我发现恶意软件开发人员用来执行基本任务的技术。我们知道lolbins [ 1 ]是用于执行恶意活动的预安装工具。例如,许多lolbin用于从Internet下载某些内容。一些工具功能如此强大,以至于它们也可以用来执行意外的任务。我找到了一篇有趣的博客文章[ 2 ],其中描述了如何使用curl来复制文件!
C:\Users\REM> curl file://c:\test\test.txt -o newfile.txt
您是否要再举个例子?某些工具可能会偏离其常规使用方式,例如ping.exe:
C:\Users\REM\Desktop>ping -n 5 127.0.0.1
此命令将以一秒的间隔发送五个Echo-Request ICMP数据包,因此它将在大约五秒钟后完成。使用ping.exe并不是很谨慎,因为将启动一个新进程,并且可以通过Sysmon之类的工具发现该进程。您知道很多在公司计算机上使用ping的非技术人员吗?
但是ping.exe对于恶意软件检测计算机是否可以解析主机名并具有Internet连接非常有用。您可以使用Powershell来实现此目的,而不是使用ping命令:
昨天,我发现了一个恶意的PowerShell脚本,该脚本使用了以前从未见过的另一种技术。这次,该技术基于WMI查询!
结论:请记住,攻击者可以使用多种技术来执行简单的任务并破坏您的检测规则和/或控制。
如果您已经遇到其他技巧,请分享!
[1] https://lolbas-project.github.io
[2] https://www.hexacorn.com/blog/2021/05/02/curo-bin/