danzek/awesome-lol-commonly-abused
GitHub: danzek/awesome-lol-commonly-abused
一份系统性的攻防资源索引,汇总了跨平台、跨云环境的「Living off the Land」技术、被滥用工具与检测参考资料。
Stars: 34 | Forks: 6
# Awesome LOL / 常被滥用 [](https://awesome.re)
[
](https://github.com/danzek/awesome-lol-commonly-abused)
Living off the Land (LOL / LoTL) 是一种攻击策略,攻击者依赖目标环境中已有的工具、二进制文件和功能,以融入正常活动并逃避检测(而不是引入外部恶意软件)。这份精选列表汇总了 LOL 资源、参考项目,以及跨云 & SaaS 应用、DevOps 流水线、端点(Windows, macOS, Unix)、硬件和网络的常用被滥用工具与技术。对于红队成员、威胁猎人和构建检测的防御者非常有用。
*[欢迎贡献](https://github.com/danzek/awesome-lol-commonly-abused/blob/main/contributing.md)。*
## 目录
- [API](#api)
- [Cloud & App](#cloud--app)
- [AWS](#aws)
- [Azure](#azure)
- [M365](#m365)
- [General Cloud](#general-cloud)
- [DevOps](#devops)
- [Endpoint](#endpoint)
- [General Endpoint](#general-endpoint)
- [macOS](#macos)
- [Unix](#unix)
- [Windows](#windows)
- [Hardware](#hardware)
- [Network](#network)
- [SecOps](#secops)
## API
与应用程序编程接口 相关。
- [LOLAPI](https://themagicclaw.github.io/LOLAPI/) - 编录了跨 Windows、Cloud 和 Browser 平台的真实被滥用 API——包含检测策略、缓解指导和红队 POC。
## Cloud & App
与云环境 / 服务或 SaaS 应用相关。
### AWS
与 Amazon Web Services (AWS) 相关。
- [TrailDiscover](https://traildiscover.cloud/) - 一个不断发展的 CloudTrail 事件存储库,包含详细描述、MITRE ATT&CK 见解、真实事件、参考和安全影响。
### Azure
与 Microsoft Azure 相关。
- [Azure IP Lookup](https://www.azurespeed.com/Azure/IPLookup) - 查找给定 IP 地址或域名的 Azure 服务标签 和区域详情。该工具利用 Microsoft 发布的服务标签文件将 IP 地址映射到物理数据中心和云服务。通过根据这些文件检查提供的 IP 地址或域,它可以识别该 IP 是否属于 Azure、它属于哪个服务标签,以及它源自哪个 Azure 区域。
- [Entra ID First Party Apps & Scope Browser](https://entrascopes.com/) - 浏览和探索第一方应用程序,包括其在 Microsoft Entra ID 中的预先许可权限。支持筛选易受 ConsentFix/AuthCodeFix 影响且拥有条件访问策略默认例外的 Microsoft 第一方应用。
- [Microsoft Graph Permissions Explorer](https://graphpermissions.merill.net/permission/) - MS Graph 权限及其启用的 API 以及每个调用应用程序暴露的数据对象的参考。
### M365
与 Microsoft 365 相关。
- [Microsoft 365 Application IDs – BEC Investigation Resources](https://byteintocyber.com/microsoft-365-application-ids-bec-investigation-resources/) - M365 中应用程序 ID 的参考。
### General Cloud
与云 & 应用相关的信息,不限于特定的云环境或应用(例如 SaaS)。
- [AI Agent Index](https://aiagentindex.mit.edu/) - MIT 的 AI Agent Index 是一个公共数据库,用于记录有关当前部署的代理 AI 系统的信息。
- [Cloud Native Landscape](https://landscape.cncf.io) - Cloud Native Interactive Landscape 对数百个项目和产品进行过滤和排序,并显示详细信息,包括 GitHub 星标、资金、首次和最后一次提交、贡献者数量和总部所在地。该项目旨在为以前未绘制的云原生技术领域绘制地图。它试图对云原生领域的大多数项目和产品进行分类。部署云原生应用程序有许多途径,其中 CNCF Projects 代表了一条特别成熟的路径。
- [Hacking the Cloud](https://hackingthe.cloud) - 攻击性安全专业人员在下一次云利用冒险中可以使用的攻击/战术/技术百科全书。目标是与安全社区分享这些知识,以更好地防御云原生技术。
- [RogueApps](https://huntresslabs.github.io/rogueapps) - RogueApps 项目记录了“好应用变坏”的情况。RogueApps 是 OIDC/OAuth 2.0 应用程序,虽然本身并非恶意,但经常被滥用并用于恶意目的。该存储库记录了 SaaS、OIDC 和 OAuth 2.0 应用程序的新兴攻击面,这些应用程序在入侵期间为攻击者提供帮助。如果应用程序并非专为恶意目的创建,但在身份入侵期间被观察到,它就是一个 RogueApp。
## DevOps
与开发运维 相关,包括软件开发生命周期 (SDLC)、CI/CD、DevSecOps 以及软件开发和 IT 运营之间的其他集成。
- [LoLCerts](https://github.com/WithSecureLabs/lolcerts) - Living Off The Leaked Certificates。一个已知被泄露或被盗、随后被威胁行为者滥用的代码签名证书存储库。
- [LOTP](https://boostsecurityio.github.io/lotp/) - Living Off the Pipeline。LOTP 项目的目的是盘点开发工具(通常是 CLI)在 CI/CD 流水线中常用的、具有鲜为人知的“设计即 RCE”功能(“足枪/foot guns”),或者更广泛地说,如何通过运行不受信任的代码更改或在工作流注入后实现任意代码执行。
## Endpoint
专注于端点(即服务器和工作站)。
### General Endpoint
与操作系统无关的端点相关信息。
- [Bootloaders.io](https://www.bootloaders.io) - 各种操作系统的已知恶意引导程序精选列表。
- [Evasion Techniques](https://evasions.checkpoint.com/about/) - 规避和反调试技术百科全书。
- [Filesec.io](https://filesec.io) - 攻击者正在使用的文件扩展名。按功能和操作系统标记。
- [LOLAPPS](https://lolapps-project.github.io) - Living Off The Land Applications:为应用程序利用提供便利。创建这个项目是因为利用不仅限于使用命令行技术的二进制文件。内置和第三方应用程序自古以来就被用于恶意获利,了解这些方法可以在万不得已时提供帮助。
- [LOLESXi](https://lolesxi-project.github.io/LOLESXi/) - Living Off The Land ESXi 包含了 VMware ESXi 中原生可用的二进制文件/脚本的完整列表,这些已被攻击者在操作中使用。
- [LOLGlobs](https://0xv1n.github.io/LOLGlobs/) - 针对 Linux、macOS、Windows CMD 和 PowerShell 的基于 glob 的命令混淆技术的可搜索目录。使用通配符(`*`、`?`、`[]`)在不拼写完整命令名称的情况下启动进程,可以绕过 AV、EDR 和 WAF 产品中基于特征的检测。
- [LOLRMM](https://lolrmm.io) - 可能被威胁行为者滥用的远程监控和管理 (RMM) 工具精选列表。
- [Sploitify](https://sploitify.haxx.it/) - 交互式速查表,包含精选的公共服务器端漏洞利用列表(大部分)。
- [WTFBins](https://wtfbins.wtf) - 行为完全像恶意软件的二进制文件,除了……不知何故它们不是?该项目旨在编录表现出可疑行为的良性应用程序。这些二进制文件可能会在威胁搜寻和自动检测中产生噪音和误报。通过在此编录它们,希望允许防御者改进其检测规则和威胁搜寻查询。
### macOS
特定于 macOS 或 Mac OS X。
- [LOOBins](https://www.loobins.io) - Living Off the Orchard (LOO): macOS Binaries (LOOBins) 旨在提供有关各种内置 macOS 二进制文件以及威胁行为者如何将其用于恶意目的的详细信息。
### Unix
Unix 特定。
- [Argument Injection Vectors](https://sonarsource.github.io/argument-injection-vectors/) - 处理参数注入漏洞时可利用选项的精选列表。这些不是相关程序中的漏洞,而是已证明在非常特定的情况下对攻击者有用的预期功能。
- [GTFOArgs](https://gtfoargs.github.io) - 可用于参数注入的 Unix 二进制文件精选列表,可能导致安全漏洞。
- [GTFOBins](https://gtfobins.github.io) - 可用于绕过配置错误系统中的本地安全限制的 Unix 二进制文件精选列表。
- [ofasgard/lcdbins](https://github.com/ofasgard/lcdbins) - lcdbin 是最低标准二进制文件——除了极少数例外,它应该存在于任何基于 UNIX 的操作系统上。该存储库是使用 lcdbins 执行枚举和后渗透活动的单行命令集合,这些活动通常你会使用其他工具(如 id、netstat 或 python)。当你发现自己处于一个缺少常用工具的精简环境中时,可以使用它们。
### Windows
Windows 特定。
- [BYOL](https://cloud.google.com/blog/topics/threat-intelligence/bring-your-own-land-novel-red-teaming-technique/) - Bring Your Own Land (BYOL)。完全在内存中执行自定义的基于 C# 的程序集,以减少对目标系统上现有工具的依赖。
- [HijackLibs](https://hijacklibs.net) - DLL 劫持候选列表。保持了 DLL 与易受攻击可执行文件之间的映射,可以通过该网站进行搜索。
- [LOFLCAB](https://lofl-project.github.io) - Living off the Foreign Land Cmdlets and Binaries。LOFL 项目的目标是记录可用于 Living Off the Foreign Land 技术的每个 cmdlet、二进制文件、脚本和 WMI 类。
- [LOLAD](https://lolad-project.github.io) - Living Off The Land and Exploitation Active Directory。LOLAD and Exploitation 项目提供了 Active Directory 技术、命令和函数的综合集合,这些技术、命令和函数可以原生用于支持攻击性安全操作和红队演练。这些技术利用 AD 的内置工具进行侦察、权限提升和横向移动等战术。
- [LOLBAS](https://lolbas-project.github.io) - Living Off The Land Binaries, Scripts and Libraries。LOLBAS 项目的目标是记录每个可用于 Living Off the Land 技术的二进制文件、脚本和库。
- [LOLBins CTI-Driven](https://lolbins-ctidriven.vercel.app) - LOLBins CTI-Driven (Living-Off-the-Land Binaries Cyber Threat Intelligence Driven) 是一个项目,旨在通过网络威胁情报平台 (TIP) 使用 STIX 格式,以图形化和易于理解的格式帮助网络防御者了解威胁行为者在入侵期间如何使用 LOLBin 二进制文件。
- [LOLDrivers](https://www.loldrivers.io) - Living Off The Land Drivers。LOLDrivers 是攻击者用来绕过安全控制并实施攻击的 Windows 驱动程序精选列表。
- [MalAPI.io](https://malapi.io) - 将 Windows API 映射到恶意软件常用的技术。
- [Persistence Info](https://persistence-info.github.io) - 关于 Windows 持久化机制的精选信息,以提高保护/检测效率。
- [WADComs](https://wadcoms.github.io) - 交互式速查表,包含针对 Windows / Active Directory 环境使用的精选攻击性安全工具及其相应命令列表。
## Hardware
与不被视为传统端点的硬件设备相关(例如,可移动存储设备、Arduino、Flipper Zero 等)。
- [LOTHardware](https://lothardware.com.tr) - Living off the Hardware Project。LOTHardware 是一个资源集合,提供有关识别和利用恶意硬件及恶意设备的指导。
## Network
网络特定或与网络流量相关,但不限于某一特定操作系统。
- [anderspitman/awesome-tunneling](https://github.com/anderspitman/awesome-tunneling) - ngrok/Cloudflare Tunnel 替代品以及其他隧道软件和服务列表。专注于自托管。
- [LOLC2](https://lolc2.github.io) - 利用合法服务逃避检测的 C2 框架集合。
- [LOTS Project](https://lots-project.com) - Living Off Trusted Sites (LOTS) Project。攻击者在进行网络钓鱼、命令和控制、数据窃取和下载工具时使用流行的合法域以逃避检测。这个精选的网站列表允许攻击者使用他们的域或子域。
- [LOTTunnels](https://lottunnels.github.io) - Living Off The Tunnels。LOTTunnels 项目是一个社区驱动的项目,用于记录可被威胁行为者以及内部人员滥用于数据窃取、持久化、Shell 访问等的数字隧道。
## SecOps
与安全运营 相关,包括 SIEM、SOAR、EDR 以及用于威胁搜寻、Playbook 自动化、事件协调等其他网络安全与 IT 运营集成工具。
- [LoFP](https://br0k3nlab.com/LoFP/) - Living off the False Positive 是一个自动生成的误报集合,来源于一些最流行的规则集。信息按 MITRE ATT&CK 技术、规则来源和数据源进行分类。条目包括相关规则的详细信息及其描述和检测逻辑。
- [Project LOST](https://0xanalyst.github.io/Project-Lost/) - Living Off Security Tools。攻击者用来绕过安全控制并实施攻击的安全工具精选列表。
](https://github.com/danzek/awesome-lol-commonly-abused)
Living off the Land (LOL / LoTL) 是一种攻击策略,攻击者依赖目标环境中已有的工具、二进制文件和功能,以融入正常活动并逃避检测(而不是引入外部恶意软件)。这份精选列表汇总了 LOL 资源、参考项目,以及跨云 & SaaS 应用、DevOps 流水线、端点(Windows, macOS, Unix)、硬件和网络的常用被滥用工具与技术。对于红队成员、威胁猎人和构建检测的防御者非常有用。
*[欢迎贡献](https://github.com/danzek/awesome-lol-commonly-abused/blob/main/contributing.md)。*
## 目录
- [API](#api)
- [Cloud & App](#cloud--app)
- [AWS](#aws)
- [Azure](#azure)
- [M365](#m365)
- [General Cloud](#general-cloud)
- [DevOps](#devops)
- [Endpoint](#endpoint)
- [General Endpoint](#general-endpoint)
- [macOS](#macos)
- [Unix](#unix)
- [Windows](#windows)
- [Hardware](#hardware)
- [Network](#network)
- [SecOps](#secops)
## API
与应用程序编程接口 相关。
- [LOLAPI](https://themagicclaw.github.io/LOLAPI/) - 编录了跨 Windows、Cloud 和 Browser 平台的真实被滥用 API——包含检测策略、缓解指导和红队 POC。
## Cloud & App
与云环境 / 服务或 SaaS 应用相关。
### AWS
与 Amazon Web Services (AWS) 相关。
- [TrailDiscover](https://traildiscover.cloud/) - 一个不断发展的 CloudTrail 事件存储库,包含详细描述、MITRE ATT&CK 见解、真实事件、参考和安全影响。
### Azure
与 Microsoft Azure 相关。
- [Azure IP Lookup](https://www.azurespeed.com/Azure/IPLookup) - 查找给定 IP 地址或域名的 Azure 服务标签 和区域详情。该工具利用 Microsoft 发布的服务标签文件将 IP 地址映射到物理数据中心和云服务。通过根据这些文件检查提供的 IP 地址或域,它可以识别该 IP 是否属于 Azure、它属于哪个服务标签,以及它源自哪个 Azure 区域。
- [Entra ID First Party Apps & Scope Browser](https://entrascopes.com/) - 浏览和探索第一方应用程序,包括其在 Microsoft Entra ID 中的预先许可权限。支持筛选易受 ConsentFix/AuthCodeFix 影响且拥有条件访问策略默认例外的 Microsoft 第一方应用。
- [Microsoft Graph Permissions Explorer](https://graphpermissions.merill.net/permission/) - MS Graph 权限及其启用的 API 以及每个调用应用程序暴露的数据对象的参考。
### M365
与 Microsoft 365 相关。
- [Microsoft 365 Application IDs – BEC Investigation Resources](https://byteintocyber.com/microsoft-365-application-ids-bec-investigation-resources/) - M365 中应用程序 ID 的参考。
### General Cloud
与云 & 应用相关的信息,不限于特定的云环境或应用(例如 SaaS)。
- [AI Agent Index](https://aiagentindex.mit.edu/) - MIT 的 AI Agent Index 是一个公共数据库,用于记录有关当前部署的代理 AI 系统的信息。
- [Cloud Native Landscape](https://landscape.cncf.io) - Cloud Native Interactive Landscape 对数百个项目和产品进行过滤和排序,并显示详细信息,包括 GitHub 星标、资金、首次和最后一次提交、贡献者数量和总部所在地。该项目旨在为以前未绘制的云原生技术领域绘制地图。它试图对云原生领域的大多数项目和产品进行分类。部署云原生应用程序有许多途径,其中 CNCF Projects 代表了一条特别成熟的路径。
- [Hacking the Cloud](https://hackingthe.cloud) - 攻击性安全专业人员在下一次云利用冒险中可以使用的攻击/战术/技术百科全书。目标是与安全社区分享这些知识,以更好地防御云原生技术。
- [RogueApps](https://huntresslabs.github.io/rogueapps) - RogueApps 项目记录了“好应用变坏”的情况。RogueApps 是 OIDC/OAuth 2.0 应用程序,虽然本身并非恶意,但经常被滥用并用于恶意目的。该存储库记录了 SaaS、OIDC 和 OAuth 2.0 应用程序的新兴攻击面,这些应用程序在入侵期间为攻击者提供帮助。如果应用程序并非专为恶意目的创建,但在身份入侵期间被观察到,它就是一个 RogueApp。
## DevOps
与开发运维 相关,包括软件开发生命周期 (SDLC)、CI/CD、DevSecOps 以及软件开发和 IT 运营之间的其他集成。
- [LoLCerts](https://github.com/WithSecureLabs/lolcerts) - Living Off The Leaked Certificates。一个已知被泄露或被盗、随后被威胁行为者滥用的代码签名证书存储库。
- [LOTP](https://boostsecurityio.github.io/lotp/) - Living Off the Pipeline。LOTP 项目的目的是盘点开发工具(通常是 CLI)在 CI/CD 流水线中常用的、具有鲜为人知的“设计即 RCE”功能(“足枪/foot guns”),或者更广泛地说,如何通过运行不受信任的代码更改或在工作流注入后实现任意代码执行。
## Endpoint
专注于端点(即服务器和工作站)。
### General Endpoint
与操作系统无关的端点相关信息。
- [Bootloaders.io](https://www.bootloaders.io) - 各种操作系统的已知恶意引导程序精选列表。
- [Evasion Techniques](https://evasions.checkpoint.com/about/) - 规避和反调试技术百科全书。
- [Filesec.io](https://filesec.io) - 攻击者正在使用的文件扩展名。按功能和操作系统标记。
- [LOLAPPS](https://lolapps-project.github.io) - Living Off The Land Applications:为应用程序利用提供便利。创建这个项目是因为利用不仅限于使用命令行技术的二进制文件。内置和第三方应用程序自古以来就被用于恶意获利,了解这些方法可以在万不得已时提供帮助。
- [LOLESXi](https://lolesxi-project.github.io/LOLESXi/) - Living Off The Land ESXi 包含了 VMware ESXi 中原生可用的二进制文件/脚本的完整列表,这些已被攻击者在操作中使用。
- [LOLGlobs](https://0xv1n.github.io/LOLGlobs/) - 针对 Linux、macOS、Windows CMD 和 PowerShell 的基于 glob 的命令混淆技术的可搜索目录。使用通配符(`*`、`?`、`[]`)在不拼写完整命令名称的情况下启动进程,可以绕过 AV、EDR 和 WAF 产品中基于特征的检测。
- [LOLRMM](https://lolrmm.io) - 可能被威胁行为者滥用的远程监控和管理 (RMM) 工具精选列表。
- [Sploitify](https://sploitify.haxx.it/) - 交互式速查表,包含精选的公共服务器端漏洞利用列表(大部分)。
- [WTFBins](https://wtfbins.wtf) - 行为完全像恶意软件的二进制文件,除了……不知何故它们不是?该项目旨在编录表现出可疑行为的良性应用程序。这些二进制文件可能会在威胁搜寻和自动检测中产生噪音和误报。通过在此编录它们,希望允许防御者改进其检测规则和威胁搜寻查询。
### macOS
特定于 macOS 或 Mac OS X。
- [LOOBins](https://www.loobins.io) - Living Off the Orchard (LOO): macOS Binaries (LOOBins) 旨在提供有关各种内置 macOS 二进制文件以及威胁行为者如何将其用于恶意目的的详细信息。
### Unix
Unix 特定。
- [Argument Injection Vectors](https://sonarsource.github.io/argument-injection-vectors/) - 处理参数注入漏洞时可利用选项的精选列表。这些不是相关程序中的漏洞,而是已证明在非常特定的情况下对攻击者有用的预期功能。
- [GTFOArgs](https://gtfoargs.github.io) - 可用于参数注入的 Unix 二进制文件精选列表,可能导致安全漏洞。
- [GTFOBins](https://gtfobins.github.io) - 可用于绕过配置错误系统中的本地安全限制的 Unix 二进制文件精选列表。
- [ofasgard/lcdbins](https://github.com/ofasgard/lcdbins) - lcdbin 是最低标准二进制文件——除了极少数例外,它应该存在于任何基于 UNIX 的操作系统上。该存储库是使用 lcdbins 执行枚举和后渗透活动的单行命令集合,这些活动通常你会使用其他工具(如 id、netstat 或 python)。当你发现自己处于一个缺少常用工具的精简环境中时,可以使用它们。
### Windows
Windows 特定。
- [BYOL](https://cloud.google.com/blog/topics/threat-intelligence/bring-your-own-land-novel-red-teaming-technique/) - Bring Your Own Land (BYOL)。完全在内存中执行自定义的基于 C# 的程序集,以减少对目标系统上现有工具的依赖。
- [HijackLibs](https://hijacklibs.net) - DLL 劫持候选列表。保持了 DLL 与易受攻击可执行文件之间的映射,可以通过该网站进行搜索。
- [LOFLCAB](https://lofl-project.github.io) - Living off the Foreign Land Cmdlets and Binaries。LOFL 项目的目标是记录可用于 Living Off the Foreign Land 技术的每个 cmdlet、二进制文件、脚本和 WMI 类。
- [LOLAD](https://lolad-project.github.io) - Living Off The Land and Exploitation Active Directory。LOLAD and Exploitation 项目提供了 Active Directory 技术、命令和函数的综合集合,这些技术、命令和函数可以原生用于支持攻击性安全操作和红队演练。这些技术利用 AD 的内置工具进行侦察、权限提升和横向移动等战术。
- [LOLBAS](https://lolbas-project.github.io) - Living Off The Land Binaries, Scripts and Libraries。LOLBAS 项目的目标是记录每个可用于 Living Off the Land 技术的二进制文件、脚本和库。
- [LOLBins CTI-Driven](https://lolbins-ctidriven.vercel.app) - LOLBins CTI-Driven (Living-Off-the-Land Binaries Cyber Threat Intelligence Driven) 是一个项目,旨在通过网络威胁情报平台 (TIP) 使用 STIX 格式,以图形化和易于理解的格式帮助网络防御者了解威胁行为者在入侵期间如何使用 LOLBin 二进制文件。
- [LOLDrivers](https://www.loldrivers.io) - Living Off The Land Drivers。LOLDrivers 是攻击者用来绕过安全控制并实施攻击的 Windows 驱动程序精选列表。
- [MalAPI.io](https://malapi.io) - 将 Windows API 映射到恶意软件常用的技术。
- [Persistence Info](https://persistence-info.github.io) - 关于 Windows 持久化机制的精选信息,以提高保护/检测效率。
- [WADComs](https://wadcoms.github.io) - 交互式速查表,包含针对 Windows / Active Directory 环境使用的精选攻击性安全工具及其相应命令列表。
## Hardware
与不被视为传统端点的硬件设备相关(例如,可移动存储设备、Arduino、Flipper Zero 等)。
- [LOTHardware](https://lothardware.com.tr) - Living off the Hardware Project。LOTHardware 是一个资源集合,提供有关识别和利用恶意硬件及恶意设备的指导。
## Network
网络特定或与网络流量相关,但不限于某一特定操作系统。
- [anderspitman/awesome-tunneling](https://github.com/anderspitman/awesome-tunneling) - ngrok/Cloudflare Tunnel 替代品以及其他隧道软件和服务列表。专注于自托管。
- [LOLC2](https://lolc2.github.io) - 利用合法服务逃避检测的 C2 框架集合。
- [LOTS Project](https://lots-project.com) - Living Off Trusted Sites (LOTS) Project。攻击者在进行网络钓鱼、命令和控制、数据窃取和下载工具时使用流行的合法域以逃避检测。这个精选的网站列表允许攻击者使用他们的域或子域。
- [LOTTunnels](https://lottunnels.github.io) - Living Off The Tunnels。LOTTunnels 项目是一个社区驱动的项目,用于记录可被威胁行为者以及内部人员滥用于数据窃取、持久化、Shell 访问等的数字隧道。
## SecOps
与安全运营 相关,包括 SIEM、SOAR、EDR 以及用于威胁搜寻、Playbook 自动化、事件协调等其他网络安全与 IT 运营集成工具。
- [LoFP](https://br0k3nlab.com/LoFP/) - Living off the False Positive 是一个自动生成的误报集合,来源于一些最流行的规则集。信息按 MITRE ATT&CK 技术、规则来源和数据源进行分类。条目包括相关规则的详细信息及其描述和检测逻辑。
- [Project LOST](https://0xanalyst.github.io/Project-Lost/) - Living Off Security Tools。攻击者用来绕过安全控制并实施攻击的安全工具精选列表。标签:AWS安全, Azure安全, Cloudflare, DAST, DevOps安全, LOLBins, MITRE ATT&CK, TGT, URL发现, 免杀技术, 安全检测, 恶意软件分析, 攻防演练, 数据展示, 暴力破解检测, 知识库安全, 私有化部署, 系统原生工具, 红队, 网络安全, 防御加固, 防御规避, 隐私保护