目录导航
LOLBAS 简介
LOLBAS(Living Off The Land Binaries, Scripts, and Libraries)是网络安全领域中的一个术语和项目,全称为「利用系统内置的二进制文件、脚本和库」。该项目旨在收集和归类可以被攻击者利用的、系统自带的合法工具。
在线地址
截图
什么是 LOLBAS?
LOLBAS 是指操作系统中原生存在、且通常用于管理和维护系统的工具,但在攻击过程中可以被滥用执行恶意行为,如:
- 下载和执行远程代码
- 绕过安全防护(如杀软、白名单)
- 权限提升
- 持久化植入
这些工具通常被称为:
- LOLBins(Binaries):如
powershell.exe,cmd.exe,mshta.exe - LOLScripts:如
.vbs,.js,.ps1脚本 - LOLLibs:如某些 DLL,可以通过合法程序动态加载执行
🛠 常见的 LOLBAS 工具举例
| 工具名 | 描述 | 恶意用途示例 |
|---|---|---|
powershell.exe | Windows 脚本语言 | 下载、解密、执行 payload |
regsvr32.exe | 注册 DLL 的工具 | 远程加载和执行 DLL |
mshta.exe | 运行 HTA 脚本 | 执行恶意 HTML 应用 |
certutil.exe | 管理证书 | 下载、Base64 编码/解码 |
rundll32.exe | 加载 DLL | 执行导出函数 |
wmic.exe | WMI 命令行工具 | 执行命令、信息收集 |
bitsadmin.exe | BITS 管理 | 下载远程文件 |
installutil.exe | 安装 .NET 程序 | 执行恶意 DLL 初始化函数 |
为什么它重要?
- 绕过防御:攻击者利用系统自带工具执行操作,能避开基于签名的防护措施。
- 难以检测:这些工具本身合法,难以通过静态检测手段判定其行为是否恶意。
- 后渗透常见技术:红队、APT、恶意软件中常见使用方式之一。
安全建议
- 开启应用控制(如 AppLocker、WDAC)
- 限制不常用的 LOLBAS 工具的执行权限
- 加强日志监控,关注非正常时间、非正常用户对这些工具的使用
- 利用 EDR 检测工具行为而非文件名
项目地址
转载请注明出处及链接