密态对抗中的权限提升战术是指攻击者在突破权限边界过程中,通过权限操作隐匿化、行为轨迹消减化、身份伪装可信化等手段,实现特权获取与行为隐蔽性同步达成的攻击策略体系。
在权限提升阶段,匿迹战术聚焦于消除特权升级过程中的异常特征与可追溯性标记。攻击者通过滥用系统内置权限管理机制、劫持合法进程上下文、构造最小化日志生成的提权路径等手法,将特权操作融入系统正常行为序列。其核心在于建立权限跃迁与合法操作的动态关联性,例如利用可信进程内存注入实现权限上下文切换、通过中间件服务伪装特权指令执行环境、借助供应链污染间接触发提权条件等。此外,攻击者采用权限状态动态回滚、日志链异步擦除等技术,有效切断提权行为在审计追踪维度的连续性。
匿迹战术使权限提升行为呈现出与系统运维操作高度相似的特征,显著降低了基于行为特征或规则匹配的检测有效性。攻击者通过消除特权突变过程中的异常时间窗口与操作指纹,大幅延长了高权限驻留的隐蔽周期,为后续横向渗透、数据渗出等阶段构建了持久化攻击支点。同时,可信身份伪装机制使得提权操作可绕过基于用户行为基线分析的防御体系,增强了攻击者在目标环境中的生存能力与操作自由度。
此类匿迹技术对传统基于权限变更监控或进程行为签名的防御模型形成根本性冲击,其动态权限注入与上下文伪装特性导致实时检测难度呈指数级上升。防御方需构建特权操作的全生命周期追踪机制,结合内存行为完整性验证、上下文敏感权限模型等技术,识别非预期权限状态迁移。同时,应推行零信任架构下的动态权限校验策略,通过细粒度访问控制与实时权限链分析,阻断隐蔽提权行为与后续攻击阶段的逻辑关联。
| ID | Name | Description | |
| T1546 | 事件触发执行 | 事件触发执行指攻击者通过篡改系统或应用事件响应机制,在特定条件满足时自动执行恶意代码的技术,常用于实现持久化驻留或权限提升。该技术利用操作系统内置的自动化任务调度框架(如Windows计划任务、Unix cron作业)或应用程序事件处理接口,将恶意行为与合法系统活动深度绑定。防御方通常通过监控注册表关键路径变更、分析进程创建上下文异常、校验系统组件完整性等手段进行检测,并采用最小权限原则限制事件触发组件的执行权限。 | |
| .001 | 系统事件订阅伪装 | 系统事件订阅伪装(System Event Subscription Camouflage)是一种通过劫持合法系统事件订阅机制实现隐蔽触发的攻击技术。攻击者通过篡改Windows Management Instrumentation(WMI)事件过滤器、任务计划程序或系统日志订阅等原生功能,将恶意代码执行与特定系统事件(如用户登录、进程创建或网络连接)建立关联,利用系统内置的自动化机制实现隐蔽持久化。该技术通过复用操作系统自身的事件响应框架,使恶意行为深度融入系统正常运维流程,规避基于进程行为异常的检测机制。 | |
| .002 | 云服务触发器寄生 | 云服务触发器寄生(Cloud Service Trigger Parasitism)是针对云原生环境设计的隐蔽事件触发技术。攻击者通过滥用云平台提供的函数计算服务(如AWS Lambda、Azure Functions)的事件驱动架构,将恶意代码植入云函数并与合法云服务事件(如对象存储变更、日志更新或API网关调用)进行绑定,利用云服务商的基础设施实现攻击指令的自动化触发与执行。该技术通过完全托管在云平台内部的合法资源调度机制,使恶意行为获得云服务商授予的信任链,规避基于网络流量分析的检测体系。 | |
| .003 | 动态注册表映像劫持 | 动态注册表映像劫持(Dynamic Registry Image Hijacking)是通过篡改Windows注册表映像文件执行路径实现事件触发的隐蔽技术。攻击者利用Windows系统加载可执行文件时的路径解析机制,通过注册表键值修改将合法程序(如记事本或计算器)的启动路径重定向至恶意载荷,同时保留原始程序的数字签名与文件属性。该技术通过劫持系统常用程序的执行流程,使恶意代码在用户执行高频可信操作时自动触发,形成"用户主动触发-系统合法加载-恶意代码隐蔽执行"的连锁反应。 | |
| .004 | 进程生命周期劫持 | 进程生命周期劫持(Process Lifecycle Hijacking)是通过挂钩系统进程状态变更事件实现隐蔽触发的攻击技术。攻击者利用操作系统提供的进程创建/终止通知接口(如Windows ETW或Linux Auditd),构建恶意事件订阅模块监控特定进程的生命周期变化,在目标进程启动或退出时触发预置攻击逻辑。该技术通过深度绑定系统核心进程的运行时行为,将恶意代码执行与系统稳定性操作相关联,利用系统自身进程管理机制实现隐蔽触发。 | |
| T1543 | 创建或修改系统进程 | 创建或修改系统进程是攻击者通过操作操作系统级服务、守护进程或代理程序实现持久化驻留和权限提升的关键技术。攻击者可能安装新服务或篡改现有服务配置,使其在系统启动时或定期执行恶意负载。传统防御主要依赖监控服务配置变更(如Windows注册表Services子键)、检测异常进程树结构、分析服务二进制文件特征,以及审查服务相关命令行调用日志等手段。 | |
| .001 | 合法进程代码寄生注入 | 合法进程代码寄生注入(Legitimate Process Code Parasitism Injection)是一种通过将恶意代码嵌入系统可信进程内存空间实现隐蔽驻留的技术。攻击者利用进程空洞注入、反射式DLL加载或APC队列注入等方式,在不创建独立进程的前提下,将恶意模块寄生在系统核心服务(如svchost.exe、systemd)或常用应用进程中。该技术通过复用合法进程的数字签名、资源调用链和通信行为,使恶意行为与宿主进程形成深度耦合,规避基于进程树分析和签名验证的检测机制。 | |
| .002 | 动态服务配置伪装 | 动态服务配置伪装(Dynamic Service Configuration Camouflage)是一种通过实时修改服务配置参数实现进程隐蔽的技术。攻击者在创建或修改系统服务时,采用动态生成服务名称、描述信息、二进制路径等元数据,使其与合法服务特征高度相似。例如,通过机器学习模型分析目标环境中常用服务命名规律,生成诸如"Windows_Update_Helper"等具有迷惑性的服务名,并将恶意载荷存储在系统目录的深层次嵌套路径中,同时伪造版本信息、数字签名等属性,构建具有表面合法性的恶意服务实体。 | |
| .003 | 无文件化内存驻留服务 | 无文件化内存驻留服务(Fileless Memory-Resident Service)是一种完全在内存中创建和运行恶意系统服务的技术。攻击者利用Windows服务控制管理器的高级功能或Linux的in-memory执行框架,通过反射加载技术将恶意代码直接注入系统服务宿主进程的内存空间,不依赖磁盘文件持久化。该技术通过劫持服务线程执行流或创建虚拟服务条目,使恶意服务具备完整的启动、停止、状态报告等标准服务行为特征,同时规避传统基于文件监控的检测手段。 | |
| T1574 | 劫持执行流 | 劫持执行流是攻击者通过操纵操作系统程序执行机制,将恶意代码植入合法进程执行路径的攻击技术,常用于绕过应用白名单、实现持久化或权限提升。传统防御手段主要监控文件系统变更、DLL加载异常和服务配置修改,通过哈希校验、进程行为分析和注册表审计等手段检测异常。 | |
| .001 | 白文件动态内存注入 | 白文件动态内存注入(Legitimate File Dynamic Memory Injection)是一种通过合法进程内存空间执行恶意代码的高级劫持技术。攻击者选择具有数字签名或高信誉的应用程序作为宿主进程,利用进程漏洞或内存操作API将恶意负载注入其运行时的内存空间,通过劫持线程上下文或函数指针重定向执行流。该技术不修改磁盘文件完整性,完全在内存中完成代码植入,规避了传统文件完整性校验机制,同时利用宿主进程的合法身份隐藏恶意行为。 | |
| .002 | 多级可信服务链劫持 | 多级可信服务链劫持(Multi-Stage Trusted Service Chain Hijacking)是通过篡改服务依赖关系实现执行流重定向的隐蔽攻击技术。攻击者针对Windows服务控制管理器(SCM)的链式加载机制,在合法系统服务(如Windows Update、安全中心服务)的依赖项中插入恶意服务模块,构建多级可信执行链路。通过修改服务注册表键值中的DependOnService或DependOnGroup字段,使恶意服务获得系统信任链的继承权限,并在父服务启动时被自动加载执行。 | |
| .003 | 运行时环境变量污染 | 运行时环境变量污染(Runtime Environment Variable Poisoning)是通过篡改进程执行环境实现路径劫持的技术变种。攻击者针对动态链接库(DLL)搜索顺序、可执行文件路径解析等环境变量(如PATH、PATHEXT),植入恶意路径条目或修改路径解析优先级,诱使目标进程加载攻击者控制的恶意库文件或可执行程序。该技术特别适用于容器化环境或持续集成系统,通过污染构建环境变量实现供应链攻击。 | |
| T1037 | 启动或登录初始化脚本 | 启动或登录初始化脚本是攻击者通过篡改系统启动或用户登录时自动执行的脚本实现持久化的技术,通常利用组策略、计划任务或Shell配置文件等机制加载恶意代码。防御方可通过监控系统关键脚本目录的异常修改、分析脚本执行上下文权限变化、检测非常规进程创建行为等手段进行防护,重点关注非管理员时段的脚本变更及非常用程序的初始化加载。 | |
| .001 | 合法脚本注入 | 合法脚本注入(Legitimate Script Injection)是通过篡改系统预设的初始化脚本文件植入恶意代码的隐蔽持久化技术。攻击者选择操作系统默认加载的启动脚本(如Windows组策略脚本、Linux rc.local等),在不改变原有脚本功能的前提下插入恶意代码片段,利用系统可信执行流程隐藏攻击载荷。该技术的关键在于保持原始脚本的哈希校验、数字签名及执行上下文,确保安全软件无法通过静态特征检测发现异常。 | |
| .002 | 动态脚本加载 | 动态脚本加载(Dynamic Script Loading)是一种通过远程资源按需获取攻击载荷的隐蔽初始化技术。攻击者在初始化脚本中仅保留轻量级加载器,通过HTTPS、DNS隧道等加密协议从远程服务器动态获取实际执行的恶意脚本内容。该技术通过分离持久化框架与功能模块,实现攻击链路的模块化与临时化,有效减少本地磁盘残留痕迹。 | |
| .003 | 环境感知触发 | 环境感知触发(Environment-Aware Activation)是通过多维环境校验控制恶意代码执行的智能持久化技术。攻击者在初始化脚本中植入环境检测模块,只有当特定硬件特征(如处理器型号)、网络配置(如域控制器IP)或时间条件(如工作时间段)满足预设阈值时,才会激活恶意功能。该技术通过建立攻击行为与目标环境的强关联性,确保恶意代码仅在适宜场景下运行,大幅降低暴露风险。 | |
| .004 | 凭证混淆存储 | 凭证混淆存储(Credential Obfuscation Storage)是针对初始化脚本中认证信息保护的专项匿迹技术。攻击者采用多层加密与分散存储策略,将窃取的域凭证、API密钥等敏感信息隐藏在注册表项、文件元数据或日志条目中,避免在脚本中明文保存关键凭据。该技术通过破坏凭证存储结构与访问模式的关联性,增加防御方进行凭证取证与滥用检测的难度。 | |
| T1547 | 启动或登录自动启动执行 | 启动或登录自动启动执行是攻击者通过操作系统提供的自动执行机制实现持久化驻留的技术,涉及修改注册表、服务配置、计划任务等系统组件。防御方通常通过监控自启动项变更、分析进程创建行为、校验文件签名等方式进行检测,重点关注非常规位置的注册表键值、异常服务属性和未签名驱动加载等特征。 | |
| .001 | 注册表混淆存储 | 注册表混淆存储(Obfuscated Registry Storage)是一种通过加密和混淆技术将持久化配置信息隐匿在Windows注册表中的高级匿迹手法。攻击者利用多层加密算法对恶意载荷路径、启动参数等关键数据进行处理,将其存储于非常规注册表路径或合法键值的扩展属性中。该技术结合了数据变形与存储位置伪装,有效规避基于注册表键值监控的传统检测手段。 | |
| .002 | 合法服务伪装 | 合法服务伪装(Legitimate Service Masquerading)是通过模仿系统服务特征实现持久化驻留的匿迹技术。攻击者逆向分析目标系统服务属性,创建具有相同显示名称、描述信息和依赖关系的恶意服务,或直接劫持已停用系统服务的配置参数。该技术充分利用Windows服务控制管理器(SCM)的信任机制,使恶意服务在服务列表和进程树中呈现合法特征。 | |
| .003 | 动态载荷注入 | 动态载荷注入(Dynamic Payload Injection)是一种基于内存操作的无文件持久化技术。攻击者通过修改系统启动脚本或劫持合法进程初始化流程,在系统启动阶段将加密载荷动态注入到受信任进程内存空间执行。该技术不依赖磁盘文件驻留,通过内存驻留和进程寄生实现持久化控制,有效规避基于文件监控的检测机制。 | |
| .004 | 定时任务隐匿 | 定时任务隐匿(Stealthy Scheduled Task)是通过篡改任务属性与触发逻辑实现隐蔽执行的匿迹技术。攻击者创建具有合法任务名称和伪装描述的计划任务,通过随机化触发条件、关联系统事件日志或设置多级触发依赖,将恶意任务深度嵌入系统运维流程。该技术利用任务调度器的高级功能实现执行时机和上下文环境的动态适配。 | |
| .005 | 隐蔽驱动加载 | 隐蔽驱动加载(Covert Driver Loading)是通过篡改内核对象和利用合法签名实现驱动级持久化的匿迹技术。攻击者伪造WHQL签名或窃取合法厂商证书对恶意驱动进行签名,通过注册未公开的硬件设备类GUID或寄生在系统驱动依赖链中加载。该技术突破用户态监控的检测边界,在内核层面建立持久化控制通道。 | |
| T1484 | 域或租户策略修改 | 域或租户策略修改是指攻击者通过篡改集中化身份管理体系的核心配置,实现权限提升、持久化控制或防御规避的攻击技术。典型手段包括修改组策略对象、调整域信任关系、变更身份联合设置等,可能影响域内所有实体(用户、设备、服务)。防御措施侧重于监控关键策略变更事件(如Windows事件ID 5136、5141)、审计特权账户操作日志、实施配置变更审批流程,以及检测非常规管理工具的使用。 | |
| .001 | 临时策略回滚 | 临时策略回滚(Ephemeral Policy Rollback)是一种通过即时恢复策略配置实现操作隐蔽的技术。攻击者在获得域控或云租户管理权限后,对目标策略(如组策略对象、域信任关系或身份联合配置)进行短暂修改并立即还原原始状态,使得策略异常仅存在于极短时间窗口。该技术通过时间维度压缩攻击痕迹的存在周期,利用系统审计日志的聚合延迟特性规避实时监控,在维持攻击效果的同时最小化策略变更的可观测性。 | |
| .002 | 合法管理接口滥用 | 合法管理接口滥用(Legitimate Management Interface Abuse)指攻击者通过劫持合规管理工具或标准API接口实施策略篡改的技术。该技术利用系统内置的管理组件(如Azure AD PowerShell模块、Microsoft Graph API)执行恶意策略变更,将攻击行为伪装成正常管理操作。通过严格遵循目标平台的接口调用规范和权限验证流程,攻击者生成的恶意请求在协议层、身份验证层均符合平台安全策略,有效规避基于异常工具检测或非常规API调用的防御机制。 | |
| .003 | 隐蔽式凭证注入策略变更 | 隐蔽式凭证注入策略变更(Covert Credential Injection in Policy Modification)是通过篡改身份验证策略参数实现持久化访问的技术。攻击者修改域或租户的身份联合配置(如SAML令牌签名证书、OAuth客户端密钥),将攻击者控制的凭证信息嵌入系统核心认证流程。该技术通过策略层级的凭证注入,使得攻击者能够生成被目标系统信任的合法身份令牌,同时保持策略配置表面完整性,规避基于配置审计的检测手段。 | |
| T1078 | 有效账户 | 有效账户滥用是指攻击者通过窃取或冒用合法用户凭证,在目标系统中实施未授权操作的技术手段。该技术之所以具有高威胁性,源于其利用系统既有的身份验证机制,使得恶意活动在表面层符合安全策略要求。传统检测方法主要依赖异常登录分析(非常规时间/地点登录)、权限变更监控以及账户活动审计,防御措施包括多因素认证强化、账户生命周期管理和权限最小化原则实施。 | |
| .001 | 非活跃账户劫持 | 非活跃账户劫持(Dormant Account Hijacking)是攻击者通过控制长期未使用的合法账户实施隐蔽攻击的技术。该技术聚焦于组织内部处于休眠状态的用户账户(如离职员工账户、临时测试账户),利用其保留的系统权限但缺乏日常审计的特性,实施低可见度的横向移动与权限维持。攻击者通过密码喷洒、默认凭证利用或权限继承漏洞获取账户控制权后,刻意维持账户的低频活动特征,使其登录行为与历史活动模式保持统计学一致性,从而规避基于异常登录检测的安全机制。 | |
| .002 | 权限梯度提升 | 权限梯度提升(Privilege Gradient Escalation)是一种通过模拟正常权限升级路径实现隐蔽提权的技术。攻击者在获取初始账户权限后,不直接进行垂直权限提升,而是按照目标组织的权限管理制度,分阶段申请或触发权限升级流程。例如,通过伪造工单系统请求逐步获取更高级别权限,或利用业务系统的自动化审批漏洞实现权限迭代升级。该技术的关键在于将提权过程拆解为多个符合组织内部管理规范的微操作,使得单个步骤均处于正常权限变更的容忍阈值内。 | |
| T1068 | 权限提升漏洞利用 | 权限提升漏洞利用指攻击者通过利用软件或系统漏洞获取更高权限级别的访问控制能力,通常涉及内核驱动漏洞利用、进程权限上下文篡改或虚拟化隔离突破等技术。传统防御侧重于检测异常进程行为、监控驱动加载事件以及分析系统调用异常模式,通过行为规则匹配和内存完整性校验等手段进行防护。 | |
| T1548 | 滥用权限提升控制机制 | 权限提升控制机制滥用是指攻击者利用操作系统原生权限管理机制的缺陷或特性,绕过安全策略获取更高权限级别的攻击行为。现代系统通过用户账户控制(UAC)、sudo机制、权限令牌验证等方式限制非授权提权,防御方通常采用进程行为监控、文件完整性校验、环境变量审计等手段进行检测。例如监控setuid/setgid文件变更、分析进程权限突变事件、检查注册表敏感项修改等。 | |
| .001 | 可信服务配置隐蔽提权 | 可信服务配置隐蔽提权(Trusted Service Configuration Escalation)是一种通过篡改系统服务配置参数实现权限提升的隐蔽攻击技术。攻击者针对具有合法高权限的系统服务(如Windows服务或Linux守护进程),通过修改服务执行路径、加载参数或依赖组件,将恶意代码注入到受信任的服务执行流程中。该技术利用操作系统对系统服务的高权限信任机制,在不触发权限变更告警的前提下完成提权操作,其核心在于保持服务配置的合法性边界内实施恶意载荷注入。 | |
| .002 | 动态库搜索劫持提权 | 动态库搜索劫持提权(DLL Search Order Hijacking Escalation)是通过操纵系统动态库加载机制实现权限升级的隐蔽攻击方法。该技术利用应用程序运行时加载动态链接库(DLL)的搜索顺序漏洞,在合法高权限进程的上下文中执行恶意代码。攻击者通过伪造目标进程预期加载的DLL文件,将其放置在系统搜索路径的优先位置,当目标进程启动时自动加载恶意库并执行提权操作,同时保持进程签名的完整性验证。 | |
| .003 | 环境变量注入提权 | 环境变量注入提权(Environment Variable Injection Escalation)是一种通过篡改进程环境变量实现权限升级的隐蔽攻击技术。攻击者通过修改系统或用户环境变量(如PATH、LD_LIBRARY_PATH),影响高权限进程的运行时行为,诱导其加载恶意组件或执行非预期命令。该技术特别针对依赖环境变量进行配置的自动化任务或系统服务,通过改变资源定位路径实现提权载荷的隐蔽执行。 | |
| .004 | 内存驻留型提权载荷 | 内存驻留型提权载荷(Memory-Resident Escalation Payload)是通过纯内存操作实现权限升级的零痕迹攻击技术。该技术利用进程注入或内存篡改技术,将提权代码直接写入高权限进程的内存空间执行,避免在磁盘或注册表中留下可检测痕迹。攻击者通过API钩取、线程劫持或内存映射文件等手段,在受信进程的上下文中动态执行提权操作,完全绕过基于文件扫描的防御机制。 | |
| T1134 | 访问令牌操控 | 访问令牌操控是攻击者通过篡改进程安全上下文实现权限提升的关键技术,其核心在于利用Windows身份验证机制的设计特性,通过令牌窃取、复制或伪造等手段,使恶意进程获得超出其原始权限的资源访问能力。传统防御手段主要依赖进程行为审计(如检测异常父-子进程关系)、令牌完整性校验(验证令牌签名及权限变更记录)以及用户账户控制(UAC)机制,通过监控敏感API调用(如DuplicateTokenEx)和异常权限变更事件来识别攻击行为。 | |
| .001 | 进程继承令牌注入 | 进程继承令牌注入(Process Inheritance Token Injection)是一种通过篡改进程创建机制实现权限提升的隐蔽攻击技术。攻击者利用Windows进程树继承规则,将高权限令牌注入到新创建的子进程中,使得子进程在表面继承父进程身份的同时,实际执行权限与令牌持有者分离。该技术通过劫持合法进程的创建流程,在不触发安全告警的情况下完成权限上下文切换,规避传统基于进程行为一致性的检测机制。 | |
| .002 | 动态令牌上下文克隆 | 动态令牌上下文克隆(Dynamic Token Context Cloning)是一种基于实时上下文捕获的令牌操控技术。攻击者通过Hook系统身份验证组件,在目标用户执行特权操作时动态捕获其完整安全上下文(包括组令牌、特权列表及会话密钥),并将该上下文克隆至攻击进程。与静态令牌窃取不同,该技术聚焦于捕捉处于活跃状态的瞬时身份凭证,确保克隆令牌与当前系统安全策略保持同步,有效规避基于令牌有效期或会话状态的检测机制。 | |
| .003 | 跨会话令牌桥接 | 跨会话令牌桥接(Cross-Session Token Bridging)是针对多用户环境设计的横向移动匿迹技术。攻击者通过解析内核对象目录结构,定位其他用户会话的令牌对象,并利用进程迁移技术将当前攻击线程关联至目标令牌。该技术突破Windows会话隔离机制,实现不同安全域之间的权限渗透,同时保持攻击进程在原始会话中的低权限表象,形成"跨域隐身"的攻击效果。 | |
| .004 | 可信进程链令牌伪装 | 可信进程链令牌伪装(Trusted Process Chain Token Masquerade)是通过构建虚假进程继承链实现深度隐匿的令牌操控技术。攻击者伪造进程创建记录,使高权限进程在安全日志中显示为由系统核心组件(如services.exe)或可信应用程序派生,同时通过篡改进程环境块(PEB)中的父进程信息,确保进程树监控工具无法识别真实攻击来源。该技术结合令牌窃取与进程链伪造,形成多维度的身份伪装体系。 | |
| T1098 | 账号操控 | Adversaries may manipulate accounts to maintain and/or elevate access to victim systems. Account manipulation may consist of any action that preserves or modifies adversary access to a compromised account, such as modifying credentials or permission groups. These actions could also include account activity designed to subvert security policies, such as performing iterative password updates to bypass password duration policies and preserve the life of compromised credentials. | |
| .001 | 凭证增量更新 | 凭证增量更新(Credential Incremental Update)是一种通过周期性微调账户认证信息实现权限维持的隐蔽攻击技术。攻击者在控制目标账户后,以合规密码策略为掩护,通过多次小幅度修改密码属性(如密码复杂度、有效期),逐步将初始攻击凭证转换为符合目标安全策略的合法凭证。该技术利用密码管理系统的策略执行机制,在防御方视角下呈现为正常的账户维护行为,从而规避基于单次异常凭证修改的检测规则。 | |
| .002 | 权限克隆 | 权限克隆(Permission Cloning)是通过复制合法账户权限配置实现特权提升的隐蔽攻击技术。攻击者通过分析目标域内高价值账户的权限配置,在受控账户上创建具有相同安全标识符(SID)或组成员关系的虚拟权限结构,而非直接修改显式权限列表。该技术利用操作系统权限验证机制的漏洞,使受控账户在权限校验时被识别为高特权账户,同时避免在审计日志中留下显式的权限变更记录。 | |
| .003 | 影子令牌生成 | 影子令牌生成(Shadow Token Generation)是通过伪造或劫持身份认证令牌实现持久化访问的技术。攻击者利用OAuth、Kerberos等协议的设计特性,在合法认证流程中注入恶意参数生成具有长期效力的隐蔽访问令牌。这些令牌在权限授予层面与正常业务令牌具有相同属性,但包含隐藏的提权作用域或备用访问路径,可在不触发令牌审计机制的情况下实现越权操作。 | |
| .004 | 服务账户寄生 | 服务账户寄生(Service Account Parasitism)是通过劫持系统服务账户上下文实施隐蔽权限操纵的技术。攻击者利用服务控制管理器(SCM)的配置漏洞,将恶意操作嵌入服务账户的合法任务执行流程,使权限变更行为继承服务账户的安全上下文和审计特征。该技术特别针对具有SeTcbPrivilege等高权限的服务账户,通过寄生其运行环境实现特权操作的深度伪装。 | |
| T1055 | 进程注入 | 进程注入是攻击者将恶意代码植入合法进程内存空间以规避安全检测的技术,通过借用可信进程的权限和资源实现隐蔽攻击。传统防御手段主要监控进程创建行为、异常内存操作及可疑API调用序列,例如检测VirtualAllocEx/WriteProcessMemory组合调用或远程线程创建事件。现代终端防护系统通过内存完整性校验、行为链分析和机器学习模型识别异常进程行为。 | |
| .001 | 反射式DLL注入 | 反射式DLL注入(Reflective DLL Injection)是一种无需依赖Windows加载器机制的内存驻留技术。攻击者通过自主实现DLL映射逻辑,将恶意代码直接写入目标进程内存空间并触发执行,规避了传统DLL注入所需的磁盘文件写入和注册表操作环节。该技术通过内存操作API构建完整的PE结构映射,利用进程合法内存操作掩盖代码加载痕迹,使得安全产品难以通过文件监控或加载器行为分析发现异常。 | |
| .002 | 进程空洞注入 | 进程空洞注入(Process Hollowing)是一种通过替换合法进程内存空间实现隐蔽执行的攻击技术。攻击者首先创建处于挂起状态的合法进程,清空其主模块内存区域后注入恶意代码,并修改入口点指向注入载荷。该技术通过复用系统可信进程的上下文环境,使恶意代码执行过程具备与原始进程相同的安全上下文和资源访问权限,有效规避进程行为基线检测。 | |
| .003 | APC用户模式调度注入 | APC用户模式调度注入(APC User-Mode Scheduling Injection)是一种利用异步过程调用机制实现线程劫持的高级注入技术。攻击者通过向目标线程的APC队列插入恶意函数指针,当线程进入可告警状态时自动执行注入代码。该技术无需创建远程线程或修改进程入口点,直接利用系统调度机制实现代码执行,显著降低行为异常性。 | |
| .004 | 模块拼接注入 | 模块拼接注入(Module Stitching Injection)是一种通过动态组合多个合法模块功能实现代码执行的规避技术。攻击者将恶意功能拆解为多个符合系统规范的DLL模块,利用进程内现有模块的加载上下文动态组装功能链。各模块仅包含部分恶意功能且具备合法数字签名,通过进程内IPC机制协调执行流程,避免整体恶意特征集中暴露。 | |
| T1611 | 逃逸至主机 | 容器逃逸至主机是指攻击者突破容器隔离环境获取宿主机控制权的技术,通常利用配置缺陷、内核漏洞或管理接口滥用等途径实现。传统防御手段侧重于监控特权容器创建、异常系统调用(如mount、unshare)以及可疑的容器镜像部署行为,通过审计日志分析和行为基线对比识别异常操作。缓解措施包括实施最小权限原则、强化容器运行时安全策略、监控集群级配置变更等。 | |
| T1053 | 预定任务/作业 | 预定任务/作业(T1053)指攻击者滥用操作系统或应用程序的任务调度功能实现恶意代码执行的技术,通常用于持久化、权限提升或绕过安全监控。攻击者通过创建计划任务触发恶意负载,可能利用系统工具(如Windows schtasks、Linux cron)或API实现远程任务部署。传统防御手段主要通过监控任务创建事件、分析任务配置异常(如未知作者、非常规定时器)以及检测可疑子进程链来识别恶意行为。 | |
| .001 | 系统进程任务注入 | 系统进程任务注入(System Process Task Injection)是一种通过将恶意任务嵌入操作系统核心进程的合法任务序列实现隐蔽执行的攻击技术。攻击者通过分析目标系统内置的预定任务执行链,选择具有数字签名验证豁免权限的系统进程(如svchost.exe、taskeng.exe),利用进程内存空间注入或注册表劫持等手段,将恶意载荷的执行逻辑插入到系统预设任务的触发流程中。该技术的关键在于保持任务调度器数据库的完整性,通过复用系统进程的信任链规避基于任务源的可信性检查。 | |
| .002 | 动态定时任务调度 | 动态定时任务调度(Dynamic Task Scheduling)是一种基于环境感知的自适应任务触发技术。攻击者通过持续监测目标系统的资源负载、用户活跃状态、安全软件运行周期等参数,动态调整恶意任务的执行时间窗口,使任务触发时机与系统正常运维节奏保持同步。该技术突破传统定时任务固定周期触发的特征限制,通过建立任务执行与系统上下文状态的强关联性,实现恶意行为与合法活动的时序混淆。 | |
| .003 | 任务链分段隐匿 | 任务链分段隐匿(Task Chain Fragmentation)是通过将完整攻击链拆解为多个合法任务节点实现行为隐蔽的技术。攻击者将恶意操作分解为具有功能独立性的任务单元,每个单元仅执行非敏感操作(如日志清理、配置文件更新),通过任务间的输入输出传递构建攻击链。各任务节点采用不同的触发条件与安全上下文,使单任务行为特征均符合系统运维规范,而恶意意图仅体现在任务链的整体编排中。 | |