GustavoDLadeia/THREAT-HUNTING-powershell-lolbins

# 通过 PowerShell 和 LOLBins 进行间接执行 ## 概述 在本次调查中，我探索了使用合法系统工具进行间接执行的模式。 分析始于在受控环境中观察到的行为所提出的假设。目的是通过进程与系统操作之间的关联来识别恶意活动的迹象。 在此次威胁狩猎活动中发现的模式，与之前在动态分析中观察到的行为一致，在当时的动态分析中，`regsvcs.exe` 被用于恶意代码的间接执行。 ## 目标 识别与使用合法二进制文件 相关的可疑 PowerShell 执行，重点关注 Windows 端点上的恶意活动。 ## 假设 攻击者可能会使用 `regsvcs.exe` 等合法二进制文件来间接执行 PowerShell，并采用混淆命令来逃避检测和执行恶意 Payload。 ## 数据源 * Windows 安全日志 (`Event ID 4688`) * PowerShell 日志 (`Event ID 4104`) * Sysmon (`Event ID 1`) * EDR (进程和命令行遥测) ## 查询 / 搜索逻辑 搜索以下项之间的关联： ### 带有可疑参数的 `powershell.exe` 执行 * `-enc` * `-nop` * `-w hidden` ### 通过不常见进程执行 * `regsvcs.exe` * `cmd.exe` * `wscript.exe` ### 异常进程链 ``` explorer.exe └── unknown binary └── regsvcs.exe └── powershell.exe ``` ### 基于以下组合的检测 * 子进程 `powershell.exe` * 不常见的父进程 (`regsvcs.exe`, `wscript.exe`, `cmd.exe`) * 存在表明混淆的标志： * `-enc` * `-nop` * `-w hidden` ## 可疑命令示例 ``` powershell.exe -nop -w hidden -enc SQBmACgAJABQAFMAVgBlAHIAcwBpAG8AbgBUAGEAYgBsAGUALgBQAFMAVgBlAHIAcwBpAG8AbgApAA== ``` ### 解释 | 标志 | 描述 | | ----------- | ---------------------------------------------- | | `-nop` | 避免加载配置文件 (更干净的执行) | | `-w hidden` | 对用户隐藏执行窗口 | | `-enc` | 编码命令 (混淆) | ## 分析 通过合法进程执行 PowerShell 表明存在使用**就地取材二进制文件**的逃避尝试。 编码命令的出现强化了隐藏执行内容的意图，使得检查和检测变得更加困难。 当这种情况与异常的进程链以及可能由用户交互引发的来源相关联时，此活动表明了存在带有恶意 Payload 执行的初始妥协。 ## 与 MITRE ATT&CK 的关联 | 技术 | 描述 | | ------- | ---------------------------------------------- | | `T1059` | 命令和脚本解释器 (PowerShell) | | `T1027` | 混淆/压缩的文件与信息 | | `T1218` | 签名二进制文件代理执行 | | `T1204` | 用户执行 | 识别出的技术表明： * 间接代码执行 (`T1218`) * 使用脚本解释器 (`T1059`) * 混淆 (`T1027`) 构成了攻击早期阶段典型的一组逃避和 Payload 执行技术。 ## Sysmon 日志模拟 ``` 1 C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe C:\Windows\Microsoft.NET\Framework64\v4.0.30319\regsvcs.exe powershell.exe -nop -w hidden -enc SQBmACgAJABQAFMAVgBlAHIAcwBpAG8AbgBUAGEAYgBsAGUALgBQAFMAVgBlAHIAcwBpAG8AbgApAA== ``` ## 观察结果 * 以隐藏模式执行的 PowerShell * 可疑的父进程 (`regsvcs.exe`) * 混淆的命令 ## 可能的误报 * 自动化运维脚本 * 部署工具 (例如：SCCM，企业脚本) * 使用 `regsvcs.exe` 注册 .NET 组件的合法软件 ## 区分合法与恶意使用 | 指标 | 恶意使用 | 合法使用 | | -------------------- | --------------- | ---------------------- | | 混淆 (`-enc`) | 常见 | 罕见 | | `-w hidden` | 频繁 | 不常见 | | 异常父进程 | 频繁 | 罕见 | | 不规则频率 | 是 | 通常有规律 | | 用户源 | 可疑 | 管理操作 | 区分合法使用和恶意使用的主要依据在于是否存在混淆和异常的执行链，这些因素在合法的管理活动中很少观察到。 ## 结论 识别出的模式与逃避技术和恶意代码的间接执行一致，使用了 PowerShell 结合 LOLBins。 混淆命令和异常进程链的存在表明极有可能是初始妥协，需要立即进行调查。 此模式通常与妥协的早期阶段相关，允许攻击者： * 执行任意代码 * 建立持久化 * 准备数据窃取 ## 建议措施 * 调查已执行的 PowerShell 命令 * 解码 Base64 内容 * 隔离具有类似行为的端点 * 监控 LOLBin 的使用 * 基于以下内容创建检测规则： * `-enc` * `-nop` * `-w hidden` * 通过 `regsvcs.exe` 执行 ## 可能适用的 Sigma/SIEM 规则 以下规则示例化了基于威胁狩猎过程中识别出的模式的可能检测机制。 ### Sigma 规则 — 通过 LOLBins 检测可疑 PowerShell ``` title: Suspicious PowerShell Execution via LOLBins id: 8f4d5b1f-8f12-4c12-91d3-7c5e12345678 status: experimental description: Detects suspicious PowerShell execution via LOLBins using parameters associated with obfuscation. author: Gustavo date: 2026/04/14 logsource: category: process_creation product: windows detection: selection_parent: ParentImage|endswith: - '\regsvcs.exe' - '\cmd.exe' - '\wscript.exe' selection_powershell: Image|endswith: '\powershell.exe' selection_flags: CommandLine|contains: - '-enc' - '-nop' - '-w hidden' condition: selection_parent and selection_powershell and selection_flags falsepositives: - Automated administrative scripts - Corporate deployment tools level: high tags: - attack.execution - attack.t1059 - attack.t1218 - attack.t1027 ``` ### SIEM 规则 (Splunk / 通用) ``` index=windows_logs EventCode=4688 | where NewProcessName="*powershell.exe" | where ParentProcessName IN ("*regsvcs.exe","*cmd.exe","*wscript.exe") | where CommandLine LIKE "%-enc%" OR CommandLine LIKE "%-nop%" OR CommandLine LIKE "%-w hidden%" | table _time, ComputerName, User, ParentProcessName, NewProcessName, CommandLine | sort - _time ```

标签：AI合规, AMSI绕过, DAST, DNS 反向解析, EDR, LOLBins, OpenCanary, PowerShell攻击, regsvcs.exe, Sysmon, URL发现, 命令行分析, 威胁检测, 安全日志, 安全检测, 恶意软件分析, 攻击溯源, 数据展示, 混淆执行, 知识库安全, 端点安全, 系统二进制文件滥用, 红队, 网络安全, 脆弱性评估, 补丁管理, 进程分析, 隐私保护