentra en la tercera posición
|
1 2 3 |
$encodedCommand = $informacion.CommandLine.split(" ")[3] [System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBase64String($encodedCommand)) |
