是否仍然建议在防火墙中阻止使用域二进制文件(LOLBins)？

Question

https://lolbas-project.github.io/

实际上，我们还需要在最新版本的Windows防火墙中阻止cmd.exe或certutil.exe吗？Lolbins也适用于Linux，但我的问题只适用于Windows。

有攻击表面约简规则、高级Windows保护功能、武器库代码保护、开发保护、VBS和许多更高级的特性。

如果我们担心Lolbins，这是否意味着我们在考虑这样一种情况:所有其他防线都失败了，特别是我提到的那些防线，而剩下的唯一保护就是Windows防火墙规则阻塞，例如cmd.exe无法连接到互联网？

如果这是剩下的唯一防线，那是不是意味着，不管是什么进入了系统，并设法通过了所有其他安全措施，还不如禁用防火墙规则阻塞cmd.exe并做好它的事情吗？

Answer 1

这无疑是一种深度防御策略，恶意行为者不能在cmd.exe中运行代码更好，但它仍然有效。这些类型的攻击通常只能执行少量的shell代码，并试图向外连接以获取其余的恶意软件。如果代码片段不知道如何处理防火墙规则，则攻击将得到缓解。

可用性和安全性之间的切换值得您阻止"LOLBINS“吗？就我个人而言，我不知道有谁使用这样的防火墙规则，但我可以想象它们在一个像服务器这样的硬化环境中。