El código C # se puede incluir y ejecutar en un script de PowerShell usando Add-Type. Según Microsoft:
"Add-Type compila el código fuente especificado y genera un conjunto en memoria que contiene los nuevos tipos de .NET Framework ".
¿Cómo funciona esto? ¿Este método deja algún artefacto en el disco, y si es así, el antivirus detecta y previene este método (siempre que el binario compilado se marque como maléxico)? Tradicionalmente, los antivirus no detectan ni previenen el malware PowerShell.
¿Se pueden encontrar artefactos en el disco?
PowerShell compila el ensamblaje en la memoria. Por lo tanto, no se verán artefactos en el disco ya que estamos hablando de memoria dinámica. El único lugar donde podría encontrarlo sería en un registro de fallos si PowerShell se terminara incorrectamente.
¿Un antivirus detecta este método e impide que se ejecute?
No. Este método no es intrínsecamente malicioso, sin embargo, puede ensamblar bibliotecas específicas en powershell que permitirían a los actores de amenazas ejecutar malware de forma arbitraria.
Por ejemplo:
Threat Actors usa el cmdlet Invoke Expression para ejecutar cadenas como un comando. Teóricamente, puede ensamblar y ejecutar una matriz de bytes en PowerShell. Por favor, vea esta publicación de stackoverflow para ver un ejemplo:
Este artículo de MSDN explica el objeto de cliente web y cómo descargar cadenas: enlace luego puede ejecutar el archivo descargado cadena utilizando IEX o Invoke-Expression.
Si su pregunta es cómo DETENER que dicha actividad ocurra en su red, lo mejor que puede hacer es emplear la detección de amenazas de punto final o comenzar a usar AppLocker. Recomiendo encarecidamente las políticas de AppLocker o si tiene el presupuesto Carbon Black Defense.
Detección avanzada de amenazas de EndPoint
Además, es mejor obtener Carbon Black Response o Red Cloak AETD para detectar esta actividad. Ningún AV evitará que PowerShell se ejecute en su host. PowerShell no es malicioso ni sus cmdlets o métodos. Sin embargo, Red Cloak y Carbon Black pueden detectar comandos específicos que están siendo ejecutados por PowerShell usando indicadores basados en patrones.
Lea otras preguntas en las etiquetas malware powershell antimalware