密态对抗中的入侵维持战术是指攻击者在已获取系统访问权限后,通过隐蔽化、持久化、可信化机制实现恶意驻留的持续性与不可感知性,确保攻击效能不受系统环境变更影响的控制策略体系。
在入侵维持阶段,匿迹战术聚焦于消除驻留痕迹与规避持续性行为检测。攻击者通过构造具备合法数字签名或符合系统管理规范的操作模式,将恶意实体嵌入可信执行流程。采用动态载荷分离、非驻留内存注入等技术降低实体暴露面,结合系统原生维护机制实现驻留点隐蔽激活。通过多层级冗余架构设计,确保恶意模块具备环境自适应能力,可依据安全检测强度动态调整唤醒周期与通信频率。同时,攻击者利用可信进程伪装、合法服务劫持等手段,使恶意行为与正常系统活动形成深度耦合。
匿迹战术使攻击者建立的持久化通道具备强生存能力与低可观测特性,有效突破传统基于进程监控或文件校验的防御边界。通过消除驻留过程产生的异常日志与行为特征,显著延长攻击链的潜伏周期,为后续横向渗透与数据渗出创造稳定跳板。动态化的激活机制可规避定时扫描类防护措施,而深度仿真的可信特征则降低行为分析模型的检测置信度,使防御方难以构建有效的攻击连续性阻断策略。
该战术对依赖静态特征匹配与规则库更新的传统防御体系形成多维穿透,其环境感知能力导致基于固定阈值的异常检测机制效能锐减。防御方需构建跨生命周期的行为关联分析框架,通过内存取证、可信链验证与异常时序模式挖掘技术识别隐蔽驻留行为。同时应强化系统核心组件的完整性保护机制,结合主动诱捕技术与动态混淆策略,干扰攻击者对系统环境的认知准确性,破坏其持续性控制链的稳定性。
| ID | Name | Description | |
| T1197 | BITS任务 | BITS任务是攻击者滥用Windows后台智能传输服务实现持久化攻击的技术,通过创建文件传输任务执行恶意代码下载、驻留及数据渗出。传统防御手段聚焦于监控BITSAdmin工具使用、分析BITS服务日志及审查网络流量特征,依赖任务元数据异常(如非常用命令行参数)、传输目标信誉评级或未加密协议使用等特征进行检测。 | |
| .001 | 合法服务伪装BITS任务 | 合法服务伪装BITS任务(Legitimate Service Masquerading BITS Jobs)是一种通过仿冒系统或可信应用程序后台任务实现隐蔽攻击的技术。攻击者通过配置BITS任务的显示名称、描述信息及调用参数,使其与操作系统更新、办公软件同步等合法任务高度相似,利用BITS服务自身白名单属性规避行为检测。该技术的关键在于深度模仿目标环境中常见后台任务的元数据特征,使安全人员在常规审计中难以察觉异常。 | |
| .002 | 加密载荷隐蔽传输 | 加密载荷隐蔽传输(Encrypted Payload Covert Transfer)是一种利用BITS服务支持的加密协议实现数据隐匿传输的技术。攻击者通过配置BITS任务使用HTTPS或SMB 3.0加密通道进行文件传输,将恶意载荷封装在加密流量中,使网络层检测设备无法解析传输内容。该技术充分利用BITS服务与合法云存储、内容分发网络的通信特性,使得加密恶意流量与正常业务流量在协议层面无法区分,显著提高攻击行为的隐蔽性。 | |
| .003 | 持久化低活跃任务链 | 持久化低活跃任务链(Persistent Low-Activity Job Chaining)是通过构建多层次、长周期的BITS任务序列实现隐蔽驻留的技术。攻击者创建具有动态依赖关系的多个BITS任务,通过设置任务完成触发条件与最小重试间隔,将恶意操作分解为离散的低频活动单元。单个任务生存周期可延长至系统允许的最大值(默认90天),并通过错误处理机制实现任务自动重建,形成具有自恢复能力的持久化攻击链。 | |
| T1554 | 主机软件二进制文件妥协 |
主机软件二进制文件妥协指攻击者通过篡改系统或应用程序的可执行文件实现持久化访问,通常涉及后门植入、认证流程劫持或防御规避等恶意行为。传统检测手段依赖数字签名验证、文件完整性监控(如Tripwire)及异常进程行为分析。防御方可通过校验签名元数据、监控客户端软件异常模块加载与网络连接等方式进行防护。 为应对日益严格的文件完整性保护机制,攻击者发展出多种隐蔽式二进制篡改技术,通过代码结构伪装、执行环境融合与信任链滥用等策略,突破传统静态检测体系的防护边界,构建出"形合法、实恶意"的新型持久化攻击范式。 现有匿迹技术的核心在于攻击载荷与宿主环境的深度适配及信任机制的逆向利用。代码寄生注入通过保持二进制文件表层完整性,在未触发签名告警的前提下实现恶意代码执行;动态库劫持利用系统依赖加载机制的缺陷,将攻击行为伪装成合法模块调用;合法证书滥用颠覆了传统信任验证体系,使恶意文件获得官方认证身份;内存驻留技术则完全规避文件系统监控,实现"无实体"攻击。四类技术的共性在于突破"文件-进程"二元检测模型,通过代码层融合、信任链寄生与执行环境劫持,将恶意行为嵌入软件生命周期的各个合法阶段,使得基于单一维度(如文件哈希、签名状态)的防御机制全面失效。 匿迹技术的演进迫使防御体系向多维动态检测转型,需结合运行时内存取证、跨进程行为关联分析、证书链深度验证等技术,构建覆盖文件静态属性、内存动态特征与信任传递路径的全周期防护体系。 |
|
| .001 | 代码寄生注入 |
代码寄生注入(Code Parasitic Injection)是一种通过篡改合法二进制文件内部结构实现持久化攻击的技术。攻击者将恶意代码片段植入目标可执行文件(如系统工具、常用应用程序)的未使用代码段或扩展节区,在保留原程序数字签名有效性的前提下,构建具备合法外壳的恶意载体。该技术利用PE/ELF文件格式特性,通过节区扩展、入口点劫持或IAT钩子注入等方式,使恶意代码随宿主程序启动而激活,同时维持原有软件功能的正常执行。 该技术的匿迹性源于二进制文件结构合法性与执行流程完整性的双重保障。攻击者通过精准计算目标文件的代码段空间分布,选择未被占用的节区或扩展新节区注入恶意载荷,避免破坏原有代码逻辑与数字签名验证机制。在注入过程中采用地址随机化重定位技术,确保恶意代码能适应不同运行环境的内存布局。执行层面通过劫持程序初始化例程或函数调用链,实现恶意代码优先加载与隐蔽执行。同时利用进程空洞注入(Process Hollowing)技术,在内存中重建合法进程镜像并替换代码段,规避基于文件完整性校验的检测。此类手法使恶意行为深度融入宿主程序的正常生命周期,形成"形实共生"的隐蔽攻击模式。 |
|
| .002 | 动态库劫持重定向 |
动态库劫持重定向(Dynamic Library Hijacking Redirection)是通过操纵程序动态链接库加载机制实现隐蔽攻击的技术。攻击者伪造或篡改目标应用程序依赖的动态链接库(如DLL、SO文件),在合法库函数中插入恶意代码,利用系统库搜索路径优先级漏洞,诱导程序加载被控库文件。该技术特别针对未指定绝对路径加载库文件的应用程序,通过构造恶意库文件与特定目录结构,实现权限维持与敏感操作拦截。 匿迹机制建立在系统级行为合法性与依赖关系隐蔽性之上。攻击者首先分析目标程序的动态库依赖树,选择未启用安全加载选项(如LD_LIBRARY_PATH限制)的库文件作为攻击面。通过逆向工程构造具有相同导出函数表的恶意库,在关键函数(如身份认证、网络通信相关函数)中植入后门逻辑。部署阶段利用环境变量篡改、快捷方式劫持或搜索路径污染等手段,将恶意库置于系统默认搜索路径前端。运行时恶意库通过代理模式转发正常函数调用至原库,确保程序功能不受影响。该技术利用动态链接机制的固有缺陷,使防御方难以通过静态文件校验或进程模块列表发现异常,实现攻击载荷的"透明化"寄生。 |
|
| .003 | 合法数字证书滥用 |
合法数字证书滥用(Legitimate Certificate Abuse)是指攻击者通过窃取或伪造有效代码签名证书,为恶意篡改的二进制文件提供合法身份认证的技术。该技术突破传统基于证书吊销列表(CRL)或证书透明度(CT)日志的检测机制,使被篡改文件在数字签名验证环节呈现合法状态,规避安全软件的静态检测。 匿迹效果通过数字身份伪装与签名验证机制绕过实现。攻击者首先通过供应链攻击、证书颁发机构(CA)漏洞利用或企业证书窃取等方式获取有效签名密钥。在篡改目标二进制文件后,使用合法证书对修改后的文件重新签名,确保其通过操作系统内核的签名验证。进阶手法包括时间戳欺诈(Time-Stamping Fraud),利用历史有效证书签署恶意文件并附加合法时间戳,延长攻击窗口期。此外,攻击者可能构造中间人证书链,将恶意证书嵌入受信CA链中,实现系统级信任欺骗。此类技术使得被控二进制文件在文件属性、进程模块验证等环节均呈现合法状态,显著提升攻击载荷的隐蔽性。 |
|
| .004 | 内存驻留无文件攻击 |
内存驻留无文件攻击(Memory-Resident Fileless Attack)是通过篡改进程内存中的二进制映像实现隐蔽驻留的技术。攻击者利用进程注入、反射式加载或内存补丁技术,直接修改运行中进程的可执行代码段,避免在磁盘留存恶意文件。该技术通过操作系统的内存管理机制,将恶意代码融入合法进程的执行上下文,实现完全基于内存的持久化攻击。 该技术的匿迹性体现在攻击链的"零接触"特征与执行环境融合能力。攻击者首先通过漏洞利用或权限提升获取目标进程的写权限,使用API钩子或直接内存写入技术篡改进程的代码段。采用反射式DLL注入技术,将恶意载荷直接加载至内存并映射为合法模块。内存补丁技术则针对特定函数指令流进行实时修改,例如在加密函数中植入密钥导出逻辑。攻击载荷通过进程空洞(Process Hollowing)或线程劫持保持活性,利用合法进程的网络连接通道进行C2通信。由于整个攻击过程不依赖磁盘文件且与宿主进程深度绑定,传统基于文件扫描或静态特征检测的防御手段完全失效,防御方需依赖实时内存取证与行为分析进行检测。 |
|
| T1546 | 事件触发执行 | 事件触发执行指攻击者通过篡改系统或应用事件响应机制,在特定条件满足时自动执行恶意代码的技术,常用于实现持久化驻留或权限提升。该技术利用操作系统内置的自动化任务调度框架(如Windows计划任务、Unix cron作业)或应用程序事件处理接口,将恶意行为与合法系统活动深度绑定。防御方通常通过监控注册表关键路径变更、分析进程创建上下文异常、校验系统组件完整性等手段进行检测,并采用最小权限原则限制事件触发组件的执行权限。 | |
| .001 | 系统事件订阅伪装 | 系统事件订阅伪装(System Event Subscription Camouflage)是一种通过劫持合法系统事件订阅机制实现隐蔽触发的攻击技术。攻击者通过篡改Windows Management Instrumentation(WMI)事件过滤器、任务计划程序或系统日志订阅等原生功能,将恶意代码执行与特定系统事件(如用户登录、进程创建或网络连接)建立关联,利用系统内置的自动化机制实现隐蔽持久化。该技术通过复用操作系统自身的事件响应框架,使恶意行为深度融入系统正常运维流程,规避基于进程行为异常的检测机制。 | |
| .002 | 云服务触发器寄生 | 云服务触发器寄生(Cloud Service Trigger Parasitism)是针对云原生环境设计的隐蔽事件触发技术。攻击者通过滥用云平台提供的函数计算服务(如AWS Lambda、Azure Functions)的事件驱动架构,将恶意代码植入云函数并与合法云服务事件(如对象存储变更、日志更新或API网关调用)进行绑定,利用云服务商的基础设施实现攻击指令的自动化触发与执行。该技术通过完全托管在云平台内部的合法资源调度机制,使恶意行为获得云服务商授予的信任链,规避基于网络流量分析的检测体系。 | |
| .003 | 动态注册表映像劫持 | 动态注册表映像劫持(Dynamic Registry Image Hijacking)是通过篡改Windows注册表映像文件执行路径实现事件触发的隐蔽技术。攻击者利用Windows系统加载可执行文件时的路径解析机制,通过注册表键值修改将合法程序(如记事本或计算器)的启动路径重定向至恶意载荷,同时保留原始程序的数字签名与文件属性。该技术通过劫持系统常用程序的执行流程,使恶意代码在用户执行高频可信操作时自动触发,形成"用户主动触发-系统合法加载-恶意代码隐蔽执行"的连锁反应。 | |
| .004 | 进程生命周期劫持 | 进程生命周期劫持(Process Lifecycle Hijacking)是通过挂钩系统进程状态变更事件实现隐蔽触发的攻击技术。攻击者利用操作系统提供的进程创建/终止通知接口(如Windows ETW或Linux Auditd),构建恶意事件订阅模块监控特定进程的生命周期变化,在目标进程启动或退出时触发预置攻击逻辑。该技术通过深度绑定系统核心进程的运行时行为,将恶意代码执行与系统稳定性操作相关联,利用系统自身进程管理机制实现隐蔽触发。 | |
| T1556 | 修改身份验证过程 | 修改身份验证过程是攻击者通过篡改系统认证组件或流程,实现非法访问权限获取或凭证窃取的技术。该技术通常针对操作系统的核心安全组件(如Windows LSASS、Linux PAM框架)进行代码注入或配置篡改,以绕过双因素认证、窃取明文密码或生成伪造令牌。防御措施包括监控认证相关进程的内存操作、审计系统插件完整性,以及检测异常身份验证日志模式。 | |
| .001 | 认证函数Hook注入 | 认证函数Hook注入(Authentication Function Hooking)是通过篡改操作系统核心认证组件的函数调用链实现身份验证绕过的技术。攻击者通过注入恶意代码劫持LSASS、PAM模块或SecurityAgentPlugins中的关键函数(如NtCreateToken、pam_authenticate),在认证流程中植入逻辑后门。该技术可绕过双因素认证机制,直接伪造令牌或修改认证结果判定,使非法会话获得合法凭证特征。其隐蔽性体现在恶意代码驻留在系统进程内存中,不产生持久化文件或注册表痕迹。 | |
| .002 | 动态密码过滤器劫持 | 动态密码过滤器劫持(Dynamic Password Filter Hijacking)是针对Windows身份验证架构设计的隐蔽持久化技术。攻击者通过注册恶意DLL为LSA通知包组件,在密码修改或验证过程中截获明文凭证。该技术利用系统设计缺陷,将密码过滤器伪装成合法身份验证组件,在密码策略强制执行阶段实施中间人攻击,同时通过动态加载机制规避静态防御检测。 | |
| .003 | 内存凭证捕获绕过 | 内存凭证捕获绕过(In-Memory Credential Capture Bypass)是通过篡改系统内存中凭证存储结构实现认证欺骗的技术。攻击者直接修改LSASS进程内存中的票据授予票据(TGT)或服务票据(ST),或操纵Kerberos协议协商过程,生成具有合法特征但未经正常认证流程的访问凭据。该技术可绕过基于日志审计的检测机制,在无需持久化后门的情况下实现特权维持。 | |
| .004 | 跨平台认证插件伪装 | 跨平台认证插件伪装(Cross-Platform Authentication Plugin Spoofing)是针对异构网络环境设计的认证机制污染技术。攻击者通过仿冒Linux PAM模块、macOS SecurityAgentPlugins或第三方身份提供程序(IdP)组件,在跨域认证流程中植入恶意逻辑。该技术利用系统对认证插件的信任链,将后门代码嵌入标准化认证接口,实现多平台统一的隐蔽访问控制绕过。 | |
| T1543 | 创建或修改系统进程 | 创建或修改系统进程是攻击者通过操作操作系统级服务、守护进程或代理程序实现持久化驻留和权限提升的关键技术。攻击者可能安装新服务或篡改现有服务配置,使其在系统启动时或定期执行恶意负载。传统防御主要依赖监控服务配置变更(如Windows注册表Services子键)、检测异常进程树结构、分析服务二进制文件特征,以及审查服务相关命令行调用日志等手段。 | |
| .001 | 合法进程代码寄生注入 | 合法进程代码寄生注入(Legitimate Process Code Parasitism Injection)是一种通过将恶意代码嵌入系统可信进程内存空间实现隐蔽驻留的技术。攻击者利用进程空洞注入、反射式DLL加载或APC队列注入等方式,在不创建独立进程的前提下,将恶意模块寄生在系统核心服务(如svchost.exe、systemd)或常用应用进程中。该技术通过复用合法进程的数字签名、资源调用链和通信行为,使恶意行为与宿主进程形成深度耦合,规避基于进程树分析和签名验证的检测机制。 | |
| .002 | 动态服务配置伪装 | 动态服务配置伪装(Dynamic Service Configuration Camouflage)是一种通过实时修改服务配置参数实现进程隐蔽的技术。攻击者在创建或修改系统服务时,采用动态生成服务名称、描述信息、二进制路径等元数据,使其与合法服务特征高度相似。例如,通过机器学习模型分析目标环境中常用服务命名规律,生成诸如"Windows_Update_Helper"等具有迷惑性的服务名,并将恶意载荷存储在系统目录的深层次嵌套路径中,同时伪造版本信息、数字签名等属性,构建具有表面合法性的恶意服务实体。 | |
| .003 | 无文件化内存驻留服务 | 无文件化内存驻留服务(Fileless Memory-Resident Service)是一种完全在内存中创建和运行恶意系统服务的技术。攻击者利用Windows服务控制管理器的高级功能或Linux的in-memory执行框架,通过反射加载技术将恶意代码直接注入系统服务宿主进程的内存空间,不依赖磁盘文件持久化。该技术通过劫持服务线程执行流或创建虚拟服务条目,使恶意服务具备完整的启动、停止、状态报告等标准服务行为特征,同时规避传统基于文件监控的检测手段。 | |
| T1136 | 创建账户 | 创建账户是攻击者为维持持久化访问而在目标系统创建恶意账户的技术,涉及本地系统、域环境或云平台的账户生成。传统检测手段依赖监控账户创建命令(如net user)、审计事件日志(如Windows事件ID 4720)以及定期审查账户列表,云环境则通过CSPM监控异常权限分配。防御措施包括启用用户账户控制(UAC)、配置最小权限策略和实施多因素认证。 | |
| .001 | 影子账户克隆 | 影子账户克隆(Shadow Account Cloning)是一种通过复制合法账户属性创建隐蔽恶意账户的技术。攻击者通过提取目标系统中高权限用户或服务账户的SID、组成员关系、登录时间模式等特征,生成具有相同安全描述符但不同凭证的克隆账户。该技术利用身份管理系统对账户属性的信任机制,使恶意账户在权限审计、日志记录等环节呈现与合法账户一致的行为特征,规避基于账户属性异常值的检测。 | |
| .002 | 云服务最小权限账户 | 云服务最小权限账户(Cloud Least-Privilege Account)是针对云原生环境设计的隐蔽账户创建技术。攻击者通过云服务提供商API创建仅具备特定服务访问权限的账户,并严格遵循最小权限原则配置IAM策略。此类账户通常仅绑定日志读取、监控数据导出等低风险权限,避免触发云安全态势管理(CSPM)系统的高危操作告警,同时利用云平台自动化任务的合规性特征掩盖恶意行为。 | |
| .003 | 域信任滥用账户 | 域信任滥用账户(Domain Trust Abuse Account)是利用跨域信任关系创建隐蔽账户的高级技术。攻击者在已控子域或受信外部域中创建具备跨域访问权限的账户,通过信任链传递机制在目标域内实施操作。该账户在源域中显示为合法实体,但其在目标域的活动不会触发本地账户创建检测机制,有效规避基于单一域内账户变更的监控。 | |
| .004 | 服务账户伪装 | 服务账户伪装(Service Account Masquerading)是通过模仿系统服务账户属性实现隐蔽驻留的技术。攻击者创建名称、描述信息与合法服务账户高度相似的恶意账户(如"SQL_Backup_Svc"),并配置相同的服务主体名称(SPN)和登录权限。此类账户通常被授予本地系统权限,但其活动会混杂在大量合法的服务账户操作中,难以通过常规审计手段识别。 | |
| T1137 | 办公应用启动 | 办公应用启动(T1137)是攻击者利用Microsoft Office组件的合法功能实现持久化的技术,通过修改模板宏、注册表项或云端配置等方式,在Office进程启动时加载恶意代码。防御措施包括监控异常进程树、检测注册表关键路径变更、分析Office文档元数据特征,以及使用专用工具扫描恶意规则和表单配置。 | |
| .001 | 宏代码动态解密加载 | 宏代码动态解密加载(Dynamic Macro Code Decryption Loading)是一种利用Office文档内置解密机制实现隐蔽持久化的技术。攻击者将恶意代码进行多层加密后嵌入文档模板,在文档打开时通过合法宏函数触发解密流程,动态加载内存驻留模块。该技术通过分离存储阶段与执行阶段的代码形态,规避静态特征检测,同时利用Office内置的VBA解释器作为代码执行载体,保持进程链合法性。 | |
| .002 | 注册表键值伪装注入 |
注册表键值伪装注入(Registry Key Camouflage Injection)是一种通过仿冒合法Office组件注册表项实现持久化的高级技术。攻击者分析目标系统Office软件的标准注册表结构,在HKCU\Software\Microsoft\Office路径下创建与官方配置项命名规范相符的恶意键值,将恶意代码执行指令嵌入COM加载项或插件配置参数。该技术通过模仿微软数字签名验证机制,构建具有合法元数据特征的注册表项,规避基于注册表异常检测的安全机制。
|
|
| .003 | 云端配置同步滥用 | 云端配置同步滥用(Cloud Configuration Sync Abuse)是一种利用Office 365云端服务实现跨设备持久化的新型攻击技术。攻击者通过入侵用户Office账户,将恶意配置(如Outlook规则、OneDrive同步指令)写入云端设置存储区,利用微软的跨终端同步机制实现恶意代码的分布式部署。该技术突破传统本地持久化的空间限制,通过云服务的合法数据通道实现攻击载荷的隐蔽传播与执行。 | |
| .004 | 进程空心化注入 | 进程空心化注入(Process Hollowing Injection)是一种通过劫持Office组件子进程实现无文件驻留的高级技术。攻击者利用Office应用程序(如WINWORD.EXE)启动子进程时的内存分配机制,在进程初始化阶段替换原始代码段,注入恶意负载并维持合法进程表象。该技术通过完全内存化操作规避文件系统监控,并利用Office进程的信任状绕过应用程序白名单限制。 | |
| T1574 | 劫持执行流 | 劫持执行流是攻击者通过操纵操作系统程序执行机制,将恶意代码植入合法进程执行路径的攻击技术,常用于绕过应用白名单、实现持久化或权限提升。传统防御手段主要监控文件系统变更、DLL加载异常和服务配置修改,通过哈希校验、进程行为分析和注册表审计等手段检测异常。 | |
| .001 | 白文件动态内存注入 | 白文件动态内存注入(Legitimate File Dynamic Memory Injection)是一种通过合法进程内存空间执行恶意代码的高级劫持技术。攻击者选择具有数字签名或高信誉的应用程序作为宿主进程,利用进程漏洞或内存操作API将恶意负载注入其运行时的内存空间,通过劫持线程上下文或函数指针重定向执行流。该技术不修改磁盘文件完整性,完全在内存中完成代码植入,规避了传统文件完整性校验机制,同时利用宿主进程的合法身份隐藏恶意行为。 | |
| .002 | 多级可信服务链劫持 | 多级可信服务链劫持(Multi-Stage Trusted Service Chain Hijacking)是通过篡改服务依赖关系实现执行流重定向的隐蔽攻击技术。攻击者针对Windows服务控制管理器(SCM)的链式加载机制,在合法系统服务(如Windows Update、安全中心服务)的依赖项中插入恶意服务模块,构建多级可信执行链路。通过修改服务注册表键值中的DependOnService或DependOnGroup字段,使恶意服务获得系统信任链的继承权限,并在父服务启动时被自动加载执行。 | |
| .003 | 运行时环境变量污染 | 运行时环境变量污染(Runtime Environment Variable Poisoning)是通过篡改进程执行环境实现路径劫持的技术变种。攻击者针对动态链接库(DLL)搜索顺序、可执行文件路径解析等环境变量(如PATH、PATHEXT),植入恶意路径条目或修改路径解析优先级,诱使目标进程加载攻击者控制的恶意库文件或可执行程序。该技术特别适用于容器化环境或持续集成系统,通过污染构建环境变量实现供应链攻击。 | |
| T1037 | 启动或登录初始化脚本 | 启动或登录初始化脚本是攻击者通过篡改系统启动或用户登录时自动执行的脚本实现持久化的技术,通常利用组策略、计划任务或Shell配置文件等机制加载恶意代码。防御方可通过监控系统关键脚本目录的异常修改、分析脚本执行上下文权限变化、检测非常规进程创建行为等手段进行防护,重点关注非管理员时段的脚本变更及非常用程序的初始化加载。 | |
| .001 | 合法脚本注入 | 合法脚本注入(Legitimate Script Injection)是通过篡改系统预设的初始化脚本文件植入恶意代码的隐蔽持久化技术。攻击者选择操作系统默认加载的启动脚本(如Windows组策略脚本、Linux rc.local等),在不改变原有脚本功能的前提下插入恶意代码片段,利用系统可信执行流程隐藏攻击载荷。该技术的关键在于保持原始脚本的哈希校验、数字签名及执行上下文,确保安全软件无法通过静态特征检测发现异常。 | |
| .002 | 动态脚本加载 | 动态脚本加载(Dynamic Script Loading)是一种通过远程资源按需获取攻击载荷的隐蔽初始化技术。攻击者在初始化脚本中仅保留轻量级加载器,通过HTTPS、DNS隧道等加密协议从远程服务器动态获取实际执行的恶意脚本内容。该技术通过分离持久化框架与功能模块,实现攻击链路的模块化与临时化,有效减少本地磁盘残留痕迹。 | |
| .003 | 环境感知触发 | 环境感知触发(Environment-Aware Activation)是通过多维环境校验控制恶意代码执行的智能持久化技术。攻击者在初始化脚本中植入环境检测模块,只有当特定硬件特征(如处理器型号)、网络配置(如域控制器IP)或时间条件(如工作时间段)满足预设阈值时,才会激活恶意功能。该技术通过建立攻击行为与目标环境的强关联性,确保恶意代码仅在适宜场景下运行,大幅降低暴露风险。 | |
| .004 | 凭证混淆存储 | 凭证混淆存储(Credential Obfuscation Storage)是针对初始化脚本中认证信息保护的专项匿迹技术。攻击者采用多层加密与分散存储策略,将窃取的域凭证、API密钥等敏感信息隐藏在注册表项、文件元数据或日志条目中,避免在脚本中明文保存关键凭据。该技术通过破坏凭证存储结构与访问模式的关联性,增加防御方进行凭证取证与滥用检测的难度。 | |
| T1547 | 启动或登录自动启动执行 | 启动或登录自动启动执行是攻击者通过操作系统提供的自动执行机制实现持久化驻留的技术,涉及修改注册表、服务配置、计划任务等系统组件。防御方通常通过监控自启动项变更、分析进程创建行为、校验文件签名等方式进行检测,重点关注非常规位置的注册表键值、异常服务属性和未签名驱动加载等特征。 | |
| .001 | 注册表混淆存储 | 注册表混淆存储(Obfuscated Registry Storage)是一种通过加密和混淆技术将持久化配置信息隐匿在Windows注册表中的高级匿迹手法。攻击者利用多层加密算法对恶意载荷路径、启动参数等关键数据进行处理,将其存储于非常规注册表路径或合法键值的扩展属性中。该技术结合了数据变形与存储位置伪装,有效规避基于注册表键值监控的传统检测手段。 | |
| .002 | 合法服务伪装 | 合法服务伪装(Legitimate Service Masquerading)是通过模仿系统服务特征实现持久化驻留的匿迹技术。攻击者逆向分析目标系统服务属性,创建具有相同显示名称、描述信息和依赖关系的恶意服务,或直接劫持已停用系统服务的配置参数。该技术充分利用Windows服务控制管理器(SCM)的信任机制,使恶意服务在服务列表和进程树中呈现合法特征。 | |
| .003 | 动态载荷注入 | 动态载荷注入(Dynamic Payload Injection)是一种基于内存操作的无文件持久化技术。攻击者通过修改系统启动脚本或劫持合法进程初始化流程,在系统启动阶段将加密载荷动态注入到受信任进程内存空间执行。该技术不依赖磁盘文件驻留,通过内存驻留和进程寄生实现持久化控制,有效规避基于文件监控的检测机制。 | |
| .004 | 定时任务隐匿 | 定时任务隐匿(Stealthy Scheduled Task)是通过篡改任务属性与触发逻辑实现隐蔽执行的匿迹技术。攻击者创建具有合法任务名称和伪装描述的计划任务,通过随机化触发条件、关联系统事件日志或设置多级触发依赖,将恶意任务深度嵌入系统运维流程。该技术利用任务调度器的高级功能实现执行时机和上下文环境的动态适配。 | |
| .005 | 隐蔽驱动加载 | 隐蔽驱动加载(Covert Driver Loading)是通过篡改内核对象和利用合法签名实现驱动级持久化的匿迹技术。攻击者伪造WHQL签名或窃取合法厂商证书对恶意驱动进行签名,通过注册未公开的硬件设备类GUID或寄生在系统驱动依赖链中加载。该技术突破用户态监控的检测边界,在内核层面建立持久化控制通道。 | |
| T1133 | 外部远程服务 | 外部远程服务指攻击者通过VPN、Citrix等外部可访问的远程接入服务建立初始访问或持久化通道的技术。该技术依赖有效账户凭证或暴露的未授权接口,常作为后续攻击的跳板。传统防御手段包括监控认证日志中的异常时间/地点访问、分析远程会话中的非常规操作序列,以及限制未授权服务的暴露面。 | |
| T1078 | 有效账户 | 有效账户滥用是指攻击者通过窃取或冒用合法用户凭证,在目标系统中实施未授权操作的技术手段。该技术之所以具有高威胁性,源于其利用系统既有的身份验证机制,使得恶意活动在表面层符合安全策略要求。传统检测方法主要依赖异常登录分析(非常规时间/地点登录)、权限变更监控以及账户活动审计,防御措施包括多因素认证强化、账户生命周期管理和权限最小化原则实施。 | |
| .001 | 非活跃账户劫持 | 非活跃账户劫持(Dormant Account Hijacking)是攻击者通过控制长期未使用的合法账户实施隐蔽攻击的技术。该技术聚焦于组织内部处于休眠状态的用户账户(如离职员工账户、临时测试账户),利用其保留的系统权限但缺乏日常审计的特性,实施低可见度的横向移动与权限维持。攻击者通过密码喷洒、默认凭证利用或权限继承漏洞获取账户控制权后,刻意维持账户的低频活动特征,使其登录行为与历史活动模式保持统计学一致性,从而规避基于异常登录检测的安全机制。 | |
| .002 | 权限梯度提升 | 权限梯度提升(Privilege Gradient Escalation)是一种通过模拟正常权限升级路径实现隐蔽提权的技术。攻击者在获取初始账户权限后,不直接进行垂直权限提升,而是按照目标组织的权限管理制度,分阶段申请或触发权限升级流程。例如,通过伪造工单系统请求逐步获取更高级别权限,或利用业务系统的自动化审批漏洞实现权限迭代升级。该技术的关键在于将提权过程拆解为多个符合组织内部管理规范的微操作,使得单个步骤均处于正常权限变更的容忍阈值内。 | |
| T1505 | 服务器软件组件 | Adversaries may abuse legitimate extensible development features of servers to establish persistent access to systems. Enterprise server applications may include features that allow developers to write and install software or scripts to extend the functionality of the main application. Adversaries may install malicious components to extend and abuse server applications. | |
| .001 | 合法插件动态加载 |
合法插件动态加载(Legitimate Plugin Dynamic Loading)是指攻击者利用目标服务器支持的合法扩展机制(如WordPress插件系统、Apache模块接口等),将恶意组件伪装成合规功能模块进行加载的技术。该技术通过模仿正常插件的数字签名、版本信息和文件结构,使恶意组件在应用启动时被自动加载至内存执行,同时利用应用白名单机制绕过文件完整性校验。攻击者通过劫持插件更新流程或篡改插件仓库,将后门代码植入高信誉度插件中,实现恶意组件的"阳光化"部署。 该技术的匿迹性源于对服务器生态体系信任关系的深度利用。首先,攻击者通过逆向分析目标应用的插件加载机制,精确复现合法插件的文件特征和加载逻辑,确保恶意组件在数字证书校验、依赖项验证等环节与正常组件完全一致。其次,采用动态加载策略,仅在特定触发条件(如特定HTTP请求头)满足时才激活恶意功能模块,其余时间保持静默状态。技术实现层面需解决三个关键问题:插件代码的兼容性适配(确保与主应用版本的无缝衔接)、组件激活的上下文感知(基于运行时环境动态决策)、以及组件卸载的痕迹清除(利用内存自毁机制避免驻留残留)。最终形成的攻击链具备组件合法性背书、行为动态可控、执行环境融合的特点,使得传统基于文件特征扫描或静态哈希比对的防御手段难以有效检测。 |
|
| .002 | 内存驻留式组件注入 |
内存驻留式组件注入(Memory-Resident Component Injection)是通过直接操纵服务器进程内存空间植入恶意代码的技术。攻击者利用服务器软件的内存管理缺陷(如PHP-FPM共享内存未隔离、Java应用堆溢出漏洞),将加密后的恶意组件直接注入到正在运行的服务进程中,通过Hook关键函数调用(如文件读写、网络通信)实现持久化控制。该技术完全规避磁盘文件写入环节,利用进程合法性的"外壳"保护内存中的恶意代码,同时通过内存加密和代码自混淆技术对抗内存取证分析。 该技术的匿迹机制建立在操作系统内存管理特性与服务器运行时特征的深度结合之上。首先,利用服务器进程固有的动态链接库加载机制,通过远程线程注入或反射式DLL加载技术将恶意模块嵌入合法进程地址空间。其次,采用内存代码动态重定位技术,使注入的组件能够随主进程内存布局变化自动调整执行基址,规避基于内存特征扫描的检测。在通信隐蔽性方面,通过劫持进程原有的网络通信句柄(如Apache的HTTP连接池),将恶意流量伪装成正常业务数据包。技术实施过程中特别注重执行时序控制,仅在服务进程处理特定类型请求(如图片上传、API调用)时才激活恶意代码,最大程度降低内存异常行为暴露概率。 |
|
| .003 | 服务配置镜像劫持 |
服务配置镜像劫持(Service Configuration Image Hijacking)是通过篡改服务器软件组件的加载路径或依赖关系,将恶意组件植入合法执行链的技术。攻击者通过修改服务器应用的配置文件(如Tomcat的catalina.properties)、注册表项(如Windows服务的ImagePath)或动态链接库搜索路径,将原本指向合法组件的加载指令重定向至恶意文件。该技术充分利用服务器运维过程中配置变更的常见性特征,通过保持数字签名完整性和文件时间戳一致性,使被篡改的配置项难以被常规安全检查发现。 该技术的核心匿迹思路在于构建"虚实双链"的执行环境。首先,通过分析目标服务器的组件依赖树,精确识别出高频使用的低权限组件(如日志处理模块、配置解析库)作为劫持目标。其次,创建具有合法数字签名的代理组件,该组件在正常功能执行前后动态加载恶意代码,形成"合法-恶意-合法"的链式调用结构。在对抗检测方面,采用配置项动态还原技术,在恶意组件加载完成后立即恢复原始配置参数,消除篡改痕迹。此外,通过监控服务器配置管理工具的告警阈值(如Ansible的配置审计系统),控制配置变更频率以避免触发异常告警。 |
|
| .004 | 组件功能链式分解 | 组件功能链式分解(Component Function Chain Decomposition)是指将恶意功能分解至多个合法组件并通过逻辑链激活的技术。攻击者通过逆向工程分析目标服务器软件的组件交互机制,将攻击链各阶段功能(如初始访问、命令控制、数据渗出)拆分至不同组件,利用服务器内部消息总线或事件驱动架构实现隐蔽协同。单个组件仅包含最小化功能模块,在独立检测时呈现合法行为特征,仅当特定事件触发时才通过加密信道激活功能链。 | |
| T1525 | 植入内部镜像 | 植入内部镜像是指攻击者通过篡改云环境或容器化基础设施中的标准镜像文件,在镜像内植入恶意代码以实现持久化访问的技术手段。攻击者通常利用云服务管理漏洞或构建流程缺陷,将后门程序嵌入AMI、GCP镜像或Docker镜像中,借助基础设施的自动扩展机制实现恶意代码的规模化部署。传统防御手段主要依赖镜像签名验证、构建过程审计及运行时异常行为监测等手段进行防护,通过校验镜像哈希值、监控仓库写入操作和分析容器运行日志等方式识别异常。 | |
| .001 | 镜像供应链污染注入 | 镜像供应链污染注入(Supply Chain Contamination Injection)是一种通过渗透软件供应链环节植入恶意镜像的高级持久化技术。攻击者通过入侵镜像构建系统(如CI/CD流水线)、篡改基础镜像层或劫持依赖库更新通道,将恶意代码注入镜像生成流程。该技术利用供应链上下游的信任传递机制,使受污染镜像具备数字签名验证等表面合法性,同时通过分层隐匿技术将恶意载荷嵌入镜像文件系统特定位置,在保持镜像功能完整性的前提下构建隐蔽后门。其核心在于将攻击行为前置到镜像构建阶段,使恶意镜像的生成过程完全符合正常业务操作规范。 | |
| .002 | 增量更新劫持植入 | 增量更新劫持植入(Incremental Update Hijacking Implantation)是针对云原生环境设计的动态化镜像篡改技术。该技术通过劫持容器镜像的增量更新机制,在合法更新包中插入恶意模块,利用差分更新验证机制的缺陷实现隐蔽植入。攻击者通过中间人攻击或仓库权限提升,对增量更新层(如Docker镜像的AUFS层)进行二进制补丁注入,构造包含恶意逻辑的差异化更新包,使得更新后的镜像在保留原有功能的同时执行攻击者预设的恶意操作,且更新过程完全符合业务系统的正常维护流程。 | |
| .003 | 镜像元数据深度伪造 | 镜像元数据深度伪造(Deep Metadata Forgery)是通过系统性篡改镜像元数据属性实现恶意镜像合法化的高级隐匿技术。攻击者不仅伪造数字签名、时间戳等基础元数据,还构建完整的虚假构建历史记录、依赖关系树和贡献者信息,使恶意镜像在审计时呈现出与合法镜像完全一致的属性特征。该技术结合密码学伪造与上下文环境模拟,针对镜像仓库的元数据验证机制进行定向绕过,在供应链全环节维持表面合法性。 | |
| T1205 | 流量激活 | 流量激活是攻击者通过特定网络信号触发系统开启隐蔽通信通道或执行恶意功能的持久化技术,其核心在于利用预定义魔法值或数据包序列控制目标系统行为。传统防御手段主要通过监控非常规端口访问序列、检测固定魔法包特征(如Wake-on-LAN的FF:FF:FF:FF:FF:FF前缀)来识别攻击行为,依赖深度包检测技术解析协议异常字段。 | |
| .001 | 多态化端口序列触发 | 多态化端口序列触发(Polymorphic Port Sequence Triggering)是一种基于动态端口敲门机制的隐蔽通道激活技术。攻击者通过预定义包含非连续端口、可变协议类型及动态时序间隔的触发序列,使端口激活信号的发送模式具备时空随机性和协议多样性。该技术突破传统固定端口序列的静态特征,通过算法化生成每次攻击的触发组合,实现端口激活指令的不可预测性。典型应用场景包括绕过网络入侵检测系统对固定端口扫描模式的识别,以及规避基于历史行为分析的防御机制。 | |
| .002 | 协议字段隐匿触发 | 协议字段隐匿触发(Protocol Field Covert Trigger)是一种将激活信号嵌入网络协议标准字段的隐蔽通信技术。攻击者利用TCP/IP协议栈中未充分利用的字段(如IP标识符、TCP时间戳选项、UDP校验和等)或应用层协议(如HTTP头扩展字段、DNS查询参数)承载魔法值,通过特定字段值的组合触发目标系统开启后门通道。该技术将激活信号分解为多个协议交互阶段的数据特征,使得单个数据包在独立分析时不具备恶意属性,仅在特定上下文组合下才会激活攻击行为。 | |
| T1176 | 浏览器扩展 | 浏览器扩展作为现代浏览器生态的核心组件,为攻击者提供了具有合法数字签名、持久化权限和网络访问能力的理想攻击载体。传统防御主要依赖扩展商店的代码审核、数字签名验证及运行时权限监控,通过静态特征扫描检测已知恶意模块,并利用行为分析识别异常网络通信或权限滥用。然而,随着扩展API功能的不断扩展和供应链复杂性的提升,这些基于规则匹配和已知特征库的防御手段面临严峻挑战。 | |
| .001 | 合法扩展签名篡改 | 合法扩展签名篡改(Legitimate Extension Signature Tampering)是通过逆向工程和代码注入技术对已通过官方审核的浏览器扩展进行恶意改造的隐蔽攻击手法。攻击者选取市场占有率较高的合法扩展(如广告拦截器或生产力工具),在保持原有功能完整性的前提下植入恶意模块,利用原扩展的数字签名和用户信任实现隐蔽驻留。该技术通过篡改扩展自动更新机制,将恶意代码注入升级包并保持数字签名有效性,使得恶意扩展在用户侧实现静默更新,同时规避应用商店的二次审核。 | |
| .002 | 动态载荷云端加载 | 动态载荷云端加载(Dynamic Payload Cloud Loading)是通过浏览器扩展与云端服务协同实现的模块化攻击技术。该扩展本体仅保留最小化通信模块,核心恶意功能以加密载荷形式存储在攻击者控制的云服务器,根据环境态势动态下发执行。扩展在安装后首先进行环境指纹收集(包括安全软件配置、网络策略等),将指纹数据加密回传至C2服务器,云端根据响应策略返回定制化的恶意模块,在内存中解密执行且不落盘存储。 | |
| .003 | 扩展供应链污染植入 | 扩展供应链污染植入(Extension Supply Chain Contamination)是通过渗透浏览器扩展开发工具链或分发渠道实施的隐蔽攻击技术。攻击者针对扩展开发者的构建环境(如Node.js依赖库、CI/CD流水线)植入恶意代码,使得官方发布的扩展安装包在构建过程中自动嵌入后门模块。该技术利用软件开发供应链的信任传递特性,使恶意代码通过数字签名验证进入官方应用商店,形成"源头污染"的攻击效果。 | |
| T1653 | 电源设置 | 电源设置滥用是指攻击者通过修改系统电源管理策略阻止设备进入休眠、关机或重启状态,从而维持持久控制的攻击技术。传统攻击手段涉及使用powercfg等工具直接修改超时参数,或删除关键系统文件阻止正常关机流程。防御方可监控电源配置变更事件、分析异常命令行工具调用,并实施配置基线验证来检测此类攻击。 | |
| .001 | 合法电源管理工具滥用 | 合法电源管理工具滥用(Legitimate Power Management Tool Abuse)是指攻击者利用操作系统内置的电源管理组件(如Windows的powercfg.exe、Linux的systemd-sleep)执行恶意配置变更,以规避安全检测的技术。该技术通过调用系统原生管理接口修改休眠策略、屏幕锁定超时等参数,将恶意操作嵌入正常电源管理流程,利用白名单工具的合法性掩盖攻击意图。攻击者通过参数注入、脚本封装等方式实现持久化控制,同时规避基于进程行为的异常检测。 | |
| .002 | 注册表项深度隐藏 | 注册表项深度隐藏(Registry Key Deep Concealment)是一种针对Windows系统的隐蔽电源配置篡改技术。攻击者通过修改注册表中与电源管理相关的深层键值(如HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Power),结合注册表项权限篡改和元数据混淆,使恶意配置变更难以被常规检测手段发现。该技术利用注册表层次结构的复杂性,将关键参数隐藏在非标准路径或系统保留字段中,同时通过伪造最后修改时间戳、删除变更日志等手段破坏取证分析。 | |
| .003 | 动态策略切换 | 动态策略切换(Dynamic Policy Switching)是一种基于环境感知的智能电源配置攻击技术。攻击者通过实时监测系统状态(如用户活跃度、网络连接情况、安全进程运行状态),动态调整电源策略参数以规避检测。例如在检测到用户输入活动时恢复默认设置,而在系统空闲时段激活恶意配置。该技术通过建立自适应策略引擎,使电源配置变更行为与系统正常操作节奏保持同步,降低异常行为暴露风险。 | |
| .004 | 伪装系统进程操作 | 伪装系统进程操作(System Process Spoofing)是指攻击者通过代码注入或进程劫持技术,使电源配置篡改操作看似由可信系统进程(如svchost.exe、winlogon.exe)发起的技术。该技术利用系统核心进程的权限优势和信任地位,将恶意电源管理操作融入操作系统底层工作流程,规避基于进程树分析的检测机制。攻击者通过API钩挂或异步过程调用(APC)将配置篡改代码注入系统关键进程,并伪造调用栈信息掩盖真实执行路径。 | |
| T1098 | 账号操控 | Adversaries may manipulate accounts to maintain and/or elevate access to victim systems. Account manipulation may consist of any action that preserves or modifies adversary access to a compromised account, such as modifying credentials or permission groups. These actions could also include account activity designed to subvert security policies, such as performing iterative password updates to bypass password duration policies and preserve the life of compromised credentials. | |
| .001 | 凭证增量更新 | 凭证增量更新(Credential Incremental Update)是一种通过周期性微调账户认证信息实现权限维持的隐蔽攻击技术。攻击者在控制目标账户后,以合规密码策略为掩护,通过多次小幅度修改密码属性(如密码复杂度、有效期),逐步将初始攻击凭证转换为符合目标安全策略的合法凭证。该技术利用密码管理系统的策略执行机制,在防御方视角下呈现为正常的账户维护行为,从而规避基于单次异常凭证修改的检测规则。 | |
| .002 | 权限克隆 | 权限克隆(Permission Cloning)是通过复制合法账户权限配置实现特权提升的隐蔽攻击技术。攻击者通过分析目标域内高价值账户的权限配置,在受控账户上创建具有相同安全标识符(SID)或组成员关系的虚拟权限结构,而非直接修改显式权限列表。该技术利用操作系统权限验证机制的漏洞,使受控账户在权限校验时被识别为高特权账户,同时避免在审计日志中留下显式的权限变更记录。 | |
| .003 | 影子令牌生成 | 影子令牌生成(Shadow Token Generation)是通过伪造或劫持身份认证令牌实现持久化访问的技术。攻击者利用OAuth、Kerberos等协议的设计特性,在合法认证流程中注入恶意参数生成具有长期效力的隐蔽访问令牌。这些令牌在权限授予层面与正常业务令牌具有相同属性,但包含隐藏的提权作用域或备用访问路径,可在不触发令牌审计机制的情况下实现越权操作。 | |
| .004 | 服务账户寄生 | 服务账户寄生(Service Account Parasitism)是通过劫持系统服务账户上下文实施隐蔽权限操纵的技术。攻击者利用服务控制管理器(SCM)的配置漏洞,将恶意操作嵌入服务账户的合法任务执行流程,使权限变更行为继承服务账户的安全上下文和审计特征。该技术特别针对具有SeTcbPrivilege等高权限的服务账户,通过寄生其运行环境实现特权操作的深度伪装。 | |
| T1053 | 预定任务/作业 | 预定任务/作业(T1053)指攻击者滥用操作系统或应用程序的任务调度功能实现恶意代码执行的技术,通常用于持久化、权限提升或绕过安全监控。攻击者通过创建计划任务触发恶意负载,可能利用系统工具(如Windows schtasks、Linux cron)或API实现远程任务部署。传统防御手段主要通过监控任务创建事件、分析任务配置异常(如未知作者、非常规定时器)以及检测可疑子进程链来识别恶意行为。 | |
| .001 | 系统进程任务注入 | 系统进程任务注入(System Process Task Injection)是一种通过将恶意任务嵌入操作系统核心进程的合法任务序列实现隐蔽执行的攻击技术。攻击者通过分析目标系统内置的预定任务执行链,选择具有数字签名验证豁免权限的系统进程(如svchost.exe、taskeng.exe),利用进程内存空间注入或注册表劫持等手段,将恶意载荷的执行逻辑插入到系统预设任务的触发流程中。该技术的关键在于保持任务调度器数据库的完整性,通过复用系统进程的信任链规避基于任务源的可信性检查。 | |
| .002 | 动态定时任务调度 | 动态定时任务调度(Dynamic Task Scheduling)是一种基于环境感知的自适应任务触发技术。攻击者通过持续监测目标系统的资源负载、用户活跃状态、安全软件运行周期等参数,动态调整恶意任务的执行时间窗口,使任务触发时机与系统正常运维节奏保持同步。该技术突破传统定时任务固定周期触发的特征限制,通过建立任务执行与系统上下文状态的强关联性,实现恶意行为与合法活动的时序混淆。 | |
| .003 | 任务链分段隐匿 | 任务链分段隐匿(Task Chain Fragmentation)是通过将完整攻击链拆解为多个合法任务节点实现行为隐蔽的技术。攻击者将恶意操作分解为具有功能独立性的任务单元,每个单元仅执行非敏感操作(如日志清理、配置文件更新),通过任务间的输入输出传递构建攻击链。各任务节点采用不同的触发条件与安全上下文,使单任务行为特征均符合系统运维规范,而恶意意图仅体现在任务链的整体编排中。 | |
| T1542 | 预操作系统引导 | 预操作系统引导攻击指攻击者通过篡改系统固件或引导过程在操作系统加载前植入恶意代码,建立超越操作系统权限的持久化控制。此类攻击直接操作硬件层组件,可绕过传统基于操作系统的安全防护。防御措施主要包括固件完整性校验、安全启动机制强化、NVRAM变更监控等,通过可信平台模块(TPM)度量引导过程和定期固件健康检查进行威胁发现。 | |
| .001 | 固件级隐蔽代码注入 | 固件级隐蔽代码注入(Firmware-Level Stealth Code Injection)是针对计算机系统引导层的高级持久化技术。攻击者通过篡改UEFI/BIOS固件或引导加载程序(Bootloader),将恶意代码植入系统初始化阶段,使其在操作系统内核加载前获得执行权限。该技术利用固件更新机制或漏洞利用,将恶意负载写入SPI闪存芯片,构建硬件级持久化后门。恶意代码通过劫持系统管理中断(SMI)或运行时服务,在操作系统不可见的层级建立控制通道。 | |
| .002 | 安全启动机制动态旁路 | 安全启动机制动态旁路(Secure Boot Dynamic Bypass)是针对UEFI安全启动功能的对抗技术。攻击者通过篡改引导策略数据库或伪造签名证书,在系统启动验证环节动态禁用安全启动保护。该技术采用临时性策略修改手段,在完成恶意代码加载后自动恢复原始安全配置,避免触发固件完整性校验告警,实现"瞬时穿透-持久驻留"的攻击效果。 | |
| .003 | 非易失存储隐蔽持久化模块 | 非易失存储隐蔽持久化模块(Non-Volatile Storage Covert Persistence Module)是针对计算机非易失性随机访问存储器(NVRAM)的深度隐匿技术。攻击者通过操纵UEFI环境变量或ACPI表,在NVRAM中植入恶意配置项,利用固件引导过程中对NVRAM数据的自动加载机制实现持久化。该技术特别擅长绕过基于磁盘文件监控的传统防御体系,将攻击载荷存储在独立于操作系统的硬件存储区域。 | |