1. 首页 > 手游资讯

网络犯罪分子最喜爱的LOLBins 网络犯罪的11种案件

作者:admin 更新时间:2024-10-26
摘要:换句话说,网络犯罪分子的主要目标是使恶意活动的检测变得困难。因此,安全专家长期以来一直监控潜在不安全的可执行文件、脚本和库的活动,甚至在GitHub的LOLBA,网络犯罪分子最喜爱的LOLBins 网络犯罪的11种案件

 

很多朋友对于网络犯罪分子最喜欢的LOLBins 工具和不太懂,今天就由小编来为大家分享,希望可以帮助到大家,下面一起来看看吧!

换句话说,网络犯罪分子的主要目标是使恶意活动的检测变得困难。因此,安全专家长期以来一直监控潜在不安全的可执行文件、脚本和库的活动,甚至在GitHub 的LOLBAS 项目中维护某种注册表。

卡巴斯基托管检测和响应(MDR)同事在许多业务领域保护公司,这种方法在实际攻击中经常使用。在《管理检测和响应分析师报告》 中,同事检查了最常用于攻击现代企业的系统组件。以下是调查结果:

第一名是Powershell

PowerShell 是一种具有命令行界面的软件引擎和脚本语言。尽管微软努力让这个工具更加安全可控,但它仍然是迄今为止网络犯罪分子中最常见的合法工具。在我们的管理检测和响应服务发现的事件中,3.3% 涉及尝试利用PowerShell。此外,如果我们将调查限制在关键事件上,我们发现五分之一的事件涉及PowerShell(准确地说是20.3%)。

第二位是rundll32.exe

第二位是rundll32 主机进程,它是用于运行动态链接库(DLL) 的代码。 rundll32 参与了2% 的所有事件和5.1% 的关键事件。

第三名是几个实用程序

我们发现,五种程序工具占所有安全事件的1.9%。

te.exe:测试编写和执行框架的一部分。 PsExec.exe:用于在远程系统上运行进程的工具。 CertUtil.exe:用于处理来自证书颁发机构的信息的工具。 Reg.exe:Microsoft 注册表控制台工具,用于从命令行更改和添加系统注册表中的条目。 Reg.exe:Microsoft 注册表控制台工具,用于从命令行更改和添加系统注册表中的条目。这五个可执行文件用于7.2% 的关键事件。

卡巴斯基管理检测和响应服务专家还观察了msiexec.exe、remote.exe、atbrocker.exe、cscript.exe、netsh.exe、schtasks.exe、excel.exe、print.exe、mshta.exe、msbuild。 exe、powerpnt.exe、dllhost.exe、regsvr32.exe、winword.exe 和shell32.exe 都被使用。