detecting-living-off-the-land-with-lolbas
作者 mukul975detecting-living-off-the-land-with-lolbas 可協助偵測 LOLBAS 濫用,結合 Sysmon 與 Windows Event Logs,運用程序遙測、父子程序脈絡、Sigma 規則,以及一份實用的分流、威脅狩獵與規則撰寫指南。它也支援 detecting-living-off-the-land-with-lolbas 的威脅建模與分析師工作流程,涵蓋 certutil、regsvr32、mshta 與 rundll32。
這個技能評分為 78/100:作為清單項目相當扎實,具備足夠的實際偵測流程內容,能讓代理比使用一般提示更有效率地行動。目錄使用者可期待有用的威脅狩獵結構與範例,但它還不是一份完整打磨、可即插即用的操作手冊。
- 明確聚焦於以 Sysmon/Windows Event Logs、Sigma 規則與父子程序分析來偵測 LOLBin 濫用。
- 儲存庫包含相當完整的技能內容,並附有支援腳本與參考檔案,有助於提升可觸發性與代理可用性。
- 前置資料有效,而且技能點名 certutil、regsvr32、mshta、rundll32 與 msbuild 等具體目標,意圖容易辨識。
- SKILL.md 中沒有安裝指令,因此採用時可能需要手動設定或自行判讀。
- 摘錄內容除了總覽/先決條件外,進一步分層揭露的訊號有限,因此部分執行細節可能仍需使用者提示或查看支援檔案。
detecting-living-off-the-land-with-lolbas 技能總覽
這個技能能做什麼
detecting-living-off-the-land-with-lolbas 技能可協助你利用程序遙測、父子程序脈絡,以及 Sigma 風格的偵測邏輯,偵測像 certutil.exe、regsvr32.exe、mshta.exe 與 rundll32.exe 這類 LOLBAS/LOLBins 的濫用情況。當你需要的是一份實用的 detecting-living-off-the-land-with-lolbas 操作指南,用來做威脅狩獵、初步分流或規則草擬,而不是泛泛而談的 LOLBin 說明時,這個技能最有價值。
適合哪些人安裝
這個技能很適合 SOC 分析師、威脅狩獵人員、偵測工程師,以及使用 Sysmon 或 Windows 事件記錄的藍隊成員。如果你想針對 detecting-living-off-the-land-with-lolbas for Threat Modeling 思考常見 Windows 工具在你的環境中可能被如何濫用,它也同樣合適。
它有什麼不同
這個 repo 不只是文字概覽:它把偵測構想、參考簽章與一個小型輔助腳本結合起來,讓工作流程有具體依據。它的主要價值,在於把零散、可疑的程序活動轉化成具體的偵測模式與調查步驟,減少猜測成本。
如何使用 detecting-living-off-the-land-with-lolbas 技能
安裝技能
請使用這個 repo 的標準安裝流程:npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill detecting-living-off-the-land-with-lolbas。如果你的環境裡已經有父層 skills repo,請把工作流程指向 skills/detecting-living-off-the-land-with-lolbas 路徑,方便直接檢視支援檔案。
先讀最高訊號的檔案
先看 SKILL.md,再打開 references/api-reference.md 了解具體的事件與 Sigma 範例,最後看 scripts/agent.py 掌握其中編碼的偵測啟發式。這三個檔案,比起只略讀一遍,更能快速判斷 detecting-living-off-the-land-with-lolbas skill 是否適合你的資料來源與偵測堆疊。
把模糊需求改寫成有用的提示
好的輸入應包含遙測來源、可疑的二進位檔,以及你想要的結果。例如:「分析 Sysmon Event ID 1 中由 Office 啟動的 mshta.exe,找出 LOLBAS 濫用指標,並為 detecting-living-off-the-land-with-lolbas usage 草擬 Sigma 風格條件。」這會比「幫我找惡意程式」強得多,因為它提供了目標程序、父程序脈絡與交付內容。
能產生更好結果的工作流程
建議依照這個順序:先蒐集程序建立資料,辨識 LOLBin 與父程序,再把命令列與已知可疑模式比對,最後將發現轉成偵測規則或狩獵查詢。如果第一輪結果太雜,先用父映像檔、網路指標或命令列子字串縮小範圍,再視需要逐步放寬。
detecting-living-off-the-land-with-lolbas 技能 FAQ
這只適合防守方嗎?
是,這主要是藍隊與偵測用途。detecting-living-off-the-land-with-lolbas skill 的設計目的是幫你找出可疑用法,而不是教授攻擊手法。
使用時一定要有 Sysmon 嗎?
Sysmon 是最適合的選擇,但如果只有包含命令列記錄的 Windows Security Event ID 4688,仍然能做出有用的分析。若你只有最基本的端點遙測,這個技能的準確度會下降,因為父子程序分析在這裡非常重要。
這和一般提示詞有什麼不同?
一般提示詞可能只會籠統提到 LOLBins,但這個技能是以特定程序遙測、簽章與規則撰寫模式為基礎。當你需要的是可重複使用的偵測邏輯,而不是一次性的敘述答案時,它會更有用。
什麼情況下應該跳過這個技能?
如果你的問題是端點加固、惡意程式逆向,或沒有程序建立證據的一般事件回應,就可以跳過。它最強的情境,是偵測工程、威脅狩獵,或圍繞 Windows 執行濫用進行 detecting-living-off-the-land-with-lolbas for Threat Modeling。
如何改進 detecting-living-off-the-land-with-lolbas 技能
提供正確的證據
最好的輸入是小而結構化的樣本:映像檔名稱、命令列、父映像檔、使用者、時間戳、主機角色,以及事件來自 Sysmon 還是 4688。像「WINWORD.EXE 在財務工作站上啟動了帶有 javascript: 的 rundll32.exe」這樣的請求,會比含糊的「可疑 rundll32」更容易產生高品質輸出。
指定你要的輸出形式
如果你想要偵測價值,請明確說明你需要的是分流註記、狩獵邏輯、Sigma 條件,還是分析師摘要。當你要求單一、清楚的產物時,detecting-living-off-the-land-with-lolbas usage 的效果會更好,例如「列出最可疑的 5 個欄位,並草擬一個 Sigma selection block」。
注意常見失誤模式
最常見的錯誤,是把正常的管理操作過度判定為惡意。為了降低誤報,請把父程序、完整命令列參數,以及任何預期中的維運情境一併提供;如果省略這些資訊,技能就只能猜測某個 LOLBin 是被濫用,還是只是正當使用。
先以窄範圍基線迭代
先從單一二進位檔與單一遙測來源開始,只有在第一輪答案太淺時再逐步擴大。例如,先問 certutil.exe 在 Sysmon 下的下載行為,等你有了穩定的偵測模式後,再擴展到 mshta.exe、regsvr32.exe 與 rundll32.exe,這樣才能比較涵蓋範圍。