¿Se pueden encontrar artefactos en el disco?
PowerShell compila el ensamblaje en la memoria. Por lo tanto, no se verán artefactos en el disco ya que estamos hablando de memoria dinámica. El único lugar donde podría encontrarlo sería en un registro de fallos si PowerShell se terminara incorrectamente.
¿Un antivirus detecta este método e impide que se ejecute?
No. Este método no es intrínsecamente malicioso, sin embargo, puede ensamblar bibliotecas específicas en powershell que permitirían a los actores de amenazas ejecutar malware de forma arbitraria.
Por ejemplo:
Threat Actors usa el cmdlet Invoke Expression para ejecutar cadenas como un comando. Teóricamente, puede ensamblar y ejecutar una matriz de bytes en PowerShell. Por favor, vea esta publicación de stackoverflow para ver un ejemplo:
enlace
Este artículo de MSDN explica el objeto de cliente web y cómo descargar cadenas:
enlace luego puede ejecutar el archivo descargado cadena utilizando IEX o Invoke-Expression.
Si su pregunta es cómo DETENER que dicha actividad ocurra en su red, lo mejor que puede hacer es emplear la detección de amenazas de punto final o comenzar a usar AppLocker. Recomiendo encarecidamente las políticas de AppLocker o si tiene el presupuesto Carbon Black Defense.
Detección avanzada de amenazas de EndPoint
Además, es mejor obtener Carbon Black Response o Red Cloak AETD para detectar esta actividad. Ningún AV evitará que PowerShell se ejecute en su host. PowerShell no es malicioso ni sus cmdlets o métodos. Sin embargo, Red Cloak y Carbon Black pueden detectar comandos específicos que están siendo ejecutados por PowerShell usando indicadores basados en patrones.