Verdachte PowerShell triëren
Een encoded PowerShell-commando in je proceslogs is niet automatisch kwaadaardig, maar verdient altijd een nadere blik. Zo trieer je er rustig één.
Wat de vlag hijst
Bepaalde combinaties van flags zijn ongebruikelijk voor een legitiem script en gangbaar voor tradecraft:
-EncodedCommand(base64-payloads)-WindowStyle Hiddenen-NonInteractive-ExecutionPolicy Bypass
Een payload decoderen is lezen, niet uitvoeren. Decodeer in een geïsoleerde omgeving en plak een onbekend commando nooit terug in een live shell.
De payload decoderen
Het argument -EncodedCommand is gewoon base64-gecodeerde UTF-16LE. Decodeer het
veilig:
$enc = 'JABjА==' # de opgevangen -EncodedCommand-waarde
[Text.Encoding]::Unicode.GetString([Convert]::FromBase64String($enc))
Snelle oordeelsmatrix
| Observatie | Neigt benign | Neigt kwaadaardig |
|---|---|---|
| Ondertekend bovenliggend proces | ✓ | |
| Downloadt van een ruwe paste-site | ✓ | |
| Draait uit een Temp-map | ✓ | |
| Onderdeel van bekende deploy-tool | ✓ |
Weeg de signalen samen, niet los van elkaar. Documenteer het gedecodeerde commando en het oordeel in de zaaknotities — toekomstige jij, en de volgende analist, zijn je dankbaar.