长期以来,网络犯罪分子一直使用合法的程序和操作系统组件来攻击微软windows用户,这种策略被称为“离地攻击”(livingofftheland,简称lotl)。在实际操作过程中,网络犯罪分子试图一“石”数鸟,减少开发恶意软件工具包的成本,最大程度减少他们的操作系统足迹,并将他们的活动伪装成合法的it活动。
换句话说,网络犯罪分子的主要目的是使增加恶意活动检测困难。出于这个原因,安全专家长期以来一直监测潜在的不安全可执行文件、脚本和库的活动,甚至包括维护github的lolbas项目中的某种注册表。
卡巴斯基管理检测和响应(manageddetectionandresponse,简称mdr)的同事,为众多业务领域的公司保驾护航,该方法在实际的攻击中常有应用。在《管理检测和响应分析师报告》中,相关同事研究了最通常用于攻击现代企业的系统组件。以下是研究结果:
第一名是powershell
powershell是具有命令行界面的软件引擎和脚本语言,虽然微软努力使这个工具更加安全可控,但它仍然是迄今为止网络犯罪分子群体中最为常见的合法工具。在我们的管理检测和响应服务识别的事件中,有3.3%涉及试图利用powershell。此外,如果将调查范围限制在关键事件上,我们发现powershell参与了五分之一的事件(准确说,是20.3%)。
第二名是rundll32.exe
排在第二位的是rundll32主机进程,它是用于运行动态链接库(dynamic-linklibraries,简称dlls)的代码。rundll32参与了2%全部事件,以及5.1%的关键事件。
第三名是几种实用程序
我们发现有五种程序工具在所有安全事件中占1.9%。
te.exe:测试编写和执行框架的一部分内容。psexec.exe:用于在远程系统上运行进程的工具。certutil.exe:处理来自认证机构信息的工具。reg.exe:微软注册表控制台工具,用于从命令行改变和添加系统注册表中的项。reg.exe:微软注册表控制台工具,用于从命令行改变和添加系统注册表中的项。这五个可执行文件在7.2%的关键事件中使用。
卡巴斯基管理检测和响应服务专家还观察到msiexec.exe、remote.exe、atbrocker.exe、cscript.exe、netsh.exe、schtasks.exe、excel.exe、print.exe、mshta.exe、msbuild.exe、powerpnt.exe、dllhost.exe、regsvr32.exe、winword.exe和shell32.exe等均有应用。
《管理检测和响应分析师报告》的更多结果,详见此处。
原文标题:dllhost.exe是什么进程(dllhost.exe是什么程序),如若转载,请注明出处:https://www.dnheimuer.com/tougao/13988.html
免责声明:此资讯系转载自合作媒体或互联网其它网站,「东宁黑木耳网」登载此文出于传递更多信息之目的,并不意味着赞同其观点或证实其描述,文章内容仅供参考。