新年快乐 | 红队Tips LOLbins

        forfiles.exe程序是一个众所周知的 lolbin。它的力量来自/c命令行参数，该参数有助于指定我们要为程序在枚举目录时找到的每个项目执行的命令。

        LOLBins，全称为“Living-Off-the-Land Binaries”，这个概念最初在2013年DerbyCon黑客大会由Christopher Campbell和Matt Graeber创造，最终由Philip Goh提出。指的是在目标操作系统上运行受信任的合法进程来执行恶意活动，例如横向移动、权限提升和远程控制等。

        通俗来讲，就是大家所熟悉的“白名单”免杀技术。比如常见的Powershell.exe、Certutil.exe和Mshta.exe等程序，都属于LOLBins范畴。在一些APT攻击中，也可以看到使用LOLBins免杀技术进行攻击的活动。比如，海莲花APT组织曾使用微软操作系统自带的程序MSBuild.exe运行远程控制木马，达到免杀的效果。为了达到比较好的免杀效果，LOLBins的选取是有一定要求的。一般来说，需要包含如下特征：

1) 带有Microsoft签名或者第三方签名的程序。2) 具有可被用于利用的功能（比如上传、下载和代码执行等）。

        关于forfiles.exe鲜为人知的事实是，在没有任何选项的情况下执行程序本身会导致为枚举的每个项目生成cmd.exe 。这是因为它的默认命令是cmd /c echo @file。

        因此，人们可以将forfiles.exe复制到其他目录，并将恶意cmd.exe放置在那里。在没有任何命令行参数（或没有/c参数的组合）的情况下运行forfiles.exe仍然会启动恶意cmd.exe