高隐蔽网络公害中的防御规避战术是指攻击者通过动态伪装、信任滥用及痕迹消除等复合手段,实现攻击行为与合法操作的不可区分性,从而规避安全机制的检测与响应。
在防御规避阶段,匿迹战术的核心在于构建多层次的动态伪装体系。攻击者通过将恶意行为嵌入合法进程调用链,利用系统原生机制或合规协议完成指令传递,使操作行为符合基线特征。同时,攻击者主动破坏安全日志的完整性,通过内存驻留、无文件攻击等技术消除攻击痕迹,并借助可信证书签名、中间件劫持等手段实现恶意载荷的合法化伪装。此外,攻击载荷采用实时变形与分阶段解密机制,确保每个攻击环节的独立性和瞬时性,规避静态特征检测。
匿迹战术有效降低了攻击行为的可辨识度与可追溯性,使防御方难以通过单一维度的检测手段识别异常。攻击者通过混淆恶意行为与正常操作的边界,大幅延长攻击窗口期,并为后续攻击阶段建立持久化控制通道。动态变形的攻击特征使得传统基于模式匹配的防护设备失效,而信任机制的滥用则导致安全体系内生性防御能力被系统性削弱。这种多维度的隐蔽手段显著提升了攻击行为的生存概率与横向渗透效率。
匿迹战术对依赖静态规则库与特征提取的传统防御体系形成降维打击,其行为合法化特性导致误判率激增。防御方需构建基于行为熵值评估的动态检测模型,通过操作序列关联分析、异常熵增预警及内存行为沙箱等技术识别隐蔽攻击链。同时,应强化零信任架构下的微隔离控制,结合可信计算基与运行时完整性验证,阻断攻击者利用系统信任关系的隐匿通道。
| ID | Name | Description | |
| T1197 | BITS任务 | BITS任务是攻击者滥用Windows后台智能传输服务实现持久化攻击的技术,通过创建文件传输任务执行恶意代码下载、驻留及数据渗出。传统防御手段聚焦于监控BITSAdmin工具使用、分析BITS服务日志及审查网络流量特征,依赖任务元数据异常(如非常用命令行参数)、传输目标信誉评级或未加密协议使用等特征进行检测。 | |
| .001 | 合法服务伪装BITS任务 | 合法服务伪装BITS任务(Legitimate Service Masquerading BITS Jobs)是一种通过仿冒系统或可信应用程序后台任务实现隐蔽攻击的技术。攻击者通过配置BITS任务的显示名称、描述信息及调用参数,使其与操作系统更新、办公软件同步等合法任务高度相似,利用BITS服务自身白名单属性规避行为检测。该技术的关键在于深度模仿目标环境中常见后台任务的元数据特征,使安全人员在常规审计中难以察觉异常。 | |
| .002 | 加密载荷隐蔽传输 | 加密载荷隐蔽传输(Encrypted Payload Covert Transfer)是一种利用BITS服务支持的加密协议实现数据隐匿传输的技术。攻击者通过配置BITS任务使用HTTPS或SMB 3.0加密通道进行文件传输,将恶意载荷封装在加密流量中,使网络层检测设备无法解析传输内容。该技术充分利用BITS服务与合法云存储、内容分发网络的通信特性,使得加密恶意流量与正常业务流量在协议层面无法区分,显著提高攻击行为的隐蔽性。 | |
| .003 | 持久化低活跃任务链 | 持久化低活跃任务链(Persistent Low-Activity Job Chaining)是通过构建多层次、长周期的BITS任务序列实现隐蔽驻留的技术。攻击者创建具有动态依赖关系的多个BITS任务,通过设置任务完成触发条件与最小重试间隔,将恶意操作分解为离散的低频活动单元。单个任务生存周期可延长至系统允许的最大值(默认90天),并通过错误处理机制实现任务自动重建,形成具有自恢复能力的持久化攻击链。 | |
| T1647 | Plist文件修改 | Plist文件修改是攻击者通过篡改macOS属性列表文件来控制系统行为或实现持久化的技术手段。plist文件作为应用程序和系统服务的核心配置载体,存储了从界面设置到执行参数的关键信息。攻击者通过插入恶意键值对、修改执行路径或劫持环境变量等方式,可隐蔽控制应用行为模式。传统防御手段主要依赖文件完整性监控(如fseventsd日志分析)、数字签名校验以及基于规则的模式匹配(如YARA规则)来检测异常plist修改。 | |
| T1014 | Rootkit | Rootkit是一类通过篡改操作系统底层机制实现恶意组件隐匿的深度持久化技术,其通过劫持系统API调用、操控硬件抽象层等手段,对进程、文件、网络连接等系统对象进行动态过滤与信息伪造。攻击者可以利用Rootkit技术在受害操作系统中植入恶意代码,而不被常规的安全工具或监控系统察觉。由于Rootkit通过操控系统级别的调用来隐蔽自身,其自身的存在通常不容易被检测到,可以长期潜伏在目标系统内。因为Rootkit是在系统内核层或更低层(如固件、MBR)运行,因此它能够对系统监控工具的查询进行干扰,避免了常见的防御措施的检测,防御者难以通过常规手段(如文件系统扫描、进程监控)发现恶意活动,因此攻击者在使用该技术的过程中天然具有较高的隐蔽性。 | |
| T1220 | XSL脚本处理 | XSL脚本处理是攻击者利用可扩展样式表语言(XSL)的文件结构与脚本执行功能,绕过应用控制策略并执行恶意代码的技术。通过微软官方工具(如msxsl.exe)或Windows管理组件(如WMIC)解析嵌入了脚本的XSL文件,攻击者可在不触发传统白名单机制的情况下实现代码执行。防御方通常通过监控可疑工具调用(如异常参数或远程资源加载)、分析进程树完整性以及审查XSL文件内容来检测此类攻击。 | |
| .001 | XSL脚本混淆嵌入 | XSL脚本混淆嵌入(Obfuscated Script Embedding)是一种利用XSL文件结构特性隐藏恶意代码的技术。攻击者将经过加密、编码或分片处理的脚本嵌入XSL样式表,利用XML标准支持的脚本执行功能(如msxsl:script)实现代码动态解析。通过多层嵌套的XSLT模板和数学运算混淆关键函数调用,使静态分析工具难以提取有效载荷。该技术特别针对依赖静态特征检测的安全机制,通过合法XSL语法结构掩盖恶意行为痕迹。 | |
| .002 | 文件类型伪装执行 | 文件类型伪装执行(File Type Masquerade Execution)是通过篡改XSL文件扩展名及元数据,诱导系统将其识别为无害文件类型的技术。攻击者将恶意XSL文件重命名为.jpg、.docx等常见格式,利用Windows文件关联机制的漏洞触发解析。通过构造复合文件格式(如将XSL内容嵌入图片文件注释区),欺骗用户及安全软件将其归类为非可执行文件,从而规避基于文件扩展名的防护策略。 | |
| T1036 | 伪装 | Adversaries may attempt to manipulate features of their artifacts to make them appear legitimate or benign to users and/or security tools. Masquerading occurs when the name or location of an object, legitimate or malicious, is manipulated or abused for the sake of evading defenses and observation. This may include manipulating file metadata, tricking users into misidentifying the file type, and giving legitimate task or service names. | |
| .001 | 合法服务名仿冒 | 合法服务名仿冒(Legitimate Service Name Spoofing)是攻击者通过精确复制或近似模仿操作系统核心进程、可信应用服务名称的方式实现恶意程序隐匿的技术手段。该技术利用系统进程白名单机制和用户认知惯性,将恶意可执行文件命名为与系统关键服务(如svchost.exe、lsass.exe)高度相似的名称(如svch0st.exe、Isass.exe),或直接劫持合法服务加载路径,使恶意进程在进程列表、日志记录等环节呈现为可信实体,规避基于进程名称匹配的安全检测。 | |
| .002 | PE元数据镜像篡改 | PE元数据镜像篡改(PE Metadata Mirror Tampering)是一种针对可执行文件格式特征的深度伪装技术。攻击者通过修改可执行文件的PE(Portable Executable)结构头部信息,包括InternalName、OriginalFilename、ProductName等字段,使其与合法软件的元数据特征完全一致。该技术不仅改变文件在资源管理器中的显示属性,还能欺骗部分安全产品的文件信誉评估系统,使恶意文件在静态检测环节被误判为可信对象。 | |
| .003 | 文件扩展名混淆 | 文件扩展名混淆(File Extension Obfuscation)是通过操纵文件命名规则误导用户及安全系统对文件类型的认知,从而实现恶意载荷隐蔽投递的技术手段。攻击者利用操作系统对文件扩展名的解析机制缺陷,采用空格填充、特殊Unicode字符(如右至左覆盖符U+202E)、多重扩展名叠加等方式构造非常规文件名,例如将"malware.exe"伪装为"document.pdf.exe"或"invoice.txtgpj.exe",诱导用户误判文件类型并执行恶意代码。 | |
| .004 | 系统工具动态重命名 | 系统工具动态重命名(Dynamic Renaming of System Utilities)是攻击者通过实时修改系统自带管理工具(如PsExec、Regsvr32)的文件名,规避安全产品对已知恶意命令行工具检测的技术手段。该技术利用白名单机制对系统工具路径的信任,通过重命名使其在进程创建日志中呈现为未知可执行文件,同时保留原有功能用于横向移动或权限提升。 | |
| .005 | 虚假数字签名构造 | 虚假数字签名构造(Counterfeit Digital Signature Fabrication)是攻击者通过伪造或盗用合法证书为恶意文件添加可信数字签名的技术手段。该技术不仅包括直接窃取企业证书私钥进行签名,还涉及构造具有合法颁发机构链但实体信息虚假的证书(如注册空壳公司获取EV代码签名证书),使恶意文件在数字签名验证环节显示为"已验证发布者",从而绕过应用程序白名单和邮件附件过滤机制。 | |
| T1656 | 伪装 | 伪装是攻击者通过伪造身份或权限,冒充可信实体以实施欺骗行为的战术手段。其核心目标是通过构建虚假信任关系,诱导受害者执行敏感操作(如转账、凭证提供或权限授予)。传统防御手段主要依赖邮件安全协议(SPF/DKIM/DMARC)验证、域名相似度分析、社交平台身份认证机制等,通过技术验证与人工审核相结合的方式识别异常身份特征。 | |
| T1207 | 伪造域控制器 | 伪造域控制器是攻击者通过注册或重用非授权域控制器,操纵Active Directory数据的高级攻击技术。该技术利用Active Directory的多主机复制机制,通过模拟合法域控制器行为注入恶意数据变更,可绕过常规安全监控实现权限提升、凭证窃取等目的。防御措施包括监控异常复制流量(如非DC主机的DRS接口调用)、审计AD架构配置分区变更(如nTDSDSA对象创建)、分析Kerberos SPN异常绑定等,同时需建立AD对象变更基线以识别异常元数据操作。 | |
| T1550 | 使用备用认证材料 | 使用备用认证材料指攻击者利用密码哈希、Kerberos票据等非明文凭证进行身份验证,绕过常规访问控制实施横向移动。该技术通过复用合法认证流程,规避基于密码输入的检测机制,对身份管理系统构成严重威胁。防御措施需聚焦异常登录模式识别(如非常规时段访问、跨安全域令牌使用)、增强认证协议保护(限制票据转发、实施严格会话绑定)以及强化凭证存储安全(限制LSASS内存读取)。 | |
| .001 | 黄金票据伪造 | 黄金票据伪造(Golden Ticket Fabrication)是针对Kerberos认证协议设计的高级持久化技术。攻击者通过窃取域控制器密钥分发服务账户(KRBTGT)的NTLM哈希,伪造具备任意权限的Kerberos票据(TGT),突破Kerberos协议的时间戳与域控验证机制。伪造的黄金票据可绕过域内所有资源的访问控制策略,且不受常规票据生命周期限制,实现跨网络分区的隐蔽横向移动。该技术的核心在于突破Kerberos协议的信任链,利用协议设计缺陷构造无法被常规手段检测的合法票据。 | |
| .002 | Web会话凭证动态寄生 | Web会话凭证动态寄生(Web Session Credential Dynamic Parasitism)是一种针对现代Web应用的认证劫持技术。攻击者通过窃取浏览器存储的会话Cookie、OAuth令牌或JWT,将其注入到受控节点的网络流量中,模拟合法用户的持续会话状态。该技术通过复用已授权会话的加密特征,绕过多因素认证机制,实现应用层权限的隐蔽维持与提升。 | |
| .003 | 设备指纹自适应令牌生成 | 设备指纹自适应令牌生成(Device Fingerprint Adaptive Token Generation)是针对现代设备绑定认证机制的绕过技术。攻击者通过逆向分析目标系统的设备指纹生成算法(如硬件哈希、TPM度量值),构造可动态适配的虚拟设备配置文件,生成与合法设备特征匹配的认证令牌。该技术可绕过基于设备可信度的增强认证机制,实现高危操作的隐蔽授权。 | |
| T1578 | 修改云计算基础设施 | 修改云计算基础设施指攻击者通过创建、删除或篡改云环境中的计算资源(如虚拟机实例、存储快照、容器集群)来规避安全检测并维持持久访问。传统防御手段依赖集中式日志审计、异常操作序列检测以及资源变更审批流程,通过监控短时间内大量资源操作或非常规用户行为来识别潜在攻击。云服务商通常建议采用变更标签标记、多因素认证强化和最小权限原则来降低风险。 | |
| .001 | 临时资源池动态重构 | 临时资源池动态重构(Ephemeral Resource Pool Dynamic Reconstruction)是攻击者利用云计算弹性特性实施的隐蔽基础设施操控技术。该技术通过创建短期存活的云资源(如临时虚拟机实例、容器集群),在执行恶意操作后立即销毁相关资源,规避传统日志审计系统的追踪。攻击者通过自动化脚本动态构建资源池,将攻击载荷拆解为多个离散任务分发至不同实例执行,并利用云平台自动伸缩机制维持资源池规模,使得恶意操作痕迹分散在大量临时实例的生命周期中,实现攻击行为的碎片化隐匿。 | |
| .002 | 快照链式隐匿操作 | 快照链式隐匿操作(Snapshot Chain Obfuscation Manipulation)是一种针对云存储系统的隐蔽数据篡改技术。攻击者通过创建多层嵌套的磁盘快照,在中间层快照中注入恶意配置或数据,最终生成表面合法的终端快照版本。该技术利用云平台快照版本管理机制,通过多次增量修改制造复杂的依赖链,将关键攻击痕迹隐藏在历史快照版本中,同时保持最新快照的合规性外观,以此规避基于最新快照完整性校验的防御机制。 | |
| .003 | 云服务API合法调用伪装 | 云服务API合法调用伪装(Legitimate Cloud API Call Camouflage)是通过模拟正常管理行为实施隐蔽基础设施修改的高级攻击技术。攻击者深入研究目标云平台的API调用模式,将恶意操作指令嵌入符合API速率限制、参数格式和认证凭证的合法请求流中。该技术特别注重维持API调用的上下文一致性,例如在修改安全组规则前先执行合规的资源查询操作,使得恶意请求在时序和逻辑上与正常运维行为无缝衔接,规避基于异常API调用序列的检测模型。 | |
| .004 | 跨区域基础设施镜像漂移 | 跨区域基础设施镜像漂移(Cross-Region Infrastructure Image Migration)是利用云平台多区域特性实施的隐蔽攻击持久化技术。攻击者将篡改后的恶意系统镜像在多个地理区域间进行复制和版本迭代,通过区域间的配置差异制造防御盲区。该技术通过动态切换攻击载荷的执行区域,利用不同区域的安全策略差异(如日志保留周期、监控规则)和网络延迟特性,使得完整攻击链的取证分析需要跨多个司法管辖区的日志数据,显著提高防御方的溯源难度。 | |
| T1666 | 修改云资源层次结构 | 修改云资源层次结构是攻击者为规避云环境安全控制而实施的权限维持技术,通过调整资源组织关系(如账户、订阅、管理组)解除安全策略约束或转移资源控制权。防御方通常采用服务控制策略(SCP)实施权限最小化、监控管理API调用日志、以及配置变更审计等手段进行防护。多因素认证和资源层次结构冻结机制也被用于防止未授权修改。 | |
| .001 | 影子组织账户创建 | 影子组织账户创建(Shadow Organization Account Creation)是攻击者在云基础设施中构建隐蔽控制节点的关键手段。该技术利用云服务商的组织管理接口(如AWS Organizations或Azure Management Groups),通过合法API调用创建新的子账户或订阅,并继承主账户的支付凭证与权限体系。攻击者通过精细控制新账户的资源配额与活动频率,使其在云服务商的计费审计与安全监控中呈现正常业务账户特征,从而规避基于异常账户创建的检测机制。 | |
| .002 | 订阅劫持转移 | 订阅劫持转移(Subscription Hijacking Transfer)是一种通过篡改云服务订阅归属实现资源隐蔽控制的攻击技术。攻击者利用云平台订阅管理漏洞或特权凭证,将目标企业的付费订阅(如Azure Pay-As-You-Go订阅)迁移至攻击者控制的租户环境。该技术通过改变订阅的计费主体与管理边界,使得后续资源操作完全脱离原租户的日志审计体系,同时保持订阅资源的正常运作状态,形成"资源在位、控制权转移"的隐蔽接管模式。 | |
| .003 | 策略隔离逃逸 | 策略隔离逃逸(Policy Isolation Escape)是针对云资源层次结构安全策略的规避技术。攻击者通过修改资源组织单元(如AWS Organizational Units或Azure Management Groups)的隶属关系,使目标资源脱离原有策略管控范围。典型手法包括将受监控的云账户移出安全策略实施组,或创建新的策略豁免节点,从而在维持资源可用性的同时解除安全控制措施(如服务控制策略或合规性检查)。 | |
| T1112 | 修改注册表 | 修改注册表是攻击者通过增删改Windows注册表项实现系统配置篡改、持久化驻留或行为控制的常见技术。作为Windows系统的核心数据库,注册表存储着系统配置、用户设置及应用程序参数等关键信息。传统防御手段主要通过注册表审计日志分析、关键路径监控(如Run键、服务项)以及时间线异常检测等方式识别恶意修改行为。微软建议启用注册表审核策略(事件ID 4657)并监控可疑服务创建行为,但攻击者通过多种隐匿技术可有效规避常规检测。 | |
| T1601 | 修改系统镜像 | 修改系统镜像指攻击者通过篡改嵌入式设备的操作系统镜像文件,持久化植入恶意功能或削弱设备安全机制的入侵行为。传统防御主要依赖固件完整性校验、数字签名验证、运行时内存保护等技术,通过比对官方镜像哈希值、验证更新包签名、监控内存异常修改等手段进行防护。典型缓解措施包括建立可信固件库、实施双因子更新认证、部署内存完整性验证系统等。 | |
| .001 | 固件级隐蔽植入 | 固件级隐蔽植入(Firmware-Level Stealth Implantation)是针对嵌入式设备操作系统进行深度持久化控制的攻击技术。攻击者通过逆向工程解析目标设备的固件结构,将恶意代码植入固件镜像的未校验区域或利用固件漏洞扩展功能模块,使得篡改后的系统镜像在启动加载时仍能通过常规完整性校验。该技术通常利用设备制造商未公开的固件扩展接口,或通过覆盖冗余数据区实现隐蔽存储,确保恶意载荷在设备重启后仍能保持激活状态。 | |
| .002 | 内存驻留镜像篡改 | 内存驻留镜像篡改(Memory-Resident Image Tampering)是一种仅在设备运行内存中实施操作系统篡改的瞬时攻击技术。攻击者利用设备运行时内存管理机制的缺陷,通过直接修改内存中的系统镜像副本实现即时控制,避免对存储介质的持久化修改。该技术通过保持存储介质原始镜像的完整性,规避了基于固件校验的静态检测机制,同时在设备重启后自动消除攻击痕迹。 | |
| .003 | 合法更新流程劫持 | 合法更新流程劫持(Legitimate Update Process Hijacking)是通过仿冒或篡改设备制造商官方更新机制实施的系统镜像篡改技术。攻击者构建恶意更新服务器或劫持官方更新通道,将篡改后的系统镜像伪装成合法升级包推送给目标设备。该技术利用设备固有的信任链机制,使恶意镜像通过数字签名验证,实现在设备所有者无感知情况下完成系统镜像替换。 | |
| .004 | 动态校验和绕过 | 动态校验和绕过(Dynamic Checksum Bypass)是针对嵌入式设备镜像校验机制设计的实时规避技术。攻击者在修改系统镜像后,通过植入内存中的校验和修正模块,在设备执行完整性检查时动态生成合法的校验值。该技术确保被篡改镜像在静态存储和动态校验两个维度均呈现合法特征,形成完美的镜像隐蔽效果。 | |
| T1556 | 修改身份验证过程 | 修改身份验证过程是攻击者通过篡改系统认证组件或流程,实现非法访问权限获取或凭证窃取的技术。该技术通常针对操作系统的核心安全组件(如Windows LSASS、Linux PAM框架)进行代码注入或配置篡改,以绕过双因素认证、窃取明文密码或生成伪造令牌。防御措施包括监控认证相关进程的内存操作、审计系统插件完整性,以及检测异常身份验证日志模式。 | |
| .001 | 认证函数Hook注入 | 认证函数Hook注入(Authentication Function Hooking)是通过篡改操作系统核心认证组件的函数调用链实现身份验证绕过的技术。攻击者通过注入恶意代码劫持LSASS、PAM模块或SecurityAgentPlugins中的关键函数(如NtCreateToken、pam_authenticate),在认证流程中植入逻辑后门。该技术可绕过双因素认证机制,直接伪造令牌或修改认证结果判定,使非法会话获得合法凭证特征。其隐蔽性体现在恶意代码驻留在系统进程内存中,不产生持久化文件或注册表痕迹。 | |
| .002 | 动态密码过滤器劫持 | 动态密码过滤器劫持(Dynamic Password Filter Hijacking)是针对Windows身份验证架构设计的隐蔽持久化技术。攻击者通过注册恶意DLL为LSA通知包组件,在密码修改或验证过程中截获明文凭证。该技术利用系统设计缺陷,将密码过滤器伪装成合法身份验证组件,在密码策略强制执行阶段实施中间人攻击,同时通过动态加载机制规避静态防御检测。 | |
| .003 | 内存凭证捕获绕过 | 内存凭证捕获绕过(In-Memory Credential Capture Bypass)是通过篡改系统内存中凭证存储结构实现认证欺骗的技术。攻击者直接修改LSASS进程内存中的票据授予票据(TGT)或服务票据(ST),或操纵Kerberos协议协商过程,生成具有合法特征但未经正常认证流程的访问凭据。该技术可绕过基于日志审计的检测机制,在无需持久化后门的情况下实现特权维持。 | |
| .004 | 跨平台认证插件伪装 | 跨平台认证插件伪装(Cross-Platform Authentication Plugin Spoofing)是针对异构网络环境设计的认证机制污染技术。攻击者通过仿冒Linux PAM模块、macOS SecurityAgentPlugins或第三方身份提供程序(IdP)组件,在跨域认证流程中植入恶意逻辑。该技术利用系统对认证插件的信任链,将后门代码嵌入标准化认证接口,实现多平台统一的隐蔽访问控制绕过。 | |
| T1600 | 削弱加密 | 削弱加密是指攻击者通过技术手段降低目标系统加密强度或绕过加密保护机制,为后续数据窃取或篡改创造条件的网络攻击技术。许多设备依赖硬件加速来进行加密和解密操作,这些硬件加速器能够显著提高加密操作的效率和安全性。攻击者可以通过禁用加密硬件,使得加密过程退化为软件加密,降低加密的强度和安全性,或者完全关闭加密功能,从而使数据的传输不再得到保护。此外,加密算法的强度通常与密钥的长度和复杂性相关,攻击者可以通过减少密钥空间,限制密钥的长度或选择更容易破解的算法,使得数据的加密变得更加脆弱,提升了攻击者进行破解或窃听的可能性。 | |
| T1574 | 劫持执行流 | 劫持执行流是攻击者通过操纵操作系统程序执行机制,将恶意代码植入合法进程执行路径的攻击技术,常用于绕过应用白名单、实现持久化或权限提升。传统防御手段主要监控文件系统变更、DLL加载异常和服务配置修改,通过哈希校验、进程行为分析和注册表审计等手段检测异常。 | |
| .001 | 白文件动态内存注入 | 白文件动态内存注入(Legitimate File Dynamic Memory Injection)是一种通过合法进程内存空间执行恶意代码的高级劫持技术。攻击者选择具有数字签名或高信誉的应用程序作为宿主进程,利用进程漏洞或内存操作API将恶意负载注入其运行时的内存空间,通过劫持线程上下文或函数指针重定向执行流。该技术不修改磁盘文件完整性,完全在内存中完成代码植入,规避了传统文件完整性校验机制,同时利用宿主进程的合法身份隐藏恶意行为。 | |
| .002 | 多级可信服务链劫持 | 多级可信服务链劫持(Multi-Stage Trusted Service Chain Hijacking)是通过篡改服务依赖关系实现执行流重定向的隐蔽攻击技术。攻击者针对Windows服务控制管理器(SCM)的链式加载机制,在合法系统服务(如Windows Update、安全中心服务)的依赖项中插入恶意服务模块,构建多级可信执行链路。通过修改服务注册表键值中的DependOnService或DependOnGroup字段,使恶意服务获得系统信任链的继承权限,并在父服务启动时被自动加载执行。 | |
| .003 | 运行时环境变量污染 | 运行时环境变量污染(Runtime Environment Variable Poisoning)是通过篡改进程执行环境实现路径劫持的技术变种。攻击者针对动态链接库(DLL)搜索顺序、可执行文件路径解析等环境变量(如PATH、PATHEXT),植入恶意路径条目或修改路径解析优先级,诱使目标进程加载攻击者控制的恶意库文件或可执行程序。该技术特别适用于容器化环境或持续集成系统,通过污染构建环境变量实现供应链攻击。 | |
| T1620 | 反射性代码加载 | 反射性代码加载是攻击者将恶意代码直接写入进程内存并执行的技术,规避了传统基于磁盘文件检测的防御机制。该技术通过内存操作API(如VirtualAlloc、WriteProcessMemory)实现无文件化攻击,利用合法进程的上下文环境掩盖恶意行为。防御措施主要包括监控异常内存分配行为、检测未签名模块加载事件,以及分析进程行为是否偏离正常模式(如记事本程序发起网络连接)。 | |
| .001 | 内存驻留加密载荷加载 | 内存驻留加密载荷加载(In-Memory Encrypted Payload Loading)是一种通过内存操作实现无文件化攻击的隐蔽代码加载技术。攻击者将加密后的恶意代码直接注入目标进程内存空间,仅在运行时进行动态解密和执行,规避传统基于磁盘文件扫描的检测机制。该技术利用进程内存的易失性特征,结合密码学手段对代码进行多层加密,使静态分析工具无法提取有效载荷特征,同时通过内存操作API(如VirtualAlloc、WriteProcessMemory)实现代码的隐蔽部署。 | |
| .002 | 动态API解析规避 | 动态API解析规避(Dynamic API Resolution Evasion)是一种通过运行时动态获取系统函数地址来隐藏恶意行为的代码加载技术。该技术避免在代码中硬编码API函数名称或地址,转而通过哈希值比对、内存遍历导出表等方式动态解析所需函数,从而消除导入地址表(IAT)中的可疑条目,破坏静态分析工具对恶意行为的识别能力。其核心在于将API调用特征从代码层转移到运行时行为层,增加动态分析的难度。 | |
| .003 | 进程空洞注入 | 进程空洞注入(Process Hollowing Injection)是一种通过替换合法进程内存内容实现隐蔽代码执行的技术。攻击者首先创建处于挂起状态的合法进程(如svchost.exe),清空其主模块内存空间后注入恶意代码,修改入口点指向载荷执行地址,最终恢复进程运行。该技术通过合法进程的数字签名和正常行为特征掩盖恶意活动,使得进程列表中的表象与正常应用无异。 | |
| .004 | 反射型DLL劫持 | 反射型DLL劫持(Reflective DLL Hijacking)是一种不依赖系统加载器而自主实现DLL映射与执行的技术。攻击者将自定义DLL直接写入目标进程内存,通过反射加载器模拟系统加载流程(解析重定位表、修复导入地址表、执行DllMain),规避对磁盘DLL文件的依赖。该技术特别擅长利用合法应用程序的DLL搜索顺序缺陷,将恶意代码注入到白名单进程的内存空间。 | |
| T1140 | 反混淆/解码文件或信息 | 反混淆/解码文件或信息(T1140)是攻击者对加密或混淆数据进行还原处理的关键技术环节,旨在绕过安全检测机制执行恶意载荷。传统防御手段主要依赖静态特征检测、可疑进程监控和命令行参数分析,例如检测certutil异常使用、监控非常规文件格式解码等。缓解措施包括应用程序白名单、命令行审计以及内存保护技术的部署。 | |
| T1127 | 可信开发者工具代理执行 | 可信开发者工具代理执行是指攻击者滥用软件开发、调试和逆向工程相关的合法工具(如MSBuild、WinDbg、DNX等)作为代码执行载体,通过其内置的脚本引擎或扩展接口间接运行恶意负载的技术。此类工具通常具有合法数字签名且被系统默认信任,使得攻击载荷能够绕过应用白名单机制。防御方可通过监控非常用开发工具的运行环境、分析工具调用参数异常性、建立开发者行为基线等手段进行检测,重点关注非开发终端上的工具使用情况及工具链配置文件的完整性保护。 | |
| .001 | 代码混淆代理执行 | 代码混淆代理执行(Obfuscated Proxy Execution)是一种利用开发工具内置脚本引擎执行加密负载的隐蔽攻击技术。攻击者通过将恶意代码封装为开发工具(如MSBuild、InstallUtil)支持的合法脚本格式(XML或C#),借助工具自带的编译/解释功能动态解密并执行恶意指令。该技术利用开发工具对复杂脚本的天然支持特性,将攻击载荷分解为多层级加密数据块,仅在内存中完成解密与重组,避免在磁盘或网络传输中暴露完整恶意代码。 | |
| .002 | 签名工具链劫持 | 签名工具链劫持(Signed Toolchain Hijacking)是通过篡改软件开发工具链配置实现持久化代码注入的隐蔽攻击技术。攻击者针对编译器(如GCC)、构建系统(如CMake)或调试器(如WinDbg)的插件扩展机制,将恶意模块植入工具链的预处理、编译或链接阶段,使生成的二进制文件在构建过程中自动携带攻击代码。该技术利用开发工具链的合法数字签名和自动化构建特性,使恶意代码的植入过程被包裹在正常的软件开发流程中,形成"供应链污染即服务"的攻击范式。 | |
| .003 | 动态内存驻留执行 | 动态内存驻留执行(Dynamic In-Memory Residency Execution)是滥用调试器和逆向工程工具实现无文件攻击的高级技术。攻击者利用WinDbg、OllyDbg等调试工具的动态代码注入功能,通过调试接口(如DbgEng)将加密的恶意模块直接加载至目标进程内存空间,并借助工具的反汇编引擎自动修复重定位信息,实现进程内存的隐蔽驻留。该技术完全规避传统文件落地检测,利用调试工具对内存操作的合法授权,使恶意行为获得系统级信任。 | |
| T1612 | 在主机上构建镜像 | 在主机上构建镜像是指攻击者通过直接调用容器引擎API在目标主机上创建定制化镜像,规避从外部仓库拉取恶意镜像的检测风险。攻击者通常在构建过程中注入恶意组件,利用基础镜像的合法性掩护攻击行为。防御措施包括监控异常镜像构建请求、检测构建指令中的可疑命令,以及分析容器运行时的非常规网络连接。 | |
| .001 | 动态分层构建镜像 | 动态分层构建镜像(Dynamic Layered Image Building)是一种通过分阶段构建容器镜像实现恶意载荷隐蔽植入的技术。攻击者将恶意操作分解为多个合法构建步骤,在基础镜像的常规软件安装层之间插入恶意组件,利用Dockerfile的层缓存机制逐步完成攻击载荷部署。该技术通过将恶意行为分散到多个构建阶段,使单次镜像构建请求不触发完整性校验告警,同时利用容器构建过程的合法性掩盖攻击意图。 | |
| .002 | 合法基础镜像劫持 | 合法基础镜像劫持(Legitimate Base Image Hijacking)是指攻击者利用受信的基础镜像作为载体,在构建过程中注入恶意代码的技术。该技术通过选择公共仓库中高信誉的官方镜像(如nginx、redis)作为基础层,利用容器构建过程的层叠加特性,在后续构建步骤中植入后门程序或修改关键配置文件,使得最终生成的镜像既包含原始合法功能又具备隐蔽攻击能力。 | |
| .003 | 构建过程指令混淆 | 构建过程指令混淆(Build Instruction Obfuscation)是通过对Dockerfile中的恶意指令进行编码转换、环境变量嵌套等操作,逃避安全审查的技术。攻击者利用shell命令的多态性特征,将敏感操作(如下载恶意软件、提权配置)转换为复杂的表达式或拆分为多个无害指令,使得静态分析难以识别攻击意图。 | |
| .004 | 本地镜像缓存复用 | 本地镜像缓存复用(Local Image Cache Reutilization)是攻击者利用主机已有的镜像层缓存,减少构建过程中的外部依赖下载,从而降低异常网络流量暴露风险的技术。通过复用本地存储的中间镜像层,攻击者可以最小化与外部仓库的交互,避免触发网络监控系统的异常下载告警。 | |
| T1484 | 域或租户策略修改 | 域或租户策略修改是指攻击者通过篡改集中化身份管理体系的核心配置,实现权限提升、持久化控制或防御规避的攻击技术。典型手段包括修改组策略对象、调整域信任关系、变更身份联合设置等,可能影响域内所有实体(用户、设备、服务)。防御措施侧重于监控关键策略变更事件(如Windows事件ID 5136、5141)、审计特权账户操作日志、实施配置变更审批流程,以及检测非常规管理工具的使用。 | |
| .001 | 临时策略回滚 | 临时策略回滚(Ephemeral Policy Rollback)是一种通过即时恢复策略配置实现操作隐蔽的技术。攻击者在获得域控或云租户管理权限后,对目标策略(如组策略对象、域信任关系或身份联合配置)进行短暂修改并立即还原原始状态,使得策略异常仅存在于极短时间窗口。该技术通过时间维度压缩攻击痕迹的存在周期,利用系统审计日志的聚合延迟特性规避实时监控,在维持攻击效果的同时最小化策略变更的可观测性。 | |
| .002 | 合法管理接口滥用 | 合法管理接口滥用(Legitimate Management Interface Abuse)指攻击者通过劫持合规管理工具或标准API接口实施策略篡改的技术。该技术利用系统内置的管理组件(如Azure AD PowerShell模块、Microsoft Graph API)执行恶意策略变更,将攻击行为伪装成正常管理操作。通过严格遵循目标平台的接口调用规范和权限验证流程,攻击者生成的恶意请求在协议层、身份验证层均符合平台安全策略,有效规避基于异常工具检测或非常规API调用的防御机制。 | |
| .003 | 隐蔽式凭证注入策略变更 | 隐蔽式凭证注入策略变更(Covert Credential Injection in Policy Modification)是通过篡改身份验证策略参数实现持久化访问的技术。攻击者修改域或租户的身份联合配置(如SAML令牌签名证书、OAuth客户端密钥),将攻击者控制的凭证信息嵌入系统核心认证流程。该技术通过策略层级的凭证注入,使得攻击者能够生成被目标系统信任的合法身份令牌,同时保持策略配置表面完整性,规避基于配置审计的检测手段。 | |
| T1562 | 妨碍防御 | 妨碍防御指攻击者通过技术手段破坏或削弱目标环境中的安全防护机制,包括禁用预防性防御(如杀毒软件、防火墙)、破坏检测能力(如日志系统、审计功能)以及干扰防御运维流程(如阻断系统更新)。传统检测方法主要通过监控安全服务状态变更、分析日志完整性以及检测防御规则异常来实现,例如追踪安全进程的异常终止、监控关键注册表项修改等。 | |
| .001 | 安全服务动态卸载 | 安全服务动态卸载(Dynamic Security Service Unloading)是一种针对运行时防御机制的隐蔽对抗技术。攻击者通过内存操作或系统API调用,在保持安全服务进程存续表象的前提下,动态卸载其核心防御模块的功能组件。该技术利用安全软件热加载机制的特性,通过移除关键驱动模块或禁用行为监控钩子,使防御系统丧失实时检测能力,同时避免触发服务异常告警。例如通过修改Windows Defender的MPSSVC服务配置,动态卸载反恶意软件扫描接口(AMSI)的检测功能。 | |
| .002 | 日志策略篡改 | 日志策略篡改(Log Policy Manipulation)是通过修改系统审计策略和日志存储机制实现防御削弱的定向攻击技术。攻击者不仅清除现有日志记录,更通过篡改日志收集策略(如Windows事件转发配置、Linux rsyslog规则)、调整日志存储阈值或重定向日志传输路径,系统性破坏安全信息与事件管理(SIEM)系统的数据完整性。典型应用包括修改Windows注册表HKLM\SOFTWARE\Policies\Microsoft\Windows\EventLog项下的保留策略,将安全日志最大尺寸设置为最小值并启用覆盖模式。 | |
| .003 | 防御规则污染 | 防御规则污染(Defense Rule Contamination)是通过注入误导性规则削弱检测能力的深度对抗技术。攻击者利用防御系统的规则更新机制,植入包含逻辑漏洞或排除列表的恶意规则集,诱导防御系统主动忽略特定攻击特征。例如在YARA规则库中插入过度泛化的匹配模式,或在EDR策略中添加攻击进程的白名单哈希值,使得恶意活动被系统误判为合法行为。 | |
| .004 | 可信进程注入 | 可信进程注入(Trusted Process Injection)是通过寄生可信进程实施防御削弱的隐蔽攻击技术。攻击者将恶意代码注入具有防御豁免权限的系统进程(如Windows的lsass.exe、Linux的systemd),利用宿主进程的合法身份绕过安全软件的检测机制,进而操控防御组件的运行状态。典型应用包括注入杀毒软件更新进程来禁用特征库更新,或通过可信服务进程卸载防火墙驱动模块。 | |
| T1480 | 执行保护 | 执行保护是攻击者为确保恶意代码仅在特定目标环境中激活而采取的条件约束机制,通过验证预设环境特征(如域控关系、硬件配置、网络拓扑等)来规避非目标系统的意外执行。传统防御手段主要依赖检测异常的环境探测行为或识别固定的条件判断逻辑,通过监控进程创建、注册表查询等系统调用模式来发现可疑活动。缓解措施包括加强系统环境监控、实施严格的最小权限原则,以及部署行为分析系统检测非常规的条件验证操作。 | |
| .001 | 动态环境指纹验证 | 动态环境指纹验证(Dynamic Environment Fingerprint Verification)是一种基于目标系统实时状态进行执行条件判定的高级防护机制。该技术通过动态获取目标环境的多维度特征(包括硬件配置、网络拓扑、进程树关系等),构建动态指纹校验模型,确保恶意代码仅在特定环境组合下激活。与传统静态环境检测不同,其采用动态特征提取算法,每次执行时实时采集最新环境参数,通过哈希混淆、模糊匹配等方式实现条件校验,避免防御方通过逆向工程提取固定检测规则。 | |
| .002 | 运行时条件注入 | 运行时条件注入(Runtime Condition Injection)是通过在恶意代码执行过程中动态加载环境校验模块,实现执行保护机制隐蔽化的技术手段。该技术将核心环境检测逻辑与载荷执行模块解耦,仅在运行时通过内存加载或远程服务交互获取当前环境校验规则,确保静态分析无法获取完整执行条件。攻击者采用分阶段加载策略,初始植入程序仅包含基础通信模块,待确认目标环境符合预设条件后,再动态获取完整攻击载荷,有效降低非目标系统中的暴露风险。 | |
| .003 | 多层级联环境鉴权 | 多层级联环境鉴权(Multi-level Cascaded Environment Authentication)是通过建立多层递进式验证体系实现高隐蔽性执行保护的技术方案。该技术设计三级环境验证机制,分别针对硬件层、系统层和应用层特征进行递进式校验,每层验证通过后才会加载下一阶段的检测模块。各层级验证逻辑采用独立加密算法和通信信道,且验证失败的层级会自动触发环境清理程序,消除已执行的操作痕迹,形成完整的反取证保护链。 | |
| .004 | 用户代理过滤与自适应载荷分发 | 用户代理过滤与自适应载荷分发(User-Agent Filtering and Adaptive Payload Distribution)是通过精细化识别目标环境特征实现精准攻击的匿迹技术。该技术深度分析请求端的用户代理信息,结合设备指纹、浏览器特征和网络环境等多维度数据,构建自适应载荷分发策略。对于不符合预定特征的用户代理,攻击链自动终止或返回无害内容,有效缩小攻击暴露面,同时确保攻击载荷与目标环境的完美适配。 | |
| T1222 | 文件和目录权限修改 | 文件和目录权限修改指攻击者通过变更文件系统对象的访问控制设置,绕过安全策略获取未授权访问权限。该技术常被用于持久化驻留、防御规避或数据篡改等攻击阶段,涉及ACL修改、属主变更、继承属性调整等操作。防御方通常通过审计权限变更日志(如Windows事件ID 4670)、监控系统工具(如icacls、chmod)的使用行为,以及实施文件完整性监控(FIM)等手段进行检测。 | |
| .001 | 隐蔽继承权限注入 | 隐蔽继承权限注入(Covert Inheritance Permission Injection)是一种通过操纵文件系统权限继承机制实现隐蔽权限篡改的技术。攻击者通过修改父目录的访问控制列表(ACL)继承属性,使子对象自动继承恶意权限配置,同时避免直接修改目标文件或目录的显式权限设置。该技术利用文件系统权限继承的合法特性,将恶意权限变更行为分散到目录结构层级中,有效规避基于单文件权限变更检测的防御机制。 | |
| .002 | 时间戳同步权限篡改 | 时间戳同步权限篡改(Timestamp-Synchronized Permission Tampering)是一种将权限修改操作与系统合法活动时间特征相融合的高级隐匿技术。攻击者通过监控目标系统的计划任务、维护窗口或用户活跃周期,在系统正常执行权限变更操作的时间段内(如批量部署软件更新时),同步实施恶意权限调整。该技术的关键在于精确匹配目标环境的时间行为模式,使恶意权限变更事件混杂在大量合法操作中,降低安全日志的异常特征显著性。 | |
| .003 | 最小权限提升路径构造 | 最小权限提升路径构造(Minimal Privilege Escalation Path Fabrication)是一种通过构建多层级权限跃迁链实现隐蔽提权的技术。攻击者不直接修改目标文件的高权限设置,而是通过精心设计的多步骤权限微调,形成从低权限账户到目标资源的合法访问路径。该技术利用访问控制模型中的权限组合特性,通过多个低风险权限变更操作的叠加效应,最终达成完全控制目标资源的目的,同时每个独立操作均符合最小权限原则的合规特征。 | |
| T1078 | 有效账户 | 有效账户滥用是指攻击者通过窃取或冒用合法用户凭证,在目标系统中实施未授权操作的技术手段。该技术之所以具有高威胁性,源于其利用系统既有的身份验证机制,使得恶意活动在表面层符合安全策略要求。传统检测方法主要依赖异常登录分析(非常规时间/地点登录)、权限变更监控以及账户活动审计,防御措施包括多因素认证强化、账户生命周期管理和权限最小化原则实施。 | |
| .001 | 非活跃账户劫持 | 非活跃账户劫持(Dormant Account Hijacking)是攻击者通过控制长期未使用的合法账户实施隐蔽攻击的技术。该技术聚焦于组织内部处于休眠状态的用户账户(如离职员工账户、临时测试账户),利用其保留的系统权限但缺乏日常审计的特性,实施低可见度的横向移动与权限维持。攻击者通过密码喷洒、默认凭证利用或权限继承漏洞获取账户控制权后,刻意维持账户的低频活动特征,使其登录行为与历史活动模式保持统计学一致性,从而规避基于异常登录检测的安全机制。 | |
| .002 | 权限梯度提升 | 权限梯度提升(Privilege Gradient Escalation)是一种通过模拟正常权限升级路径实现隐蔽提权的技术。攻击者在获取初始账户权限后,不直接进行垂直权限提升,而是按照目标组织的权限管理制度,分阶段申请或触发权限升级流程。例如,通过伪造工单系统请求逐步获取更高级别权限,或利用业务系统的自动化审批漏洞实现权限迭代升级。该技术的关键在于将提权过程拆解为多个符合组织内部管理规范的微操作,使得单个步骤均处于正常权限变更的容忍阈值内。 | |
| T1535 | 未使用/不受支持的云区域 | 未使用/不受支持的云区域指攻击者利用目标组织未激活或云服务商安全能力不完善的区域部署恶意资源,规避安全监控的技术。传统防御手段主要通过监控所有云区域活动、设置区域资源阈值告警等方式进行应对,依赖云平台提供的统一监控接口和日志审计功能识别异常区域活动。然而,由于多云架构复杂性和跨境合规限制,实际监控覆盖率往往存在显著缺口。 | |
| .001 | 低监测密度区域资源部署 | 低监测密度区域资源隐匿部署(Low-Monitoring-Density Region Stealth Deployment)是攻击者利用云服务商地理区域间安全监测能力差异实施的隐蔽基础设施构建技术。该技术通过系统化分析目标组织的云资源分布特征,选择其业务体系未覆盖且安全监控薄弱的云区域(如南美、非洲等新兴数据中心集群),部署恶意计算实例或存储资源。攻击者通常结合云服务目录API获取目标账户历史操作记录,通过反向工程确定其未激活区域列表,进而建立与合法业务资源拓扑隔离的攻击基础设施,规避基于资源活跃度基线分析的异常检测机制。 | |
| .002 | 跨区域资源协同 | 跨区域资源协同(Cross-Region Resource Orchestration)是一种通过多地理区域云资源联动实现攻击链隐匿的技术。攻击者将恶意负载分解部署在三个以上未使用云区域,构建分布式任务处理架构。各区域实例分别承担C2通信、数据处理、代理跳板等不同功能模块,通过区域间内网通道进行指令传递和数据交换,避免单一区域出现完整的攻击指纹。例如,在AWS未启用的中东区域部署代理服务器,在Azure未监控的南美区域设置数据暂存节点,利用谷歌云冷门区域进行加密通信中转。 | |
| T1221 | 模板注入 | 模板注入是攻击者通过篡改文档模板引用实施恶意代码加载的攻击技术,主要利用Microsoft Office、RTF等文档处理软件的模板加载机制。攻击者通过在文档中插入指向远程服务器的模板引用,诱导应用程序在打开文档时自动下载并执行恶意载荷。通过模板注入,攻击者将恶意代码嵌入到模板中,在用户打开包含该模板引用的文档时,恶意负载会被下载并执行。与传统的宏或脚本不同,这种方式不依赖于直接的代码注入,传统防御手段主要依赖静态文档分析检测异常模板引用,以及监控文档处理进程的网络连接行为,因此模板注入能够有效绕过静态检测。攻击者可以通过钓鱼邮件或污染共享内容等方式将包含恶意模板的文档分发给受害者,进一步提高攻击的成功率。 | |
| T1205 | 流量激活 | 流量激活是攻击者通过特定网络信号触发系统开启隐蔽通信通道或执行恶意功能的持久化技术,其核心在于利用预定义魔法值或数据包序列控制目标系统行为。传统防御手段主要通过监控非常规端口访问序列、检测固定魔法包特征(如Wake-on-LAN的FF:FF:FF:FF:FF:FF前缀)来识别攻击行为,依赖深度包检测技术解析协议异常字段。 | |
| .001 | 多态化端口序列触发 | 多态化端口序列触发(Polymorphic Port Sequence Triggering)是一种基于动态端口敲门机制的隐蔽通道激活技术。攻击者通过预定义包含非连续端口、可变协议类型及动态时序间隔的触发序列,使端口激活信号的发送模式具备时空随机性和协议多样性。该技术突破传统固定端口序列的静态特征,通过算法化生成每次攻击的触发组合,实现端口激活指令的不可预测性。典型应用场景包括绕过网络入侵检测系统对固定端口扫描模式的识别,以及规避基于历史行为分析的防御机制。 | |
| .002 | 协议字段隐匿触发 | 协议字段隐匿触发(Protocol Field Covert Trigger)是一种将激活信号嵌入网络协议标准字段的隐蔽通信技术。攻击者利用TCP/IP协议栈中未充分利用的字段(如IP标识符、TCP时间戳选项、UDP校验和等)或应用层协议(如HTTP头扩展字段、DNS查询参数)承载魔法值,通过特定字段值的组合触发目标系统开启后门通道。该技术将激活信号分解为多个协议交互阶段的数据特征,使得单个数据包在独立分析时不具备恶意属性,仅在特定上下文组合下才会激活攻击行为。 | |
| T1027 | 混淆文件或信息 | 混淆文件或信息是攻击者为规避检测对恶意内容进行加密、编码或结构伪装的技术,涉及从初始访问到持久化攻击的全生命周期。传统防御主要依赖特征检测、熵值分析和沙箱动态行为监控,通过识别非常规文件结构(如异常节区数量)、高频API调用模式等特征实施拦截。典型缓解措施包括深度文件格式解析、进程行为基线建模和内存完整性检查。 | |
| .001 | 加密容器隐藏 | 加密容器隐藏(Encrypted Container Concealment)是将恶意文件嵌入加密压缩包或磁盘镜像的技术形态。攻击者利用AES-256、RSA等加密算法对恶意载荷进行多层加密,并将解密密钥通过独立信道(如隐写术或社交工程)传递,使静态检测无法解析文件内容。该技术通过构建加密外壳,将恶意代码的存储形态与执行形态分离,在维持文件隐蔽性的同时确保运行时可用性。 | |
| .002 | 多态代码混淆 | 多态代码混淆(Polymorphic Code Obfuscation)是通过实时变异代码结构与指令序列实现动态匿迹的技术。每次传播时自动重构代码的语法特征(如变量命名、控制流结构),同时保持核心恶意功能不变。该技术利用抽象语法树转换、寄存器重分配、垃圾指令插入等手段,使得同类恶意样本在不同实例中呈现差异化特征,有效规避基于静态指纹的检测系统。 | |
| .003 | 分片式载荷重组 | 分片式载荷重组(Fragmented Payload Reassembly)是将完整恶意载荷分解为多个无害文件片段,通过特定触发条件实现动态重组的技术。攻击者将代码段、数据段、配置信息分别存储在不同类型文件(如图片元数据、文档注释、日志条目)中,利用预置的逻辑控制器在运行时提取并重组有效载荷。该技术通过破坏恶意内容的完整性特征,规避基于全文件扫描的检测机制。 | |
| .004 | 环境感知动态解密 | 环境感知动态解密(Context-Aware Dynamic Decryption)是仅在特定系统环境下才解密执行恶意代码的高级混淆技术。攻击者预先嵌入多个加密代码段,并设计环境指纹验证逻辑(如硬件ID校验、进程白名单检测),仅在满足预设条件时触发解密流程。该技术将代码可见性与运行时环境强关联,有效对抗沙箱分析和动态调试。 | |
| .005 | 合法格式嵌套 | 合法格式嵌套(Legitimate Format Nesting)是将恶意代码嵌入标准文档格式(如PDF、DOCX)的深层结构实现隐蔽存储的技术。攻击者利用文件格式规范中的未严格校验区域(如PDF的增量更新层、DOCX的CustomXML部件),将加密载荷存储在正常业务文档中,通过触发格式解析漏洞或合法功能(如宏执行)激活恶意代码。 | |
| T1548 | 滥用权限提升控制机制 | 权限提升控制机制滥用是指攻击者利用操作系统原生权限管理机制的缺陷或特性,绕过安全策略获取更高权限级别的攻击行为。现代系统通过用户账户控制(UAC)、sudo机制、权限令牌验证等方式限制非授权提权,防御方通常采用进程行为监控、文件完整性校验、环境变量审计等手段进行检测。例如监控setuid/setgid文件变更、分析进程权限突变事件、检查注册表敏感项修改等。 | |
| .001 | 可信服务配置隐蔽提权 | 可信服务配置隐蔽提权(Trusted Service Configuration Escalation)是一种通过篡改系统服务配置参数实现权限提升的隐蔽攻击技术。攻击者针对具有合法高权限的系统服务(如Windows服务或Linux守护进程),通过修改服务执行路径、加载参数或依赖组件,将恶意代码注入到受信任的服务执行流程中。该技术利用操作系统对系统服务的高权限信任机制,在不触发权限变更告警的前提下完成提权操作,其核心在于保持服务配置的合法性边界内实施恶意载荷注入。 | |
| .002 | 动态库搜索劫持提权 | 动态库搜索劫持提权(DLL Search Order Hijacking Escalation)是通过操纵系统动态库加载机制实现权限升级的隐蔽攻击方法。该技术利用应用程序运行时加载动态链接库(DLL)的搜索顺序漏洞,在合法高权限进程的上下文中执行恶意代码。攻击者通过伪造目标进程预期加载的DLL文件,将其放置在系统搜索路径的优先位置,当目标进程启动时自动加载恶意库并执行提权操作,同时保持进程签名的完整性验证。 | |
| .003 | 环境变量注入提权 | 环境变量注入提权(Environment Variable Injection Escalation)是一种通过篡改进程环境变量实现权限升级的隐蔽攻击技术。攻击者通过修改系统或用户环境变量(如PATH、LD_LIBRARY_PATH),影响高权限进程的运行时行为,诱导其加载恶意组件或执行非预期命令。该技术特别针对依赖环境变量进行配置的自动化任务或系统服务,通过改变资源定位路径实现提权载荷的隐蔽执行。 | |
| .004 | 内存驻留型提权载荷 | 内存驻留型提权载荷(Memory-Resident Escalation Payload)是通过纯内存操作实现权限升级的零痕迹攻击技术。该技术利用进程注入或内存篡改技术,将提权代码直接写入高权限进程的内存空间执行,避免在磁盘或注册表中留下可检测痕迹。攻击者通过API钩取、线程劫持或内存映射文件等手段,在受信进程的上下文中动态执行提权操作,完全绕过基于文件扫描的防御机制。 | |
| T1006 | 直接卷访问 |
直接卷访问是攻击者绕过文件系统监控直接读写磁盘卷数据的攻击技术,通过分析文件系统底层结构(如NTFS的MFT)实现数据窃取或篡改。传统防御手段主要监控磁盘句柄打开行为、检测非常规卷操作工具(如NinjaCopy)的使用,以及分析进程命令行参数中的可疑卷管理指令。防御方通常结合文件系统过滤驱动审计和进程行为分析构建防护体系。 为规避传统检测机制,攻击者发展出深度隐匿的直接卷访问技术,通过内存化执行、元数据操纵、合法工具滥用等手法,将恶意卷操作嵌入系统正常存储维护流程,大幅降低操作行为与周边环境的异常性关联。 |
|
| T1070 | 移除指标 | 移除指标技术指攻击者为消除入侵痕迹、阻碍安全检测与取证分析,对系统日志、文件元数据、内存残留等数字证据实施删除或篡改的操作集合。该技术直接影响安全设备的告警完整性,并破坏事件响应过程中的证据链重建能力。防御方通常采用文件完整性监控、日志聚合分析和内存取证工具等手段进行对抗,重点关注异常文件删除事件、日志服务异常中断等情况。 | |
| .001 | 时间戳同步篡改 | 时间戳同步篡改(Timestamp Synchronization Tampering)是一种通过修改系统时间参数实现攻击痕迹隐匿的技术。攻击者针对操作系统、应用程序或日志文件的时间戳机制实施精密操控,将恶意操作的时间标记调整为与合法操作时间序列相吻合的状态,破坏事件链的时间关联性。该技术通过干扰防御方基于时间线的事件重建能力,达到掩盖攻击时序特征的目的,使数字取证难以建立完整的攻击路径模型。 | |
| .002 | 内存残留定向清理 | 内存残留定向清理(Targeted Memory Residue Purge)是针对现代内存取证技术发展出的高阶痕迹消除手段。该技术通过实时监控系统内存状态,精确识别并擦除与攻击行为相关的进程句柄、网络连接记录、加密密钥等易失性数据残留,确保恶意代码执行后不在内存中留下可提取的完整证据链。攻击者采用内核级内存操作技术,在预设触发条件(如进程终止、系统重启)下自动执行清理程序,实现攻击痕迹的"即时蒸发"效果。 | |
| .003 | 日志注入污染 | 日志注入污染(Log Injection Contamination)是通过向日志系统注入大量伪正常条目实现攻击痕迹稀释的技术。攻击者在实施关键操作前后,使用自动化工具批量生成符合业务场景特征的日志事件,将恶意操作记录隐藏在海量噪声数据中。该技术不仅掩盖特定攻击痕迹,还通过构造虚假操作序列误导安全分析人员,增加攻击行为与正常行为的混淆度。 | |
| .004 | 隐蔽擦除链构建 | 隐蔽擦除链构建(Covert Erasure Chain Construction)是通过多层代理节点实施分布式痕迹清除的技术体系。攻击者将擦除指令分解为多个互不关联的微操作,通过受控的跳板节点链式执行,每个节点仅处理特定类型的痕迹清除任务(如网络层日志清理、云平台操作审计删除)。各节点间采用单向通信和任务自毁机制,确保擦除行为无法通过节点关联分析还原完整攻击图谱。 | |
| T1218 | 系统二进制代理执行 | 系统二进制代理执行是攻击者滥用操作系统信任机制,通过合法签名的系统工具间接执行恶意代码的技术手段。该技术利用微软认证二进制文件(如msbuild.exe、installutil.exe)或Linux系统工具(如split、xxd)的固有功能,将恶意操作嵌入标准工作流程,规避基于进程签名验证和行为规则的检测。防御方通常通过监控异常命令行参数、检测非标准模块加载、分析进程行为偏离基线等手段进行对抗,重点识别合法工具非常规使用模式。 | |
| .001 | 内存驻留反射加载 | 内存驻留反射加载(In-Memory Reflective Loading)是一种完全在内存中完成恶意代码加载与执行的深度隐蔽技术。攻击者通过合法系统进程(如powershell.exe、svchost.exe)调用内存操作API,将加密的恶意载荷直接写入进程堆空间,并利用反射加载技术实现自解析、自定位、自执行,全程不产生磁盘文件交互。该技术通过规避传统文件落盘操作,有效对抗基于文件监控的检测机制,并利用系统进程的内存操作白名单特性实现行为隐匿。 | |
| .002 | 多阶段链式代理执行 | 多阶段链式代理执行(Multi-Stage Chained Proxy Execution)是通过串联多个可信系统工具构建复杂执行路径的隐蔽攻击技术。攻击者将恶意操作分解为多个合法功能调用步骤,利用不同系统二进制文件间的输入输出传递机制,逐步完成攻击载荷的加载与执行。例如,通过certutil.exe解码加密载荷,再通过regsvr32.exe执行内存中的COM对象,最终由wmic.exe发起远程连接。这种技术通过分散攻击特征至多个合法进程,降低单进程行为异常性。 | |
| .003 | 合法工具参数混淆 | 合法工具参数混淆(Legitimate Tool Argument Obfuscation)是通过复杂参数构造技术隐藏恶意意图的高级对抗手段。攻击者深入研究系统工具的命令行解析特性,利用环境变量扩展、通配符转义、编码转换等机制,构建符合语法规范但难以直观理解的执行参数。例如,通过分段拼接Base64编码字符串、嵌套多重环境变量引用、或利用Unicode控制字符干扰日志记录,使得安全设备难以有效解析真实执行逻辑。 | |
| T1216 | 系统脚本代理执行 | 系统脚本代理执行是攻击者滥用操作系统内置或可信第三方提供的脚本工具,通过参数注入或功能劫持实现恶意代码隐蔽运行的技术。其利用脚本文件数字签名验证机制与应用控制白名单策略的信任关系,将恶意操作嵌入合法执行流程。传统防御手段主要通过监控脚本进程创建事件、分析命令行参数异常以及限制未签名脚本执行等措施进行防护。 | |
| .001 | 合法脚本参数混淆 | 合法脚本参数混淆(Legitimate Script Parameter Obfuscation)是一种利用系统内置脚本工具的参数化特性实现恶意代码隐蔽执行的技术。攻击者通过解析受信任系统脚本(如Windows环境下的PubPrn.vbs、SyncAppvPublishingServer.vbs)的合法功能参数,将恶意代码执行指令嵌入符合语法规范的参数配置中,使脚本在正常业务逻辑执行过程中触发恶意负载。该技术充分利用操作系统对签名脚本的信任机制,将恶意行为伪装成合法的管理任务,规避基于进程白名单的防御体系。 | |
| .002 | 内存驻留无文件执行 | 内存驻留无文件执行(Fileless In-Memory Execution)是通过脚本解释器的动态代码执行能力实现恶意载荷全内存化运行的攻击模式。攻击者将经过编码压缩的恶意脚本片段嵌入合法文档(如CHM、PDF)或注册表项,利用系统脚本引擎(如PowerShell、JScript)的内存解析特性直接加载执行。整个攻击过程不产生磁盘文件写入操作,所有恶意代码均驻留在进程内存或系统缓存中,并通过进程注入技术在多个可信进程间迁移维持持久化。 | |
| .003 | 多阶段链式触发 | 多阶段链式触发(Multi-Stage Chained Trigger)通过将攻击链拆解为多个由系统脚本触发的独立操作步骤,实现恶意行为的隐蔽串联。该技术利用不同系统脚本的功能特性设计递进式攻击流程,例如首阶段脚本负责建立持久化机制,次阶段脚本实现权限提升,最终阶段脚本执行核心攻击载荷。各阶段之间通过注册表项、环境变量或命名管道等隐式通信机制进行指令传递,避免在命令行参数或日志记录中暴露完整攻击意图。 | |
| T1599 | 网络边界桥接 |
网络边界桥接指攻击者通过控制网络边界设备(如防火墙、路由器)突破网络隔离策略,构建跨安全域通信通道的技术手段。传统防御依赖流量策略审查、设备配置监控及异常规则检测,通过比对设备配置快照与网络流量日志识别未授权策略变更。 为规避传统检测机制,攻击者发展出非策略修改型桥接技术,通过功能滥用、协议嵌套和管理接口劫持等手法,在不触发策略告警的前提下实现边界穿透,形成"策略合规、行为异常"的新型攻击范式。 现有匿迹桥接技术的共性在于深度利用网络设备的固有功能特性和协议解析漏洞:流量镜像隐蔽转发技术挖掘镜像端口的监控盲区,将跨域通信伪装成运维数据采集;协议隧道嵌套桥接技术通过协议栈的纵向深度扩展,在单层合规的前提下实现多层穿透;合法管理接口滥用则借助设备信任链的脆弱性,将攻击流量融入日常运维流。三类技术的核心突破在于解耦策略变更与边界穿透的必然关联,通过协议语义的创造性重构和设备功能的非常规利用,使恶意行为获得表面合法性。技术演进呈现三个趋势:从规则篡改转向功能滥用、从单层协议突破转向多维协议嵌套、从主动连接建立转向被动流量劫持。 匿迹技术的成熟使得传统基于策略审计的防御体系面临严峻挑战,防御方需构建协议栈深度行为分析、管理接口异常操作检测等能力,并引入设备固件完整性验证机制,实现对隐蔽桥接行为的多维度感知与阻断。 |
|
| .001 | 流量镜像隐蔽转发 |
流量镜像隐蔽转发(Traffic Mirroring Stealth Forwarding)是一种通过劫持网络设备镜像端口实现跨边界通信的隐蔽桥接技术。攻击者在控制边界设备后,利用其流量镜像功能将目标流量复制至非授权接口,通过隐蔽通道转发至外部网络。该技术不直接修改设备转发规则,而是利用镜像端口的管理盲区构建旁路信道,在保持设备策略完整性的同时实现数据透传。 实现匿迹的核心在于镜像功能的非侵入式利用与流量特征的深度模仿。攻击者首先通过权限提升获取设备镜像配置权限,在不触发告警的前提下设置特定流量(如加密业务流)的镜像规则,将副本发送至攻击者控制的物理接口或虚拟端口。转发过程中采用协议字段重构技术,将镜像流量封装在合法协议(如VXLAN、GRE)中,并保持原始报文的时序特征与统计分布。为避免镜像流量异常引发检测,攻击者会动态调整镜像策略,仅在目标业务活跃期开启镜像窗口,且镜像流量规模不超过设备性能基线。通过镜像机制与业务流量特征的高度耦合,该技术将跨边界通信隐匿在正常运维流量中,规避基于策略变更检测或流量突变分析的安全机制。 |
|
| .002 | 协议隧道嵌套桥接 |
协议隧道嵌套桥接(Protocol Tunnel Nesting Bridging)是通过在标准协议栈中建立多层隧道实现边界穿透的隐蔽通信技术。攻击者利用边界设备对合法协议的放行策略,将恶意流量封装在多层协议载荷中(如HTTP over DNS over ICMP),通过逐层解封装实现跨安全域的数据透传。该技术的关键在于构造符合协议规范但逻辑嵌套的隧道结构,使得单层协议分析难以发现异常。 匿迹效果源自协议栈的纵向混淆与横向伪装。纵向维度上,攻击者设计3层以上的协议嵌套结构,每层均采用目标网络允许的协议类型(如将SSH流量封装在HTTPS视频流中),利用协议解析器的逐层处理机制规避深度检测。横向维度则通过动态隧道协议切换(如交替使用QUIC与WebSocket作为载体),破坏防御系统的协议行为建模。技术实现需解决隧道保活机制隐蔽化问题,采用心跳包尺寸随机化、时间间隔抖动等技术模拟合法协议交互特征。最终形成的隧道矩阵具备协议合规性、行为拟态性和拓扑动态性,使得传统基于协议指纹识别或流量模式匹配的检测手段失效。 |
|
| .003 | 合法管理接口滥用桥接 |
合法管理接口滥用桥接(Legitimate Management Interface Abuse Bridging)是指攻击者通过劫持网络设备的运维通道(如SNMP、NETCONF)构建隐蔽跨域通道的技术。该技术利用设备管理接口的信任特权,将恶意流量伪装成配置同步、日志上传等管理操作,通过协议参数注入或元数据隐写实现数据透传。攻击者通过精确模拟管理协议的工作流,使异常通信行为融入设备日常运维流量。 匿迹机制建立在管理协议的功能复用与信任关系滥用之上。攻击者首先窃取设备管理凭证,通过合法认证流程建立管理会话,在标准协议操作中嵌入隐蔽信道。例如在SNMP Trap消息的OID字段中隐写控制指令,或利用NETCONF的 |
|
| T1497 | 虚拟化/沙盒规避 | 虚拟化/沙盒规避技术是攻击者用于检测并逃避虚拟化环境或沙盒分析的关键对抗手段,通过识别分析环境特征改变恶意代码行为,防止核心功能暴露。传统检测方法依赖静态环境特征比对(如特定注册表项、进程列表),防御方可利用行为监控、硬件指纹混淆等技术进行应对。但随着对抗升级,攻击者发展出更隐蔽的规避手法,形成多维立体的环境感知与动态适应体系。 | |
| .001 | 环境指纹动态检测 | 环境指纹动态检测(Dynamic Environment Fingerprint Detection)是一种通过实时采集系统运行特征识别虚拟化或沙盒环境的高阶规避技术。该技术构建多层次检测指标体系,涵盖硬件特征(如CPU指令集差异)、软件配置(如特定驱动文件)、运行时行为(如内存分配模式)等维度,采用多因子加权决策模型判断当前执行环境属性。区别于传统静态特征检测,其通过注入探针代码实时捕获系统调用轨迹,结合机器学习算法动态生成环境可信度评分,在保持检测精度的同时避免触发沙盒监控机制。 | |
| .002 | 沙盒环境感知型代码混淆 | 沙盒环境感知型代码混淆(Sandbox-Aware Code Obfuscation)是一种根据运行时环境特征动态调整代码结构的自适应混淆技术。该技术构建包含控制流扁平化、指令集随机化、元数据剥离等多重混淆策略的策略库,在代码加载阶段通过环境探针检测结果选择最优混淆方案。当检测到沙盒监控迹象时,自动启用深度混淆模式,插入大量无害代码分支干扰控制流分析;在真实用户环境则降低混淆强度以提升执行效率。 | |
| T1134 | 访问令牌操控 | 访问令牌操控是攻击者通过篡改进程安全上下文实现权限提升的关键技术,其核心在于利用Windows身份验证机制的设计特性,通过令牌窃取、复制或伪造等手段,使恶意进程获得超出其原始权限的资源访问能力。传统防御手段主要依赖进程行为审计(如检测异常父-子进程关系)、令牌完整性校验(验证令牌签名及权限变更记录)以及用户账户控制(UAC)机制,通过监控敏感API调用(如DuplicateTokenEx)和异常权限变更事件来识别攻击行为。 | |
| .001 | 进程继承令牌注入 | 进程继承令牌注入(Process Inheritance Token Injection)是一种通过篡改进程创建机制实现权限提升的隐蔽攻击技术。攻击者利用Windows进程树继承规则,将高权限令牌注入到新创建的子进程中,使得子进程在表面继承父进程身份的同时,实际执行权限与令牌持有者分离。该技术通过劫持合法进程的创建流程,在不触发安全告警的情况下完成权限上下文切换,规避传统基于进程行为一致性的检测机制。 | |
| .002 | 动态令牌上下文克隆 | 动态令牌上下文克隆(Dynamic Token Context Cloning)是一种基于实时上下文捕获的令牌操控技术。攻击者通过Hook系统身份验证组件,在目标用户执行特权操作时动态捕获其完整安全上下文(包括组令牌、特权列表及会话密钥),并将该上下文克隆至攻击进程。与静态令牌窃取不同,该技术聚焦于捕捉处于活跃状态的瞬时身份凭证,确保克隆令牌与当前系统安全策略保持同步,有效规避基于令牌有效期或会话状态的检测机制。 | |
| .003 | 跨会话令牌桥接 | 跨会话令牌桥接(Cross-Session Token Bridging)是针对多用户环境设计的横向移动匿迹技术。攻击者通过解析内核对象目录结构,定位其他用户会话的令牌对象,并利用进程迁移技术将当前攻击线程关联至目标令牌。该技术突破Windows会话隔离机制,实现不同安全域之间的权限渗透,同时保持攻击进程在原始会话中的低权限表象,形成"跨域隐身"的攻击效果。 | |
| .004 | 可信进程链令牌伪装 | 可信进程链令牌伪装(Trusted Process Chain Token Masquerade)是通过构建虚假进程继承链实现深度隐匿的令牌操控技术。攻击者伪造进程创建记录,使高权限进程在安全日志中显示为由系统核心组件(如services.exe)或可信应用程序派生,同时通过篡改进程环境块(PEB)中的父进程信息,确保进程树监控工具无法识别真实攻击来源。该技术结合令牌窃取与进程链伪造,形成多维度的身份伪装体系。 | |
| T1622 | 调试器规避 | 调试器规避是攻击者检测并规避调试分析环境的关键对抗技术,涉及对系统调试接口、运行时环境和时序特征的深度利用。传统防御依赖于监控敏感API调用(如IsDebuggerPresent)和分析异常进程行为(如频繁环境检查),通过行为沙箱或动态污点分析捕获反调试企图。现代终端检测与响应(EDR)系统可结合机器学习模型识别可疑的调试器交互模式。 | |
| T1055 | 进程注入 | 进程注入是攻击者将恶意代码植入合法进程内存空间以规避安全检测的技术,通过借用可信进程的权限和资源实现隐蔽攻击。传统防御手段主要监控进程创建行为、异常内存操作及可疑API调用序列,例如检测VirtualAllocEx/WriteProcessMemory组合调用或远程线程创建事件。现代终端防护系统通过内存完整性校验、行为链分析和机器学习模型识别异常进程行为。 | |
| .001 | 反射式DLL注入 | 反射式DLL注入(Reflective DLL Injection)是一种无需依赖Windows加载器机制的内存驻留技术。攻击者通过自主实现DLL映射逻辑,将恶意代码直接写入目标进程内存空间并触发执行,规避了传统DLL注入所需的磁盘文件写入和注册表操作环节。该技术通过内存操作API构建完整的PE结构映射,利用进程合法内存操作掩盖代码加载痕迹,使得安全产品难以通过文件监控或加载器行为分析发现异常。 | |
| .002 | 进程空洞注入 | 进程空洞注入(Process Hollowing)是一种通过替换合法进程内存空间实现隐蔽执行的攻击技术。攻击者首先创建处于挂起状态的合法进程,清空其主模块内存区域后注入恶意代码,并修改入口点指向注入载荷。该技术通过复用系统可信进程的上下文环境,使恶意代码执行过程具备与原始进程相同的安全上下文和资源访问权限,有效规避进程行为基线检测。 | |
| .003 | APC用户模式调度注入 | APC用户模式调度注入(APC User-Mode Scheduling Injection)是一种利用异步过程调用机制实现线程劫持的高级注入技术。攻击者通过向目标线程的APC队列插入恶意函数指针,当线程进入可告警状态时自动执行注入代码。该技术无需创建远程线程或修改进程入口点,直接利用系统调度机制实现代码执行,显著降低行为异常性。 | |
| .004 | 模块拼接注入 | 模块拼接注入(Module Stitching Injection)是一种通过动态组合多个合法模块功能实现代码执行的规避技术。攻击者将恶意功能拆解为多个符合系统规范的DLL模块,利用进程内现有模块的加载上下文动态组装功能链。各模块仅包含部分恶意功能且具备合法数字签名,通过进程内IPC机制协调执行流程,避免整体恶意特征集中暴露。 | |
| T1610 | 部署容器 | 部署容器技术指攻击者通过创建恶意容器实例实施攻击的行为,通常用于执行恶意负载、绕过环境防御或进行容器逃逸。传统防御手段主要依赖容器镜像扫描、运行时行为监控及集群日志分析,例如检测非常规端口绑定、特权模式启用或异常子进程创建等特征。在Kubernetes环境中,安全团队可通过审计工作负载部署事件、监控Pod安全策略违规日志来识别可疑容器活动。 | |
| T1202 | 间接命令执行 | 间接命令执行是攻击者通过滥用系统内置工具或脚本引擎执行恶意指令的技术,旨在绕过安全策略对命令行解释器的使用限制。传统防御手段主要通过监控进程创建事件、分析命令行参数特征以及检测异常子进程生成来识别攻击行为,例如使用Sysmon记录进程创建日志并关联可疑参数模式。然而,随着攻击技术的演进,这种基于显式特征匹配的检测方法面临严峻挑战。 | |
| .001 | 合法系统工具代理执行 | 合法系统工具代理执行(Legitimate System Tool Proxy Execution)是指攻击者利用操作系统内置的合法程序(如Forfiles、pcalua.exe等)作为命令执行载体,通过参数注入或配置篡改实现恶意指令传递的技术。该技术通过调用具有白名单特性的系统组件执行高危操作,规避基于进程黑名单或命令行特征匹配的检测机制。攻击者深入研究目标系统管理工具的执行逻辑,将恶意代码分解为符合工具参数规范的指令序列,利用系统工具与命令解释器之间的隐式调用关系构建隐蔽执行链。 | |
| .002 | 动态代码拼接执行 | 动态代码拼接执行(Dynamic Code Splicing Execution)是一种通过运行时环境动态生成完整攻击指令的隐蔽执行技术。攻击者将恶意代码拆分为多个无害片段,分别存储在注册表、临时文件或内存中,利用系统工具或脚本引擎的拼接功能在内存中重组执行。该技术通过避免在磁盘或命令行中呈现完整攻击代码,有效规避基于静态特征扫描或进程参数监控的检测机制,特别适用于对抗具备命令行审计能力的终端防护系统。 | |
| .003 | 脚本宿主进程伪装执行 | 脚本宿主进程伪装执行(Script Host Process Masquerade Execution)是指攻击者利用系统内置脚本解释器(如WScript、CScript、PowerShell)的合法执行上下文,通过修改脚本属性或注入内存代码实现隐蔽命令执行的技术。该技术通过劫持脚本宿主进程的正常工作流程,将恶意操作嵌入符合脚本引擎语法规范的代码结构中,使得攻击行为在进程树、命令行参数和网络通信层面均呈现出合法脚本执行的特征。 | |
| T1211 | 防御规避漏洞利用 | 防御规避漏洞利用指攻击者通过利用系统或安全软件的漏洞绕过防御机制,通常针对安全产品自身缺陷(如杀毒软件逻辑漏洞)或云平台防护弱点(如元数据API漏洞)实施定向突破。传统检测方法依赖异常进程行为监控(如未签名的驱动加载)、内存修改检测或云日志异常分析,防御措施包括强化驱动签名验证、实施内存保护机制(如HVCI)及完善云服务访问控制策略。 | |
| T1564 | 隐藏伪装 | 隐藏伪装指攻击者通过操纵系统资源或环境特性来掩盖恶意行为痕迹的技术手段,其核心目标是规避安全检测与取证分析。该技术涵盖文件隐藏、进程伪装、虚拟化隔离等多种实现方式,常被用于持久化控制、横向移动等攻击阶段。传统防御措施主要依赖文件完整性监控、进程行为分析和元数据校验等手段,通过检测异常资源访问模式或属性变更来识别隐匿行为。 | |
| .001 | 文件系统流隐藏 | 文件系统流隐藏(File System Alternate Data Streams Concealment)是一种利用现代文件系统特性实现恶意文件隐匿的高级技术。该技术通过将恶意载荷嵌入NTFS交换数据流(Alternate Data Streams, ADS)或扩展文件属性等非标准存储区域,规避传统文件扫描机制的检测。攻击者通过将恶意代码、配置信息或日志文件存储在隐藏数据流中,使得常规目录遍历和文件监控工具无法直接发现异常内容,同时保持文件系统的表观完整性。该技术常与合法系统文件绑定,形成"寄生式"隐蔽存储架构。 | |
| .002 | 进程内存驻留伪装 | 进程内存驻留伪装(Process Memory-Resident Camouflage)是一种通过内存操作实现恶意代码无文件化驻留的技术。攻击者将恶意载荷直接注入合法进程的地址空间,利用进程 Hollowing、DLL反射加载等技术实现代码动态执行,避免在磁盘留存可检测的恶意文件。该技术通过劫持系统进程(如explorer.exe、svchost.exe)或应用程序进程的内存空间,使恶意代码运行在受信任的进程上下文中,从而绕过基于文件特征和行为规则的检测机制。 | |
| .003 | 虚拟化沙箱逃逸 | 虚拟化沙箱逃逸(Virtualization Sandbox Evasion)是一种通过感知和规避虚拟化环境来实现攻击行为隐匿的技术。攻击者利用硬件虚拟化扩展(如Intel VT-x、AMD-V)创建隔离的执行域,或通过检测沙箱环境特征(如特定进程、内存布局、时钟差异)来动态调整恶意代码行为。该技术使安全分析工具无法捕获完整的攻击链信息,同时保护核心攻击逻辑不被逆向工程破解。 | |
| .004 | 元数据时间戳篡改 | 元数据时间戳篡改(Metadata Timestamp Manipulation)是一种通过伪造文件系统时间属性来干扰事件溯源的隐匿技术。攻击者修改文件的创建时间、修改时间和访问时间(MAC times),使其与合法系统文件的时间线保持一致,或构造虚假的时间序列混淆攻击时间窗口。该技术常用于破坏取证分析的时间线重建,掩盖恶意文件植入、配置变更等关键攻击事件的时间证据。 | |
| T1542 | 预操作系统引导 | 预操作系统引导攻击指攻击者通过篡改系统固件或引导过程在操作系统加载前植入恶意代码,建立超越操作系统权限的持久化控制。此类攻击直接操作硬件层组件,可绕过传统基于操作系统的安全防护。防御措施主要包括固件完整性校验、安全启动机制强化、NVRAM变更监控等,通过可信平台模块(TPM)度量引导过程和定期固件健康检查进行威胁发现。 | |
| .001 | 固件级隐蔽代码注入 | 固件级隐蔽代码注入(Firmware-Level Stealth Code Injection)是针对计算机系统引导层的高级持久化技术。攻击者通过篡改UEFI/BIOS固件或引导加载程序(Bootloader),将恶意代码植入系统初始化阶段,使其在操作系统内核加载前获得执行权限。该技术利用固件更新机制或漏洞利用,将恶意负载写入SPI闪存芯片,构建硬件级持久化后门。恶意代码通过劫持系统管理中断(SMI)或运行时服务,在操作系统不可见的层级建立控制通道。 | |
| .002 | 安全启动机制动态旁路 | 安全启动机制动态旁路(Secure Boot Dynamic Bypass)是针对UEFI安全启动功能的对抗技术。攻击者通过篡改引导策略数据库或伪造签名证书,在系统启动验证环节动态禁用安全启动保护。该技术采用临时性策略修改手段,在完成恶意代码加载后自动恢复原始安全配置,避免触发固件完整性校验告警,实现"瞬时穿透-持久驻留"的攻击效果。 | |
| .003 | 非易失存储隐蔽持久化模块 | 非易失存储隐蔽持久化模块(Non-Volatile Storage Covert Persistence Module)是针对计算机非易失性随机访问存储器(NVRAM)的深度隐匿技术。攻击者通过操纵UEFI环境变量或ACPI表,在NVRAM中植入恶意配置项,利用固件引导过程中对NVRAM数据的自动加载机制实现持久化。该技术特别擅长绕过基于磁盘文件监控的传统防御体系,将攻击载荷存储在独立于操作系统的硬件存储区域。 | |
| T1553 | 颠覆信任控制 | 颠覆信任控制是指攻击者通过篡改系统信任验证机制或滥用信任凭证,绕过安全防护措施的技术集合。传统防御手段侧重于监控证书元数据异常、维护信任组件基线与分析自动启动项,通过检测非授权签名证书、异常注册表修改等行为识别威胁。典型缓解措施包括证书透明度监控、WHQL签名验证强化,以及扩展文件属性变更审计等。 | |
| .001 | 伪造代码签名证书 | 伪造代码签名证书(Code Signing Certificate Forgery)是通过非法获取或生成伪造的数字证书,为恶意软件赋予合法身份标识的信任控制颠覆技术。攻击者利用数字证书颁发机构(CA)的安全漏洞或社会工程手段窃取有效证书,或通过密码学攻击构造伪造证书链,使恶意程序获得操作系统和安防产品的信任验证。该技术突破传统基于证书权威性的信任模型,使恶意代码具备与合法软件相同的数字指纹特征,从而绕过静态签名检测机制。 | |
| .002 | 供应链信任劫持 | 供应链信任劫持(Supply Chain Trust Hijacking)是通过污染软件分发渠道或开发工具链,将恶意代码注入合法签名程序的攻击技术。攻击者利用软件供应商的代码签名证书,在构建流水线或更新服务器中植入后门,生成携带恶意功能的合法签名程序。该技术借助软件供应链的固有信任传递机制,使恶意载荷获得与原始合法程序相同的信任级别,形成防御体系的信任盲区。 | |
| .003 | 驱动程序签名白名单滥用 | 驱动程序签名白名单滥用(Driver Signature Whitelist Abuse)是通过伪造或窃取微软WHQL(Windows Hardware Quality Labs)认证签名,使恶意驱动获得系统最高执行权限的技术。攻击者利用泄露的合法签名密钥或已吊销但未失效的证书,为恶意驱动程序附加有效数字签名,利用操作系统对签名驱动的自动信任机制实现权限提升与持久化驻留。 | |