系统二进制代理执行

对手可能会通过使用签名的或其他受信任的二进制文件代理执行恶意内容来绕过基于进程和/或签名的防御措施。此技术中使用的二进制文件通常是 Microsoft 签名的文件，表明它们已从 Microsoft 下载或已在操作系统中本地存在。(引用: LOLBAS Project) 使用受信任数字证书签名的二进制文件通常可以在受数字签名验证保护的 Windows 系统上执行。可以使用多个 Microsoft 签名的二进制文件来代理执行其他文件或命令。 类似地，在 Linux 系统上，对手可能会滥用受信任的二进制文件，例如 split 来代理执行恶意命令。(引用: split man page)(引用: GTFO split)