search

PowerShell Base64 Encoded Command Execution

circle-info

Obs.: Esse foi o único cenário onde executei via Wazuh. Os próximos serão no Elastic Stack. :)

hashtag
Contexto

Atacantes utilizam a codificação Base64 para explorar o PowerShell principalmente para ofuscação e evasão de detecção. O PowerShell é uma ferramenta poderosa e presente em quase todos os sistemas Windows, tornando-o um alvo atraente para atividades maliciosas. A execução de comandos PowerShell em base64 é muito utilizada para:

  • Evasão de sistemas de segurança: Muitos sistemas de segurança (antivírus, EDRs) são configurados para detectar padrões de comandos PowerShell conhecidos como maliciosos. Ao codificar um comando em Base64, os atacantes podem esconder o conteúdo real da string, tornando-o mais difícil de ser detectado por assinaturas estáticas.

  • Dificultar a análise humana: Um comando codificado em Base64 é ilegível para um humano sem decodificação. Isso pode atrasar a resposta da equipe de segurança durante uma análise forense.

hashtag
APTs

hashtag
Simulação do ataque

hashtag
Eventos gerados

hashtag
Regra de detecção

https://github.com/sg0luc/purple-team-lab-rules/blob/main/defense-evasion/powershell_base64_encoded_command_execution.ymlgithub.comchevron-right

PreviousDefense EvasionNextCredential Access

Last updated