LOLBAS(Living Off the Land Binaries and Scripts)是指一种网络攻击技术,攻击者利用目标系统中已存在的合法工具、脚本或二进制文件来执行恶意操作,而不是引入外部恶意软件或病毒。这种方法可以帮助攻击者避开传统安全防护,利用系统中的常见资源进行攻击,从而提高攻击的隐蔽性和成功率。

LOLBAS 的英文全称是 Living Off the Land Binaries and Scripts

它指的是攻击者利用目标环境中已存在的合法二进制文件、脚本或工具来执行恶意活动的一系列技术和战术。这种方法通过使用操作系统或其软件中常见的工具和资源,避免了引入外部恶意软件或可疑的可执行文件,从而帮助攻击者避免被检测。

换句话说,LOLBAS 攻击利用现有的工具,这些工具通常是系统管理员信任的,用来执行支持攻击者目标的命令,如横向移动、数据外泄或权限提升。

一些常见的 LOLBAS 工具包括 PowerShell、Windows 管理工具(WMI)、或者像 cmd.exenet.exe 等系统二进制文件,攻击者利用这些工具来执行他们的操作。

LOLBASLiving Off the Land Binaries and Scripts)是指一种网络攻击技术,攻击者利用目标系统中已存在的合法工具、脚本或二进制文件来执行恶意操作,而不是引入外部恶意软件或病毒。这种方法可以帮助攻击者避开传统安全防护,利用系统中的常见资源进行攻击,从而提高攻击的隐蔽性和成功率。

LOLBAS 是什么?

LOLBAS 是攻击者利用操作系统中原本就存在的工具、脚本或二进制文件进行攻击的一种手段。通常,这些工具和脚本是操作系统或第三方软件自带的,系统管理员也会信任并使用它们。攻击者通过滥用这些“合法”工具,而不是引入新型的恶意软件,从而绕过安全软件的检测。这种方法通常被称为“活用现成资源”或“生利用工具”。

LOLBAS 怎么样?

LOLBAS 的攻击方式通常包含以下几个特点:

  1. 利用现有工具: 攻击者不会在目标系统上安装新的恶意程序,而是使用操作系统自带的工具、脚本或命令行工具来执行恶意任务。常见的工具包括 PowerShellcmd.exenet.exeWindows Management Instrumentation (WMI) 等。

  2. 避免被检测: 由于攻击者使用的是系统本身的合法工具,这些工具通常不会引起防病毒软件的警觉。因此,LOLBAS 攻击比传统的恶意软件攻击更难被发现。

  3. 广泛的利用场景: 攻击者通过滥用这些工具,执行各种恶意操作,如获取系统权限(权限提升)、横向移动、数据窃取、信息收集等。

  4. 提高隐蔽性和可持续性: 由于这些工具在系统中是正常和常见的,因此它们的活动可能不会被安全软件、入侵检测系统(IDS)或其他安全防护机制检测到。

LOLBAS 为什么有效?

LOLBAS 攻击之所以有效,主要是因为它依赖于以下几个因素:

  1. 目标系统中已经存在恶意工具: 许多攻击工具(如 PowerShell、WMI、批处理脚本等)都是操作系统自带的,攻击者可以直接利用这些工具,而不需要安装外部恶意程序。系统本身的这些工具通常是受到信任的,因此很难被检测。

  2. 避免安全软件检测: 很多传统的安全防护软件侧重于监测恶意软件的行为和外部可执行文件,但LOLBA攻击避开了这些手段,因为它依赖的工具是“白名单”级别的系统工具。除非进行细粒度的行为分析,否则很难识别这些正常工具被滥用的情况。

  3. 灵活性和高效性: LOLBAS 攻击可以灵活地结合不同工具进行,攻击者可以根据目标环境的配置和防护措施,选择合适的工具进行攻击。由于这些工具都内建于操作系统中,攻击者能够快速地在目标网络内执行多个步骤,增加攻击的成功概率。

  4. 持久性: 攻击者可以利用这些工具进行持续的控制和横向移动,甚至可以建立长期的后门。由于这些工具没有被检测或移除,它们可以在系统内保持活跃,长期维持对系统的控制。

 

LOLBAS(Living Off the Land Binaries and Scripts)是一种非常隐蔽且有效的攻击技术,攻击者通过利用操作系统中已有的合法工具来执行恶意行为,而无需引入新的恶意代码。这使得攻击者能够绕过传统的防御措施,避免被检测,同时还能在目标环境内执行广泛的攻击活动,如权限提升、横向移动和数据窃取。由于这种攻击方式的高效性和隐蔽性,它已经成为现代网络攻击中常见的一种手段。

LOLBAS(Living Off the Land Binaries and Scripts) 是一种攻击策略,它基于使用目标系统本身已经存在的工具、脚本和二进制文件来执行恶意操作。这个思路和方法的核心在于绕过传统安全防护,而不需要引入外部恶意软件。攻击者通过滥用合法的系统资源和工具,既提高了攻击的隐蔽性,又减少了被检测的风险。

LOLBAS 的思路 

  1. 利用现有资源: LOLBAS 的核心思想就是利用目标系统中已有的合法工具和脚本,这些工具本来是为系统管理员和用户提供服务的,因此被信任且通常不被监控。例如,Windows 系统自带的 PowerShell、cmd、Windows Management Instrumentation(WMI)等工具,Linux 系统中的 Bash 脚本、Curl 等,都可以被攻击者滥用。

  2. 避免外部恶意软件: 攻击者通过滥用这些现有的工具,而不是通过引入外部的恶意程序或文件,极大地减少了攻击活动被安全软件检测到的机会。由于这些工具本身是“白名单”工具,防病毒软件和入侵检测系统(IDS)很难识别其恶意用途。

  3. 隐蔽性与长久性: LOLBAS 让攻击者可以在不暴露自己的情况下进行持续控制。通过利用系统中已经存在的脚本和命令行工具,攻击者能够高效地实施横向移动、权限提升、信息窃取等攻击,而这些操作通常不会引发警报,攻击者也能够长期保持对目标系统的访问。

  4. 自动化与灵活性: 由于大多数 LOLBAS 工具和命令都是基于脚本的,因此攻击者可以轻松编写自动化脚本来执行特定的攻击任务,这样可以高效地进行大规模攻击,或者针对特定目标进行定制化攻击。

LOLBAS 的范围

LOLBAS 攻击涉及到的工具和方法非常广泛,几乎可以覆盖到不同的操作系统和应用环境。以下是 LOLBAS 的常见范围和应用场景:

  1. 操作系统工具

    • Windows
      • PowerShell:攻击者可以使用 PowerShell 来执行恶意脚本、下载文件、上传文件、执行命令等。
      • cmd.exe:传统的 Windows 命令行工具,用来执行系统命令、创建进程、获取系统信息等。
      • Windows Management Instrumentation (WMI):攻击者可以通过 WMI 进行远程操作和命令执行,收集系统信息,甚至在目标系统上执行脚本。
      • Net.exe:用于管理网络连接、查看或修改网络共享、管理用户账户等,攻击者可通过它进行横向移动或更改系统配置。
    • Linux
      • Bash 脚本:Linux 系统中的常见命令行工具和脚本也可以被攻击者利用来执行恶意操作,类似于在 Windows 中滥用 PowerShell。
      • Cron Jobs:恶意用户可以利用 cron 服务在指定时间运行恶意命令,实现持久化。
      • Curl 和 Wget:这些工具通常用于从网络获取资源,攻击者可以用它们从恶意服务器下载恶意脚本或工具。
      • SSH:通过 SSH 进行远程控制,甚至利用 SSH 密钥来进行无密码登录,进一步渗透其他主机。

  2. 应用程序中的工具

    • Office 文件中的宏:攻击者通过滥用 Microsoft Office 中的宏功能,利用恶意 VBA 脚本来执行命令。
    • JavaScript:Web 应用中,JavaScript 文件也可以被滥用来进行跨站脚本攻击(XSS)或文件下载。
    • 远程桌面协议(RDP):通过滥用远程桌面协议,攻击者可以轻松控制目标系统的桌面界面,并进一步渗透。

  3. 自动化工具和脚本

    • 批处理脚本:Windows 系统中的批处理文件可以执行一系列命令,攻击者可以编写批处理脚本来执行恶意操作或提升权限。
    • PowerShell 脚本:PowerShell 脚本不仅能够执行本地操作,还能够通过远程 PowerShell 会话来执行攻击。

  4. 云环境与容器

    • AWS CLIAzure CLI:攻击者可能通过 AWS 或 Azure 提供的命令行工具来操控云环境,窃取数据或滥用资源。
    • Docker 容器:攻击者也可能通过滥用 Docker 容器中的工具,绕过容器级别的安全限制。

LOLBAS 的思考与应对

  1. 攻击者的思维方式

    • 最小化足迹:LOLBAS 技术要求攻击者的行为尽可能不引人注目,降低被发现的风险。因此,攻击者会选择那些目标系统已经信任且常见的工具。
    • 灵活性与适应性:根据不同的目标环境,攻击者会灵活调整使用的工具和方法,以确保攻击的顺利进行。
    • 链式攻击:通过一系列工具的组合,攻击者能够逐步获取权限、横向渗透、持久化、甚至破坏目标系统。LOLBA 技术可以使得每一步都能避开安全监控。

  2. 防御思路

    • 行为分析:相比单纯的基于特征的防护,行为分析能够帮助识别滥用系统工具的异常活动。例如,监控 PowerShell、WMI、Cmd 等工具的异常行为,尤其是它们执行的远程命令或文件下载。
    • 最小权限原则:限制不必要的脚本和工具的使用,特别是在生产环境中,减少管理员权限和脚本执行权限,以降低攻击面。
    • 文件和命令审计:通过细粒度的审计和日志分析,能够检测出不常见的命令行调用或系统行为,从而识别潜在的攻击活动。
    • 多重身份验证和远程会话监控:防止远程工具如 PowerShell 或 SSH 被滥用,可以通过强身份验证、端到端加密和严格的会话监控来降低风险。

 

LOLBAS 是一种非常隐蔽且高效的攻击方式,利用目标系统本身的合法工具、脚本或二进制文件来执行恶意操作。其思路的核心是避开传统的防病毒软件和入侵检测系统,最大程度上减少被发现的风险。由于这些工具通常是系统自带的、经过广泛信任的,因此它们成为攻击者的重要工具。要防范 LOLBAS 攻击,必须结合行为分析、最小权限原则、审计等措施,提升对不正常使用系统工具的监测能力。

LOLBAS(Living Off the Land Binaries and Scripts)是一个网络安全领域的术语,指的是攻击者利用目标系统中已有的合法工具、脚本和二进制文件来执行恶意操作的攻击策略。这个概念的核心在于“利用现有资源”而不是引入外部恶意软件,从而绕过传统的安全防护机制。LOLBAS 并不是某个具体的攻击技术或工具,而是一个广泛的攻击思想和策略,涵盖了多种利用现有系统资源的手段。

LOLBAS 的起源和发展

LOLBAS 的概念最早可以追溯到 2010 年代初期,尤其是在 Windows 操作系统和其工具集的环境中,随着攻击手段的不断演化,越来越多的攻击者意识到,利用已有的合法工具来执行恶意操作,不仅能够提高隐蔽性,还能规避传统的反病毒软件和入侵检测系统的检测。这种方法逐渐被广泛采用,尤其是在针对高价值目标的攻击中。

1. 初步思考和发展

LOLBAS 的思路在早期阶段并没有一个明确的定义。早期的攻击者发现,许多操作系统和应用程序都包含了能够被滥用的工具或脚本。例如,Windows 系统的 PowerShell、Windows Management Instrumentation(WMI)、CMD 等工具,Linux 系统的 Bash 脚本、Cron、SSH 等工具,实际上都有强大的功能,这些工具本来是为了系统管理和维护设计的,但攻击者能够利用它们执行远程代码、窃取数据、进行横向渗透等。

2. 命名与普及

“LOLBAS”这一术语的起源较为模糊,但它的普及可以追溯到 2017 年左右,尤其是在Red Team蓝队的对抗中,越来越多的渗透测试人员和安全专家开始意识到,攻击者并不总是依赖传统的恶意软件或外部漏洞,而是通过滥用目标系统中已经存在的工具来实现攻击目标。因此,"Living Off the Land"(意为“利用现有资源生存”)这一概念逐渐成为攻击者的一种常见策略,强调攻击者如何在“土地”上利用系统工具而非依赖外部恶意代码。

“Binaries and Scripts”(二进制文件与脚本)部分则是描述了攻击者如何滥用目标系统上的二进制可执行文件(例如 PowerShell、Net.exe)以及脚本工具(如 PowerShell 脚本、批处理文件等)来执行攻击活动。

3. LOLBAS 的应用与演化

随着网络安全领域的不断发展,LOLBAS 攻击手法在实际攻击中得到了广泛应用。越来越多的攻击者采用了这种隐蔽的方式来绕过传统防御。尤其是在面对高级持续性威胁(APT)和复杂的渗透攻击时,LOLBAS 技术常被用作攻击链的一部分。例如:

  • PowerShell:被广泛滥用于执行恶意脚本和下载恶意载荷。
  • WMI:可以在不通过文件的情况下远程执行命令和脚本。
  • Net.exe:常被用于横向渗透和更改系统配置。
  • CMD 和 Bash 脚本:攻击者通过命令行执行恶意操作。

随着这种技术被广泛应用,相关的安全研究人员开始更加关注如何防范这种基于已有工具和脚本的攻击方式。

4. 安全社区对 LOLBAS 的认识与防范

随着 LOLBAS 概念的逐渐成熟,安全研究者和专家也开始关注如何应对这类攻击。许多组织开始加强对系统行为的监控,尤其是针对常见系统工具(如 PowerShell、WMI、CMD)的使用,避免这些工具被滥用进行攻击。

例如,一些安全团队开发了工具和技术来检测可疑的命令行参数、脚本执行模式、文件访问行为等,从而发现恶意活动。此外,微软等公司也通过更新安全配置和发布最佳实践来帮助用户加强系统的防护,减少系统工具滥用的风险。

 

LOLBAS(Living Off the Land Binaries and Scripts)作为一种攻击策略的起源,可以追溯到 2010 年代初期,随着渗透测试和高级持续性威胁(APT)的演进,这种技术逐渐被广泛应用。攻击者通过利用目标系统中已有的合法工具和脚本执行恶意操作,避开传统的安全检测,增加了攻击的隐蔽性和持久性。随着这种攻击方式的普及,安全研究人员和组织也开始采取相应的防御措施,尤其是在对系统行为、命令行活动和脚本执行等方面加强监控和分析。

LOLBAS(Living Off the Land Binaries and Scripts)的发展可以分为多个阶段,每个阶段都标志着其概念的演进和对网络安全领域的影响。以下是LOLBA发展的几个主要阶段:

1. 初步出现和探索阶段(2010年代初期)

  • 背景:LOLBAS的初步出现与网络攻击手段的演变密切相关。早期的攻击主要依赖于引入外部恶意软件和利用系统漏洞进行攻击。然而,随着防病毒软件和入侵检测系统(IDS)技术的不断发展,攻击者发现单纯依赖恶意软件不再是理想的攻击方式。

  • “Living Off the Land”概念的形成:这一阶段,攻击者开始探索如何利用目标系统本身已存在的工具和资源进行攻击。操作系统(如Windows和Linux)自带的管理工具、脚本和命令行工具被发现具备强大的功能,可以被恶意滥用,且这些工具往往是“信任的”,从而绕过传统的安全防御。

    • Windows:如 PowerShell、WMIC、Net.exe 等系统工具,提供了执行代码和远程控制的能力。
    • Linux:如 Bash 脚本、SSH 和Cron等工具可以实现远程命令执行。

  • 早期案例:在这一阶段,一些渗透测试人员开始注意到,攻击者并不仅仅依赖外部代码或恶意软件,还可以利用这些现成的工具执行恶意命令。尽管这一阶段没有一个明确的“LOLBAS”概念,但攻击者的行为已经开始向这种“利用现有资源”的模式发展。

2. LOLBAS的形成与概念化(2017年左右)

  • 概念的确立:随着越来越多的网络攻击事件和渗透测试案例中,攻击者利用操作系统自带工具进行攻击的例子增多,LOLBAS作为一个明确的概念开始被定义和讨论。安全专家开始意识到,“Living Off the Land”这一攻击策略不仅限于某些简单的滥用工具,而是一种广泛的攻击思想,涵盖了系统中几乎所有可能的资源和脚本工具。

  • 相关的工具和脚本列举:随着LOLBA的概念逐渐被认可,安全研究人员开始归纳出大量被攻击者常用的系统工具、二进制文件和脚本。例如:

    • PowerShell:在Windows环境中,PowerShell被广泛用于执行恶意命令,且其强大的脚本编程能力让它成为了攻击者的常用工具。
    • WMI:Windows管理工具接口(WMI)被攻击者用于远程执行代码。
    • Net.exe:用于横向渗透和修改网络配置。
    • CMD/Bash:命令行脚本常用于执行恶意操作。

  • 首次公开列举和归类:一些安全研究人员和组织开始公开讨论和列举攻击者常用的LOLBAS工具,这也促使了安全防护技术和工具的开发。

3. 演化与普及阶段(2018年-2020年)

  • LOLBA的广泛应用:随着高级持续性威胁(APT)攻击和复杂渗透攻击的普及,LOLBAS攻击方法被广泛应用。攻击者发现通过利用系统内的工具来执行攻击,不仅能提高隐蔽性,还能避开基于签名的防御技术,如传统的防病毒软件和基于规则的入侵检测系统(IDS)。这种策略在现实中得到了广泛应用,特别是在高级攻击者(如APT组织)中。

  • 研究与防御发展

    • 研究:大量的研究和渗透测试报告开始关注LOLBAS攻击方法,分析攻击者如何滥用常见的操作系统工具,尤其是在渗透测试和蓝队防御过程中,LOLBAS成为了评估和防范的重点。
    • 防御技术的进展:安全厂商和组织开始增强对系统行为的监控,特别是对常用管理工具(如 PowerShell、WMI)的监控,旨在识别这些工具被滥用的情况。比如,微软推出了一些关于如何限制或监控这些工具的安全配置。

  • 对抗手段的提高:随着LOLBAS技术的普及,安全社区开始推出一些检测和防御措施。例如,微软提出了 PowerShell 的限制策略,建议禁用不必要的脚本执行,并加强日志记录与监控。

4. 安全防御与检测策略的发展(2021年至今)

  • 防御策略深化:随着LOLBAS的威胁变得更加复杂和多样,安全研究人员提出了多种防御方法。除了对系统行为进行更严格的监控,还进一步增强了对恶意脚本和工具的检测。

    • 行为分析与流量分析:安全厂商和企业开始加强对网络流量和系统行为的分析,识别出异常的命令行执行和脚本活动。通过集成基于行为的检测技术,可以有效识别由LOLBAS引发的攻击。
    • 加固管理工具:对系统中的管理工具(如 PowerShell、WMI、Net.exe)进行细粒度控制,限制其不必要的使用,并限制用户权限,减少被滥用的可能性。

  • 工具和技术的创新:在应对LOLBAS的过程中,出现了一些新的检测工具和技术。例如,某些EDR(端点检测与响应)系统增强了对命令行和脚本执行的监控,能更快地识别潜在的LOLBAS攻击。

  • 反LOLBAS的工具与框架:目前已经有一些专门的框架和工具被提出,专门用于检测LOLBAS攻击模式。例如:

    • Sysmon:Windows Sysinternals中的一个工具,用于监控系统中的活动,能提供对恶意活动的深入分析。
    • Threat Intelligence Feeds:一些威胁情报服务提供了有关LOLBAS工具的详细信息,帮助企业及时发现这些攻击迹象。

 

LOLBAS的演进经历了从早期的概念探索、工具滥用,到逐渐形成明确的攻击策略,再到防御技术不断完善的全过程。随着安全领域对这类攻击策略的认识和研究深入,防御手段和检测技术也在不断进化。如今,LOLBAS已成为高级持续性威胁(APT)和渗透测试中的常见攻击手段,其防范和检测仍然是网络安全研究中的一个重要课题。

LOLBAS(Living Off the Land Binaries and Scripts)是指攻击者利用目标系统中已存在的合法工具、脚本、二进制文件或管理工具进行恶意活动的行为。根据其功能,LOLBAS可以分为多个类别,每一类工具和脚本有其特定的用途和目的。以下是LOLBAS的常见功能分类:

1. 远程控制与命令执行

这些工具允许攻击者远程执行命令、进行系统控制,或者通过网络控制被攻击的机器。

  • PowerShell: 在Windows环境中,PowerShell是一种强大的命令行工具,攻击者常用其执行远程命令、下载恶意软件或执行脚本。
  • WMIC(Windows Management Instrumentation Command-line): 可用于执行远程命令和管理Windows系统。
  • SSH (Secure Shell): 用于通过加密的网络连接远程访问Linux/Unix系统,常被攻击者用于在受害系统上执行命令。
  • RDP (Remote Desktop Protocol): 被滥用进行远程桌面连接,控制目标系统。

2. 横向传播与网络操作

这些工具帮助攻击者在网络中传播,进行横向渗透,访问更多受害设备。

  • Net.exe: 用于管理网络连接、共享和用户账户。攻击者可以使用它来在网络中进行横向移动和渗透。
  • PsExec: 用于远程执行进程,在网络中的其他机器上运行命令。
  • WMI (Windows Management Instrumentation): 除了执行本地命令外,WMI还允许攻击者跨网络进行远程命令执行,通常用于横向移动。
  • Invoke-Command: 在PowerShell中用于执行远程命令,特别适用于Windows系统的远程执行。

3. 信息收集与侦察

这些工具用于从受害系统中收集信息,帮助攻击者了解系统环境、网络配置、用户账户等。

  • Netstat: 用于显示网络连接、路由表、接口状态等信息。攻击者通过使用它了解系统的网络配置和开放端口。
  • IPConfig: 显示网络接口信息(如IP地址、网关、DNS等),用于侦察目标系统的网络配置。
  • NirSoft工具: 该系列工具可以用来提取系统中存储的密码、Wi-Fi密码等敏感信息,帮助攻击者获取有价值的凭证。
  • Tasklist/Taskkill: 用于列出和结束进程,攻击者可以用它来识别并终止安全软件或分析进程。

4. 权限提升

这些工具被攻击者用来提升在目标系统中的权限,获取更高级别的访问权限或管理员权限。

  • Sudo: 在Linux/Unix系统中,sudo允许普通用户以管理员身份执行命令,攻击者可滥用这一点进行权限提升。
  • PowerUp: 是PowerShell脚本,用于提升Windows环境中的权限,攻击者通过执行特定命令获取系统管理员权限。
  • Mimikatz: 一款常用的密码提取工具,可以从内存中提取明文密码和哈希密码,通常用于提升攻击权限。

5. 持久化与后门

这些工具被用于在目标系统中保持持久化,确保即使攻击者断开连接,依然能够重新获取对系统的控制。

  • Task Scheduler (任务计划程序): 攻击者通过创建任务以便在系统重启后或某些事件发生时执行恶意代码。
  • Registry (注册表): 攻击者可修改Windows注册表以确保恶意代码随系统启动而自动运行。
  • Startup Folder: 在用户的启动文件夹中放置恶意程序,使其在登录时自动执行。
  • Netsh: 用于配置和修改网络设置,攻击者通过修改网络配置保证恶意软件能在系统上持久存在。

6. 数据窃取与外泄

这些工具和脚本帮助攻击者窃取、传输和上传敏感数据,或从目标系统中提取有价值的信息。

  • FTP: 用于通过文件传输协议传输数据,攻击者可以用它上传或下载恶意文件。
  • Certutil: Windows自带的命令行工具,攻击者可利用它下载恶意文件或执行其他恶意操作。
  • PowerShell (Invoke-WebRequest/Invoke-RestMethod): 攻击者使用PowerShell的网络请求功能上传和下载数据。
  • Rclone: 一种命令行工具,用于在云存储服务(如Google Drive、Dropbox等)和本地文件系统之间同步文件,攻击者用它来窃取或上传数据。

7. 反检测与规避

这些工具用于绕过安全防护机制、混淆攻击行为或隐藏恶意活动。

  • Sigcheck: Sysinternals工具,用于检查文件是否被篡改。攻击者使用它来验证文件的完整性,确保恶意软件未被安全软件检测到。
  • RunDLL32: 利用Windows的动态链接库加载功能,执行恶意代码而不被明显检测。
  • BITSAdmin: 用于管理后台智能传输服务(BITS),攻击者可以通过它下载和上传文件,避免被检测。

8. 脚本与自动化工具

这些工具和脚本帮助攻击者自动化任务,使得攻击活动更加高效。

  • Batch Scripts: 批处理脚本是Windows中的脚本语言,攻击者使用它们执行一系列的命令操作,能够自动化攻击步骤。
  • PowerShell Scripts: PowerShell不仅可以执行简单的命令,还可以编写复杂的脚本,用于自动化攻击过程、横向渗透和信息窃取等任务。

 

LOLBAS的功能分类反映了攻击者在进行网络攻击时,如何利用操作系统中合法的二进制文件、工具和脚本来达到各种目的。通过巧妙利用这些内置资源,攻击者不仅可以躲避安全软件的检测,还能高效执行各类攻击行为,如远程控制、横向渗透、信息收集、权限提升、持久化、数据窃取等。因此,防御人员需要对这些工具进行监控和限制,以提高对LOLBAS攻击的防御能力。

 

posted @ 2024-12-03 12:54  suv789  阅读(12)  评论(0编辑  收藏  举报