虽然Emotet是使用脚本作为其规避策略一部分的威胁的一个例子，但组织需要了解许多其他类型的基于脚本的规避技术，以确保其系统的安全。

生活在陆地上的二进制文件(“LoLBins”)是Windows系统中已经存在的默认应用程序，网络犯罪分子可能会滥用这些程序来执行常见的攻击步骤，而无需将其他工具下载到目标系统上。例如，罪犯可以使用LoLBins创建重启后的持久性，访问联网设备，绕过用户访问控制，甚至提取密码和其他敏感信息。

在Windows操作系统中有许多本机的棒棒糖可以被罪犯使用，例如。，父进程, certutil.exe、regsvr32.exe等。这是网络犯罪分子掩饰其活动的方式之一，因为默认操作系统应用程序不太可能被反恶意软件解决方案标记或阻止。除非您对这些进程正在执行的确切命令有很强的可见性，否则很难检测来自LoLBins的恶意行为。

脚本内容模糊处理

内容“混淆”隐藏了脚本的真实行为。虽然混淆也有合法的目的，但在规避攻击的上下文中，混淆使分析脚本的真实性质变得困难。屏幕截图显示了一个模糊处理代码的示例(顶部)，以及其去模糊处理的版本(底部)。

无文件和逃避执行

使用脚本，可以在不需要文件的情况下在系统上执行操作。可以编写一个脚本来分配系统上的内存，然后将外壳代码写入该内存并将控制权传递给该内存。这意味着恶意功能在没有文件的情况下在内存中执行，这使得检测感染源并阻止感染变得极其困难。

但是，对于无文件执行，当计算机重新启动时，内存会被清除。这意味着无文件感染的执行可以通过重启系统来停止。

不出所料，网络犯罪分子总是在研究新的方法来确保持久性，即使是在使用无文件威胁的情况下。一些示例包括在计划任务、LNK文件和Windows注册表中存储脚本。

如何保护自己

好消息是，windows10操作系统现在包含了微软的反恶意软件扫描接口(AMSI)，以帮助打击日益增长的恶意和模糊脚本的使用。这意味着，要确保组织的安全，首先要做的事情之一就是确保所有Windows设备都使用最新的操作系统版本。