«PowerShell Runspace Portable Post Exploitation Tool» aka PowerOps es una aplicación escrita en C# que no se basa en powershell.exe sino que ejecuta los comandos y funciones de PowerShell en un entorno de espacio de ejecución de PowerShell (.NET). Intenta incluir varios módulos PowerShell ofensivos para hacer el proceso de post explotación más fácil.

Se trata de seguir el principio KISS, siendo lo más simple posible. El objetivo principal es hacer que sea fácil usar PowerShell ofensivamente y ayudar a evitar las soluciones antivirus y otras de mitigación. Esto se hace principalmente de dos formas:

  • No basándose en powershell.exe, llamando a PowerShell directamente a través del marco .NET, lo que podría ayudar a pasar por controles de seguridad como GPO, SRP y App Locker.
  • Los payloads se ejecutan desde la memoria (cadenas codificadas en base64) y nunca tocan el disco, evadiendo la mayoría de los antivirus.

PowerOps se inspira en Cn33liz/p0wnedShell. PowerOps ofrece básicamente un símbolo del sistema PowerShell interactivo con las herramientas PowerShell que incluye y, además, permite ejecutar cualquier comando válido PowerShell.

Herramientas/funciones que incluye:

Fuente: Segu Info

Compartir