Bu yardımcı net güvenlik videosunda, Intel 471’deki kıdemli tehdit avcısı Lee Archinal, kara ikili dosyalarından (lolbins) yaşamayı içeren kötü niyetli etkinlikleri tespit etmek için pratik stratejilerden geçiyor.
Bunlar, PowerShell gibi işletim sistemlerinde yerleşik, tespit edilmesinden kaçınmak için saldırganlar tarafından kaçırılabilen meşru araçlardır. Arşivi, kullanıcı rollerine, anormal davranışlara ve günlük verilerine dayalı şüpheli kullanımın nasıl tanımlanacağını ve kodlanmış komut algılama, proses enjeksiyonu ve zaman stomping gibi tekniklere dalış yapmayı açıklar.
Ayrıca, güvenlik ekiplerinin etkili, veri odaklı tehdit avcılık hipotezleri oluşturmasına yardımcı olmak için MITER ATT & CK ve Sysmon Logs gibi kilit kaynakları vurgulamaktadır.