Regsvr32

对手可能会滥用Regsvr32.exe来代理执行恶意代码。Regsvr32.exe是一个命令行程序，用于在Windows系统上注册和注销对象链接和嵌入控件，包括动态链接库（DLL）。Regsvr32.exe二进制文件也可能由Microsoft签名。(引用: Microsoft Regsvr32) 恶意使用Regsvr32.exe可能会避免触发安全工具，这些工具可能不会监控regsvr32.exe进程的执行和加载的模块，因为它们被允许列表或Windows使用regsvr32.exe进行正常操作的误报所忽略。Regsvr32.exe还可以使用加载COM脚本的功能来绕过应用程序控制，以用户权限执行DLL。由于Regsvr32.exe支持网络和代理，因此可以通过在调用时传递指向外部Web服务器上的文件的统一资源定位符（URL）来加载脚本。这种方法不会更改注册表，因为COM对象实际上并未注册，只是执行。(引用: LOLBAS Regsvr32) 这种技术变体通常被称为“Squiblydoo”，并已在针对政府的活动中使用。(引用: Carbon Black Squiblydoo Apr 2016)(引用: FireEye Regsvr32 Targeting Mongolian Gov) Regsvr32.exe还可以用于注册COM对象，通过组件对象模型劫持建立持久性。(引用: Carbon Black Squiblydoo Apr 2016)