detecting-living-off-the-land-with-lolbas

通过进程遥测、Sigma 规则和父子进程分析,检测离地二进制文件(LOLBin/LOLBAS)滥用,包括 certutil、regsvr32、mshta 和 rundll32

9 stars

Best use case

detecting-living-off-the-land-with-lolbas is best used when you need a repeatable AI agent workflow instead of a one-off prompt.

通过进程遥测、Sigma 规则和父子进程分析,检测离地二进制文件(LOLBin/LOLBAS)滥用,包括 certutil、regsvr32、mshta 和 rundll32

Teams using detecting-living-off-the-land-with-lolbas should expect a more consistent output, faster repeated execution, less prompt rewriting.

When to use this skill

  • You want a reusable workflow that can be run more than once with consistent structure.

When not to use this skill

  • You only need a quick one-off answer and do not need a reusable workflow.
  • You cannot install or maintain the underlying files, dependencies, or repository context.

Installation

Claude Code / Cursor / Codex

$curl -o ~/.claude/skills/detecting-living-off-the-land-with-lolbas/SKILL.md --create-dirs "https://raw.githubusercontent.com/killvxk/cybersecurity-skills-zh/main/skills/detecting-living-off-the-land-with-lolbas/SKILL.md"

Manual Installation

  1. Download SKILL.md from GitHub
  2. Place it in .claude/skills/detecting-living-off-the-land-with-lolbas/SKILL.md inside your project
  3. Restart your AI agent — it will auto-discover the skill

How detecting-living-off-the-land-with-lolbas Compares

Feature / Agentdetecting-living-off-the-land-with-lolbasStandard Approach
Platform SupportNot specifiedLimited / Varies
Context Awareness High Baseline
Installation ComplexityUnknownN/A

Frequently Asked Questions

What does this skill do?

通过进程遥测、Sigma 规则和父子进程分析,检测离地二进制文件(LOLBin/LOLBAS)滥用,包括 certutil、regsvr32、mshta 和 rundll32

Where can I find the source code?

You can find the source code on GitHub using the link provided at the top of the page.

SKILL.md Source

# 使用 LOLBAS 检测离地攻击

## 概述

离地二进制文件、脚本和库(LOLBAS)是攻击者滥用的合法系统工具,用于在规避检测的同时执行恶意操作。本技能涵盖使用来自 Sysmon 和 Windows 事件日志的进程遥测,结合基于 Sigma 规则的检测,检测 certutil.exe、regsvr32.exe、mshta.exe、rundll32.exe、msbuild.exe 和其他 LOLBin 的滥用。

## 前置条件

- 启用了命令行日志的 Sysmon 或 Windows 安全事件日志(事件 ID 4688)
- Sigma 规则转换工具(sigmac 或 sigma-cli)
- SIEM 平台(Splunk、Elastic 或类似工具)用于日志摄入
- Python 3.8+ 及 pySigma 库
- LOLBAS 项目参考数据库

## 步骤

1. **建立 LOLBin 监视列表** — 构建优先监控的二进制文件列表(certutil、mshta、regsvr32、rundll32、msbuild、installutil、cmstp、wmic、bitsadmin)
2. **收集进程遥测** — 摄入带有完整命令行捕获的 Sysmon 事件 ID 1(进程创建)和 Windows 4688 事件
3. **构建 Sigma 检测规则** — 为每个 LOLBin 创建匹配可疑命令行参数、网络活动和父子进程异常的 Sigma 规则
4. **分析父子关系** — 标记产生 LOLBin 的意外父进程(如 Excel 产生 certutil、Word 产生 mshta)
5. **评分和优先排序告警** — 基于参数异常、父进程、执行路径和网络指标应用风险评分
6. **生成检测报告** — 生成包含所有 LOLBin 滥用检测及 MITRE ATT&CK 映射的结构化报告

## 预期输出

- JSON 报告,列出检测到的带严重性分数的 LOLBin 滥用事件
- 每个检测的 MITRE ATT&CK 技术映射(T1218、T1105、T1140、T1127)
- 父子进程异常分析
- 带原始事件数据的 Sigma 规则匹配详情

Related Skills

performing-threat-landscape-assessment-for-sector

9
from killvxk/cybersecurity-skills-zh

通过分析威胁行为者定向攻击模式、常见攻击向量和行业特定漏洞,开展行业特定威胁态势评估,为组织风险管理提供决策依据

hunting-living-off-the-land-binaries

9
from killvxk/cybersecurity-skills-zh

检测 Windows 事件日志和 Sysmon 遥测数据中对离地攻击(Living Off The Land Binaries,LOLBAS)的滥用, 包括 certutil、wmic、mshta、regsvr32 和 rundll32 等工具。 通过将进程创建事件与 LOLBAS 项目数据库交叉比对来构建检测规则。 适用于针对无文件攻击技术的威胁狩猎或构建 SIEM 检测规则的场景。

hunting-for-living-off-the-land-binaries

9
from killvxk/cybersecurity-skills-zh

主动狩猎攻击者滥用合法系统二进制文件(LOLBin)执行恶意载荷并规避检测的行为。

hunting-for-living-off-the-cloud-techniques

9
from killvxk/cybersecurity-skills-zh

狩猎攻击者滥用合法云服务(Azure、AWS、GCP 和 SaaS 平台)进行 C2、数据暂存和数据外泄的行为。

detecting-wmi-persistence

9
from killvxk/cybersecurity-skills-zh

通过分析 Sysmon 事件 ID 19、20 和 21 中的恶意 EventFilter、EventConsumer 和 FilterToConsumerBinding 创建,检测 WMI 事件订阅持久化。

detecting-t1548-abuse-elevation-control-mechanism

9
from killvxk/cybersecurity-skills-zh

通过监控注册表修改、进程提升标志和异常的父子进程关系,检测提升控制机制滥用,包括 UAC 绕过、sudo 利用和 setuid/setgid 操纵。

detecting-t1055-process-injection-with-sysmon

9
from killvxk/cybersecurity-skills-zh

通过分析 Sysmon 事件中的跨进程内存操作、远程线程创建和异常 DLL 加载模式,检测进程注入技术(T1055),包括经典 DLL 注入、进程镂空和 APC 注入。

detecting-t1003-credential-dumping-with-edr

9
from killvxk/cybersecurity-skills-zh

利用 EDR 遥测数据、Sysmon 进程访问监控和 Windows 安全事件关联,检测针对 LSASS 内存、SAM 数据库、NTDS.dit 和缓存凭据的 OS 凭据转储技术。

detecting-suspicious-powershell-execution

9
from killvxk/cybersecurity-skills-zh

检测可疑的 PowerShell 执行模式,包括编码命令、下载器(download cradles)、AMSI 绕过尝试以及受限语言模式规避。

detecting-suspicious-oauth-application-consent

9
from killvxk/cybersecurity-skills-zh

使用 Microsoft Graph API、审计日志和权限分析,检测 Azure AD / Microsoft Entra ID 中的高风险 OAuth 应用授权同意,识别非法同意授权攻击。

detecting-supply-chain-attacks-in-ci-cd

9
from killvxk/cybersecurity-skills-zh

扫描 GitHub Actions 工作流和 CI/CD 流水线配置,检测供应链攻击(Supply Chain Attack)向量, 包括未固定的 Action 版本、通过表达式的脚本注入、依赖混淆(Dependency Confusion)和密钥泄露。 使用 PyGithub 和 YAML 解析进行自动化审计。适用于加固 CI/CD 流水线或调查被攻击的构建系统。

detecting-stuxnet-style-attacks

9
from killvxk/cybersecurity-skills-zh

本技能涵盖检测遵循Stuxnet攻击模式的复杂网络物理攻击——在修改PLC逻辑的同时欺骗传感器读数以向操作员隐藏操控行为。内容涉及PLC逻辑完整性监控、基于物理的过程异常检测、工程师工作站入侵指标、USB传播攻击向量,以及从IT到OT横向移动直至过程操控的多阶段攻击链检测。