Lolbins

detecting-living-off-the-land-with-lolbas ajuda a detectar abuso de LOLBAS com Sysmon e logs de eventos do Windows, usando telemetria de processos, contexto de relação pai-filho, regras Sigma e um guia prático para triagem, hunting e elaboração de regras. Ele oferece suporte ao detecting-living-off-the-land-with-lolbas para Threat Modeling e fluxos de trabalho de analistas com certutil, regsvr32, mshta e rundll32.

Skill de detecção de ataques Living off the Land para Auditoria de Segurança, threat hunting e resposta a incidentes. Detecta o abuso de binários legítimos do Windows, como certutil, mshta, rundll32 e regsvr32, usando telemetria de criação de processo, linha de comando e relação entre processo pai e filho. O guia foca em padrões acionáveis de detecção de LOLBins, e não em hardening amplo do Windows.

A skill detecting-fileless-malware-techniques dá suporte a fluxos de trabalho de Análise de Malware para investigar malware fileless que roda na memória por meio de PowerShell, WMI, reflection em .NET, payloads residindo no registro e LOLBins. Use-a para sair de alertas suspeitos e chegar a triagem baseada em evidências, ideias de detecção e próximos passos de hunting.