Куда я попал?
Invoke-PSImage
Invoke-PSImage takes a PowerShell script and embeds the bytes of the script into the pixels of a PNG image. It generates a one liner for executing either from a file of from the web. Example of usage is embedding the PowerShell code from the Invoke-Mimikatz module and embed it into an image file. By calling the image file from a macro for example, the macro will download the picture and execute the PowerShell code, which in this case will dump the passwords. (Citation: GitHub Invoke-PSImage)
ID: S0231
Type: TOOL
Platforms: Windows
Version: 1.1
Created: 18 Apr 2018
Last Modified: 18 Oct 2022
Techniques Used |
||||
| Domain | ID | Name | Use | |
|---|---|---|---|---|
| Enterprise | T1027 | .003 | Obfuscated Files or Information: Steganography |
Invoke-PSImage can be used to embed a PowerShell script within the pixels of a PNG file.(Citation: GitHub Invoke-PSImage) |
| .009 | Obfuscated Files or Information: Embedded Payloads |
Invoke-PSImage can be used to embed payload data within a new image file.(Citation: GitHub PSImage) |
||
Groups That Use This Software |
||
| ID | Name | References |
|---|---|---|
| G0034 | Sandworm Team |
(Citation: US District Court Indictment GRU Unit 74455 October 2020) |
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.