“使用这种自动化方法，我们成功找到了另外六个下载器！总而言之，我们发现了九个新下载器！这意味着 LOLBAS 官方下载者列表几乎增加了 30%”—— Nir Chako

在今天的一篇 博客文章中 ，他解释了添加到脚本中的改进，这些改进使得能够在 Windows 中列出二进制文件并测试它们的下载功能超出预期设计。

Pentera 研究人员总共发现了 11 个具有下载和执行功能的新文件，这些文件符合 LOLBAS 项目的原则。

研究人员表示，最突出的是 MSPub.exe、Outlook.exe 和 MSAccess.exe，攻击者或渗透测试人员可以利用它们下载第三方文件。

虽然 MSPub 已被确认可以从远程服务器下载任意有效负载，但其他两个尚未添加到 LOLBAS 列表中。Chako 告诉 BleepingComputer，由于技术错误，它们没有被包括在内。

新的 LOLBAS 来源

除了 Microsoft 二进制文件之外，Chako 还发现了来自其他开发人员的符合 LOLBAS 标准的文件，其中一个例子是用于 Python 开发的流行 PyCharm 套件。

PyCharm安装文件夹包含elevator.exe（由JetBrains签名和验证），它可以以提升的权限执行任意文件。

PyCharm 目录中的另一个文件是WinProcessListHelper.exe，Chako 表示该文件可以通过枚举系统上运行的所有进程来实现侦察目的。

他为28u.cc提供的 LOLBAS 侦察工具的另一个示例是mkpasswd.exe，它是 Git 安装文件夹的一部分，可以提供完整的用户列表及其安全标识符 (SID)。

Chako 的旅程始于两周时间，旨在制定发现新 LOLBAS 文件的正确方法，最终找到了三个文件。

在理解了这个概念之后，他又花了一周的时间创建了自动化发现的工具。这些努力得到了回报，这些脚本使他能够在大约五个小时内浏览“整个 Microsoft 二进制文件池”。

不过，回报更大。Chako 告诉我们，他开发的工具还可以在其他平台（例如 Linux 或自定义云虚拟机）上运行，无论是当前状态还是稍加修改，都可以探索新的 LOLBAS 领域。

然而，了解 LOLBAS 威胁可以帮助防御者定义适当的方法和机制来防止或减轻网络攻击。

Pentera 发表了一篇论文，详细 介绍了研究人员、红队成员和防御者如何找到新的 LOLBAS 文件。