密态对抗环境下的攻击执行战术是指攻击者通过隐匿恶意代码运行特征、混淆执行上下文、消解行为异常性等手段,实现恶意载荷在目标环境中的隐蔽激活与持续运作的对抗策略。
在攻击执行阶段,匿迹战术聚焦于解构传统恶意代码执行的时空特征与行为模式。攻击者采用动态代码混淆、进程层次嵌套、合法系统工具链劫持等技术,将恶意指令执行融入正常业务操作流程。通过精确控制代码注入时机与执行周期,利用系统原生机制实现无文件化运行,规避基于静态特征或固定行为模式的检测体系。同时,攻击者构建多阶段执行框架,将恶意功能拆解为离散的合法系统调用序列,借助数字证书白名单、可信进程伪装等技术建立执行路径的合法性背书。
匿迹战术有效削弱了攻击执行阶段的异常信号强度,使传统基于进程行为基线或系统调用监控的防御机制面临失效风险。攻击者通过降低代码驻留特征与执行痕迹的可辨识度,延长恶意载荷在目标环境的存活时间窗口,并为后续横向渗透、数据渗出等阶段创造稳定的操作基础。该战术同时提升了攻击行为的归因难度,使得防御方难以通过执行日志回溯完整攻击链条,显著增强攻击行动的可持续性与适应性。
匿迹战术对依赖进程行为特征库或固定异常阈值的传统防御体系形成实质性突破,其执行过程的合法化包装导致恶意意图与正常操作的边界趋于模糊。防御方需构建基于行为熵值分析的多维度监测模型,通过执行上下文关联、资源访问时序分析、指令流语义解析等技术识别隐蔽执行模式。同时应强化运行时环境完整性保护机制,采用内存行为沙箱、动态可信验证等技术阻断非授权代码注入,并建立跨进程的异常指令传播追踪体系以应对高阶隐匿攻击。
| ID | Name | Description | |
| T1047 | Windows管理规范 | Windows管理规范(WMI)是Windows系统提供的基础管理框架,支持通过标准化接口查询系统信息和执行管理操作。攻击者滥用WMI实现恶意代码执行、持久化驻留和横向移动,其原生集成特性使得恶意活动能够伪装成系统管理行为。传统防御主要依靠监测wmic.exe命令行参数、识别非常用命名空间访问以及分析WMI网络连接特征。 | |
| .001 | WMI类属性混淆 |
WMI类属性混淆(WMI Class Attribute Obfuscation)是通过篡改WMI类元数据实现恶意操作隐蔽的技术。攻击者创建自定义WMI类时,采用与系统内置类相似的命名规范(如Win32_SystemUpdate),并设置误导性类描述信息,使得恶意类实例在常规WMI查询中难以与合法管理类区分。该技术深度利用WMI命名空间的可扩展性,将攻击载荷嵌入系统管理架构。
|
|
| .002 | 异步定时任务调度 |
异步定时任务调度(Asynchronous Scheduled Task Dispatch)是利用WMI定时器类实现隐蔽攻击调度的技术。攻击者通过__IntervalTimerInstruction等类创建毫秒级精度的定时事件,将恶意任务拆分为多个微任务并随机化执行间隔,使得任务调度行为融入系统后台维护进程的常规活动节奏。该技术通过时间维度稀释攻击特征,规避基于定时器周期规律的检测。
|
|
| T1651 | 云管理命令 | 云管理命令是攻击者通过云平台提供的管理接口(如AWS Systems Manager、Azure RunCommand)在虚拟机中远程执行命令的技术,通常利用云服务商预装的代理程序实现无端口攻击。该技术可被用于横向移动、持久化控制或数据窃取,防御措施主要包括实施最小权限原则、启用多因素认证、监控管理API调用日志以及限制虚拟机出站连接。 | |
| .001 | 混合操作链伪装执行 | 混合操作链伪装执行(Hybrid Operation Chain Camouflage Execution)是一种将恶意云管理命令嵌入合法运维流程的隐蔽攻击技术。攻击者通过分析目标云环境的日常管理行为模式,构造包含正常指令与恶意代码的混合型操作链,利用云平台的任务编排服务(如AWS Step Functions、Azure Logic Apps)实现攻击指令的分布式执行。该技术的关键在于保持单条指令的合规性阈值,使安全审计难以从海量操作记录中识别异常指令序列。例如,攻击者将恶意PowerShell脚本拆解为多个合规API调用,通过工作流引擎实现自动化组装执行。 | |
| .002 | 影子凭证劫持调度 | 影子凭证劫持调度(Shadow Credential Hijacking Scheduling)是一种利用云平台身份联邦机制实现隐蔽命令控制的技术。攻击者通过窃取或伪造云服务的临时安全令牌(如AWS STS Token、Azure AD Access Token),将恶意命令执行请求伪装成合规的身份联邦操作。该技术深度整合云服务的角色委托机制,通过构造合法的AssumeRole请求链,在目标虚拟机的托管身份中注入持久化后门,实现基于元数据服务的隐蔽命令中继。 | |
| .003 | 跨域日志逃逸控制 | 跨域日志逃逸控制(Cross-Domain Log Evasion Control)是针对云平台日志审计机制的对抗性技术。攻击者通过分析不同云服务的日志记录边界与留存策略,精心设计命令执行路径以规避关键日志采集点。例如,利用多云环境的日志同步延迟,在日志聚合系统更新前完成恶意操作并清除痕迹;或通过调用不记录操作日志的底层API接口(如某些云厂商的裸金属管理接口)执行高危指令。 | |
| .004 | 加密任务编排伪装 | 加密任务编排伪装(Encrypted Task Orchestration Camouflage)是一种结合云工作流加密与动态负载注入的隐蔽攻击技术。攻击者利用云平台提供的任务编排加密功能(如AWS加密型Systems Manager文档),将恶意命令代码加密后嵌入合规的自动化脚本中。通过云服务内置的KMS密钥管理系统实现攻击载荷的动态解密与执行,使得恶意内容在传输、存储阶段均保持加密状态,仅在工作流执行时内存中解密。 | |
| T1129 | 共享模块 |
共享模块技术指攻击者通过操作系统提供的动态链接机制加载恶意代码模块,利用系统原生功能实现攻击载荷执行。该技术通过LoadLibrary、dlopen等标准API加载本地或远程模块,可规避部分进程行为监控。防御方通常采取限制模块加载路径、监控非常用模块加载行为,以及分析模块数字签名异常等缓解措施,重点检测非系统目录加载、非常规协议加载等异常行为。
|
|
| .001 | 内存驻留无文件加载 |
内存驻留无文件加载(Fileless In-Memory Loading)是一种通过进程内存直接加载恶意模块的隐蔽攻击技术。该技术利用操作系统的动态链接机制,将恶意共享模块直接注入目标进程内存空间执行,避免在磁盘生成持久化文件。攻击者通过API调用(如Windows的LoadLibrary或Linux的dlopen)结合进程注入技术,将加密或混淆的恶意模块载入合法进程内存中运行,规避传统基于文件特征扫描的检测机制。其核心在于通过内存操作与合法进程绑定,构造无实体文件的模块加载链。
|
|
| .002 | 合法系统模块劫持 | 合法系统模块劫持(Legitimate System Module Hijacking)是指攻击者通过篡改系统模块加载顺序或替换合法模块实现恶意代码执行的隐蔽技术。该技术利用操作系统动态链接库搜索机制缺陷,在合法应用程序加载系统模块(如Windows系统DLL或Linux共享对象)时,通过路径优先级劫持或模块替换植入恶意功能。例如通过伪造高优先级目录下的同名DLL文件,或篡改模块依赖关系实现侧加载攻击,使得系统在不知情的情况下执行被篡改的模块代码。 | |
| T1059 | 命令与脚本解释器 | 命令与脚本解释器滥用是指攻击者利用系统内置或常见的脚本环境执行恶意代码,其通过混淆代码逻辑、劫持合法进程、规避安全监控等手段实施攻击。传统防御手段侧重于监控异常进程创建、检测已知恶意脚本特征、限制非授权解释器执行等,通过日志审计与行为分析识别可疑的脚本活动。 | |
| .001 | 内存驻留无文件执行 | 内存驻留无文件执行(Fileless In-Memory Execution)是一种通过完全在内存中加载和执行恶意代码的隐蔽攻击技术。该技术利用系统内置解释器(如PowerShell、Python)的运行时环境,直接将加密或编码的脚本载荷注入内存执行,避免在磁盘留存可检测的恶意文件。攻击者通过进程空心化、内存映射文件或反射式加载等技术,将恶意指令转化为解释器可识别的字节流,实现零接触文件系统的攻击闭环。 | |
| .002 | 合法系统工具链式调用 | 合法系统工具链式调用(Legitimate Toolchain Chained Invocation)指攻击者按特定顺序组合调用操作系统内置的多个合法工具(如certutil、msbuild、wmic),通过工具间的输入输出传递恶意载荷。该技术将单个攻击动作拆解为多个合规工具的标准操作,利用工具间的功能互补性完成恶意目标,同时规避基于单一工具异常使用的检测规则。 | |
| .003 | 动态代码混淆与反射加载 | 动态代码混淆与反射加载(Dynamic Code Obfuscation with Reflective Loading)是一种通过实时变换代码特征并绕过模块加载监控的技术。攻击者在脚本解释器运行时动态生成混淆代码(如随机变量名替换、控制流平坦化),并通过反射机制将恶意模块直接加载到内存空间,避免传统导入表挂钩检测。该技术结合了代码形态动态变异和内存加载规避的双重隐匿策略。 | |
| .004 | 低频时序触发型脚本执行 | 低频时序触发型脚本执行(Low-Frequency Time-Triggered Script Execution)通过将恶意脚本的激活周期与系统合法任务计划同步,实现隐蔽的持久化控制。攻击者将恶意代码片段嵌入计划任务、登录脚本或定时服务,设置与目标系统运维节奏相符的执行间隔(如每月补丁周期、季度审计时段),使恶意活动淹没在正常管理行为中。 | |
| .005 | 跨进程注入式解释器劫持 | 跨进程注入式解释器劫持(Cross-Process Interpreter Hijacking)通过将恶意脚本解释器实例注入到可信进程内存空间,实现执行环境的深度隐匿。该技术利用进程注入技术(如APC注入、线程劫持)将PowerShell、Python等解释器运行时加载至浏览器、办公软件等高频使用进程,并在此环境中执行恶意脚本,使得所有操作在宿主进程的合法上下文中完成。 | |
| T1203 | 客户端执行漏洞利用 | 客户端执行漏洞利用是指攻击者通过利用客户端应用程序(如浏览器、办公软件)的安全漏洞,诱导用户执行恶意代码的攻击技术。传统防御手段主要依赖漏洞特征检测、进程行为监控和文件信誉评估,通过分析软件异常行为(如堆喷射模式、非常规API调用序列)或检测已知漏洞利用特征(如特定ROP链模式)进行防护。缓解措施包括应用沙箱隔离、内存保护机制(如DEP/ASLR)和启发式行为分析。 | |
| T1609 | 容器管理命令 | 容器管理命令指攻击者通过容器编排系统的管理接口(如Docker daemon、Kubernetes API)在容器内执行恶意指令的技术手段。该技术通常利用合法管理工具(kubectl exec、docker exec)或篡改容器配置实现代码执行,为后续横向移动、持久化等攻击阶段建立据点。防御措施主要依赖容器运行时的进程监控、API调用审计日志分析,以及镜像完整性校验机制。 | |
| .001 | 容器生命周期寄生执行 | 容器生命周期寄生执行(Container Lifecycle Parasitic Execution)是一种利用容器编排系统固有操作流程实施隐蔽攻击的技术。攻击者通过篡改容器启动参数或钩子脚本,在容器创建(docker run)、更新(kubectl apply)等管理操作中嵌入恶意指令,使攻击行为与正常容器运维流程深度融合。该技术特别针对容器平台对自动化操作的信任机制,将恶意负载注入容器初始化阶段,利用镜像拉取、环境变量配置等合法流程完成攻击载荷的部署与激活。 | |
| .002 | 动态容器注入与痕迹消除 | 动态容器注入与痕迹消除(Dynamic Container Injection with Artefact Removal)是一种基于容器热插拔特性的高级攻击技术。攻击者通过kubectl exec或docker exec等管理接口向运行中的容器注入临时进程,在内存中执行恶意代码后立即清除操作痕迹。该技术充分利用容器文件系统写时复制(Copy-on-Write)特性,通过避免持久化文件落盘来规避静态检测,同时借助容器管理工具的标准API接口将攻击流量伪装成合法运维操作。 | |
| .003 | 合法镜像篡改后门植入 | 合法镜像篡改后门植入(Legitimate Image Tampering for Backdoor Implantation)是通过污染容器镜像仓库实施的供应链攻击技术。攻击者通过入侵镜像构建流水线或劫持公共镜像仓库,在基础镜像(如ubuntu:latest)或依赖组件中植入恶意代码,利用容器平台的自动拉取机制实现攻击载荷的分布式部署。该技术特别针对DevOps环境中对公共镜像的信任依赖,通过合法数字签名和版本号伪装确保恶意镜像通过完整性校验。 | |
| .004 | 服务端API伪装通信 | 服务端API伪装通信(Server-Side API Camouflage Communication)是针对容器编排平台控制平面设计的隐蔽信道技术。攻击者通过逆向工程Kubernetes API Server或Docker守护进程的通信协议,构造符合gRPC/HTTP2规范的恶意请求,将攻击指令嵌入证书更新、配置热加载等管理操作中。该技术通过模仿控制平面组件的合法交互模式,绕过基于网络流量特征(如特定API端点访问频率)的异常检测机制。 | |
| T1648 | 无服务器执行 | 无服务器执行指攻击者滥用云服务商提供的无服务器计算资源执行恶意代码,通常通过函数即服务(FaaS)平台实现攻击载荷部署与运行。许多云服务提供商提供无服务器计算引擎、应用集成服务等,攻击者可以利用这些服务执行任意代码,从而获取对云环境的控制。通过无服务器函数,攻击者能够执行恶意代码(如加密货币挖矿恶意软件)。此外,攻击者可能创建恶意函数实现特权提升等,来进一步扩大对云环境的危害。 | |
| T1106 | 本机API | 本机API滥用指攻击者直接调用操作系统底层接口实施恶意操作的技术手段,涉及进程创建、内存操作、设备控制等敏感功能。与传统命令行操作相比,API调用具备更高的执行效率和更低的交互可见性。防御方通常通过监控关键API调用序列(如CreateRemoteThread、VirtualAllocEx)、分析进程加载的系统DLL行为(如异常加载ntdll.dll)、以及检测用户态钩子篡改事件等手段进行防护。但由于合法应用程序广泛使用系统API,准确区分正常与恶意调用成为核心挑战。 | |
| .001 | 直接系统调用绕过用户层钩子 | 直接系统调用绕过用户层钩子(Direct Syscall Invocation Bypassing User-mode Hooks)是一种通过内核级系统调用执行恶意操作的隐蔽技术。攻击者通过编写汇编指令直接触发syscall机制,完全绕过用户态API监控框架(如EDR的钩子函数),直接与内核交互完成进程创建、内存操作等敏感行为。该技术利用操作系统内核接口的底层特性,避免在用户态API调用栈中留下可追踪的日志记录,从而规避基于API调用序列分析的检测系统。 | |
| .002 | 动态API地址解析规避静态检测 | 动态API地址解析规避静态检测(Dynamic API Address Resolution Evasion)是一种对抗静态分析的API滥用技术。攻击者通过运行时动态解析API函数地址(而非硬编码导入表条目),结合哈希混淆和延迟绑定机制,规避基于API名称或地址特征的静态检测。该技术利用操作系统的模块加载机制,在内存中动态定位所需API的基址偏移,通过计算哈希值匹配导出函数表,最终构建可直接调用的函数指针。 | |
| .003 | API调用链混淆 | API调用链混淆(API Call Chain Obfuscation)是一种通过多层间接调用和冗余操作掩盖真实攻击意图的技术。攻击者将核心恶意操作拆解为多个合法API函数的组合调用,并在调用链中插入无实际效果的干扰性API调用,构建符合正常程序行为特征的调用序列。例如在创建远程线程前,先调用多个文件操作API制造虚假行为轨迹,或通过循环调用无害系统函数稀释恶意调用密度。 | |
| .004 | 内存注入型API调用劫持 | 内存注入型API调用劫持(Memory Injection-based API Hijacking)是一种通过寄生在合法进程内存空间实施API滥用的高级攻击技术。攻击者将恶意代码注入到受信任进程(如explorer.exe、svchost.exe)的内存空间,劫持目标进程的API调用流程,利用宿主进程的合法身份执行敏感操作。该技术通过内存驻留和进程上下文伪装,使恶意API调用呈现出合法应用程序的行为特征。 | |
| T1204 | 用户执行 | 用户执行是指攻击者通过社会工程等手段诱导目标用户主动运行恶意代码的攻击技术,通常作为初始访问或权限提升的重要手段。传统防御措施主要依赖检测异常进程创建、监控敏感命令行参数、分析文档宏行为特征等方法,结合终端防护软件进行实时拦截。然而随着攻击者匿迹技术的演进,单纯依赖静态特征检测或单点行为分析的防御策略面临失效风险。 | |
| .001 | 多阶段诱导式动态载荷执行 | 多阶段诱导式动态载荷执行(Multi-Stage Induced Dynamic Payload Execution)是一种通过分阶段用户交互实现隐蔽代码执行的技术。攻击者将传统单次执行的恶意载荷拆解为多个看似无害的操作步骤,利用用户逐次授权逐步获取执行权限。典型实施过程包括:诱导用户下载非可执行格式文件(如ISO镜像、自解压文档)、通过伪装的配置向导引导用户启用宏功能、在安装合法软件过程中夹带隐蔽组件部署等。每个阶段均设计合理的用户交互界面和操作指引,使防御方难以从单次操作中判定恶意意图。 | |
| .002 | 文档隐写式触发执行 | 文档隐写式触发执行(Document Steganography-Triggered Execution)是通过在常规办公文档中嵌入隐蔽恶意代码的新型攻击技术。攻击者利用高级隐写术将恶意载荷嵌入到文档的元数据、版本信息或冗余编码空间,结合特定操作条件(如文档滚动浏览、打印预览、字体渲染)触发执行。该技术突破传统宏病毒依赖显式用户启用的限制,通过文档渲染过程中的内存漏洞或软件功能缺陷实现零点击触发,显著提升攻击隐蔽性。 | |
| .003 | 环境感知型延迟触发执行 | 环境感知型延迟触发执行(Environment-Aware Delayed Trigger Execution)是一种基于目标系统环境特征动态调整攻击行为的智能攻击技术。攻击者在初始载荷中植入环境探针模块,持续监控用户行为模式、安全软件状态、网络连接特征等多维度参数,仅在满足预设条件时激活恶意代码执行。典型触发条件包括:检测到特定外设连接、识别用户执行高频业务操作、确认杀毒软件进程关闭等,通过将攻击行为融入正常业务场景降低异常性。 | |
| T1569 | 系统服务 | 系统服务滥用指攻击者通过创建或修改系统服务实现恶意代码执行的技术手段,既可用于实现持久化驻留,也可用于临时任务执行。Windows服务控制管理器(SCM)提供的远程服务管理接口(如OpenService、CreateService)常被攻击者利用,通过服务注册表项配置恶意启动参数。防御措施包括监控服务创建/修改事件、校验服务二进制文件签名,以及分析服务启动模式与系统基线的一致性。 | |
| .001 | 动态服务注入 | 动态服务注入(Dynamic Service Injection)是一种通过将恶意代码注入正在运行的合法系统服务进程实现隐蔽执行的攻击技术。该技术利用Windows服务控制管理器(SCM)的进程加载机制,通过API Hook或内存篡改将恶意模块植入svchost.exe等共享宿主进程,在不创建新服务项的情况下实现恶意功能加载。攻击载荷与宿主服务共享内存空间和网络连接,规避基于服务注册表项或进程树分析的检测手段。 | |
| .002 | 合法服务伪装 | 合法服务伪装(Legitimate Service Camouflage)是攻击者通过仿冒合法系统服务属性实现恶意服务隐蔽注册的技术。该技术利用系统服务管理机制的特性,通过精确复制合法服务名称、显示名称、描述信息等元数据,并匹配标准服务启动类型(如自动延迟启动、触发启动),使恶意服务在服务控制管理器(SCM)中呈现为可信组件。同时采用合法的二进制路径劫持或DLL侧加载技术,确保服务文件签名验证通过,从而规避基于服务属性异常检测的防御机制。 | |
| .003 | 短暂服务驻留 | 短暂服务驻留(Ephemeral Service Persistence)是一种通过创建短期存在、自销毁的系统服务实现瞬时攻击的隐蔽技术。攻击者在目标系统上注册临时服务,利用服务启动权限执行恶意指令后立即删除服务注册信息,同时清除事件日志中的创建记录。该技术将服务滥用从持久化攻击场景扩展至瞬时任务执行,通过缩短恶意服务的生命周期降低被检测概率。 | |
| T1072 | 软件部署工具 | 软件部署工具是企业用于自动化软件分发、配置管理和系统更新的核心运维组件,攻击者通过滥用此类工具的远程执行和网络访问权限实施横向移动、持久化控制等恶意活动。传统防御手段主要通过审计部署日志、监控异常任务触发、分析进程行为链等方式检测攻击,重点识别未经授权的软件包、非常规时段部署活动及异常系统权限变更。 | |
| .001 | 合法部署流程伪装 | 合法部署流程伪装(Legitimate Deployment Process Camouflage)是通过仿冒正常软件部署任务实施攻击的隐蔽技术。攻击者通过分析目标企业的标准化部署流程,将恶意指令嵌入计划任务、补丁安装脚本或配置变更操作中,利用部署工具的任务调度功能实现攻击行为的合法化伪装。例如在系统更新任务中插入内存驻留代码,或通过组策略对象(GPO)修改触发恶意模块加载,使攻击行为与日常运维操作具有相同的进程树结构和资源访问模式。 | |
| .002 | 低频间歇式部署 | 低频间歇式部署(Low-Frequency Intermittent Deployment)是针对持续集成/持续交付(CI/CD)管道设计的隐蔽攻击技术。攻击者通过将大规模恶意部署任务分解为多个低频率、小批量的子任务,利用部署系统的灰度发布机制逐步渗透目标网络。该技术通过延长攻击周期、降低单次部署规模,使恶意活动隐藏在正常的滚动更新、A/B测试等业务场景中,规避基于部署频率和规模阈值的检测规则。 | |
| T1559 | 进程间通信 | 进程间通信(IPC)是攻击者滥用操作系统提供的进程交互机制执行恶意代码的技术,常通过组件对象模型(COM)、动态数据交换(DDE)等接口实现本地或远程代码执行。防御方通常监控异常进程创建事件、非常规DLL加载行为以及非常用IPC通道的建立,通过分析CLSID注册表修改日志和RPC接口调用模式来检测潜在攻击。 | |
| .001 | 内存驻留IPC注入 | 内存驻留IPC注入(Memory-Resident IPC Injection)是通过非文件形式将恶意代码驻留在进程内存空间,并利用合法进程间的通信通道实现隐蔽交互的技术。该技术突破传统基于文件落盘的检测机制,通过进程 Hollowing 或反射式加载将攻击载荷注入可信进程内存,借助Windows事件跟踪(ETW)或Linux ptrace机制建立隐蔽通信管道,使恶意指令传输完全脱离磁盘文件监控。攻击者通过劫持合法进程的IPC句柄表,将恶意通信流量伪装成系统内部进程的正常数据交换。 | |
| .002 | 命名管道伪装通信 | 命名管道伪装通信(Named Pipe Masquerading)是通过伪造合法系统服务管道名称和通信协议格式,实现恶意指令隐蔽传输的IPC滥用技术。攻击者模仿Windows服务控制管理器(SCM)或Linux systemd-journald等系统服务的标准管道命名规范(如\.\pipe\svcctl),构造具有高仿真度的恶意管道端点,并采用TLS加密或协议隧道技术封装攻击载荷。该技术利用系统白名单进程的管道访问权限,将恶意流量嵌入到正常的服务间通信流程中。 | |
| .003 | COM组件劫持重定向 | COM组件劫持重定向(COM Component Hijacking Redirection)是通过篡改Windows组件对象模型(COM)注册表项,将合法组件的调用请求重定向至恶意实现的攻击技术。攻击者利用COM组件的延迟加载特性,在注册表中替换CLSID对应的DLL路径或劫持ProgID解析链,使得系统或应用程序在调用标准功能时实际加载并执行恶意代码。该技术通过继承调用者的权限上下文和数字签名状态,实现恶意行为的白名单化运行。 | |
| .004 | 动态协议自适应切换 | 动态协议自适应切换(Dynamic Protocol Adaptation Switching)是基于网络环境特征实时调整IPC通信协议类型和封装格式的隐蔽通信技术。攻击者构建支持多种传输协议(如命名管道、RPC、ALPC、Unix域套接字)的模块化通信框架,根据宿主进程特征、安全软件监控强度和网络流量基线动态选择最优传输通道。该技术通过协议栈的运行时重构,破坏防御系统对固定通信模式的识别能力。 | |
| T1610 | 部署容器 | 部署容器技术指攻击者通过创建恶意容器实例实施攻击的行为,通常用于执行恶意负载、绕过环境防御或进行容器逃逸。传统防御手段主要依赖容器镜像扫描、运行时行为监控及集群日志分析,例如检测非常规端口绑定、特权模式启用或异常子进程创建等特征。在Kubernetes环境中,安全团队可通过审计工作负载部署事件、监控Pod安全策略违规日志来识别可疑容器活动。 | |
| T1053 | 预定任务/作业 | 预定任务/作业(T1053)指攻击者滥用操作系统或应用程序的任务调度功能实现恶意代码执行的技术,通常用于持久化、权限提升或绕过安全监控。攻击者通过创建计划任务触发恶意负载,可能利用系统工具(如Windows schtasks、Linux cron)或API实现远程任务部署。传统防御手段主要通过监控任务创建事件、分析任务配置异常(如未知作者、非常规定时器)以及检测可疑子进程链来识别恶意行为。 | |
| .001 | 系统进程任务注入 | 系统进程任务注入(System Process Task Injection)是一种通过将恶意任务嵌入操作系统核心进程的合法任务序列实现隐蔽执行的攻击技术。攻击者通过分析目标系统内置的预定任务执行链,选择具有数字签名验证豁免权限的系统进程(如svchost.exe、taskeng.exe),利用进程内存空间注入或注册表劫持等手段,将恶意载荷的执行逻辑插入到系统预设任务的触发流程中。该技术的关键在于保持任务调度器数据库的完整性,通过复用系统进程的信任链规避基于任务源的可信性检查。 | |
| .002 | 动态定时任务调度 | 动态定时任务调度(Dynamic Task Scheduling)是一种基于环境感知的自适应任务触发技术。攻击者通过持续监测目标系统的资源负载、用户活跃状态、安全软件运行周期等参数,动态调整恶意任务的执行时间窗口,使任务触发时机与系统正常运维节奏保持同步。该技术突破传统定时任务固定周期触发的特征限制,通过建立任务执行与系统上下文状态的强关联性,实现恶意行为与合法活动的时序混淆。 | |
| .003 | 任务链分段隐匿 | 任务链分段隐匿(Task Chain Fragmentation)是通过将完整攻击链拆解为多个合法任务节点实现行为隐蔽的技术。攻击者将恶意操作分解为具有功能独立性的任务单元,每个单元仅执行非敏感操作(如日志清理、配置文件更新),通过任务间的输入输出传递构建攻击链。各任务节点采用不同的触发条件与安全上下文,使单任务行为特征均符合系统运维规范,而恶意意图仅体现在任务链的整体编排中。 | |