密态对抗中的横向渗透战术是指攻击者在网络内部实施跨系统移动时,通过行为伪装、痕迹消除和协议混淆等手段,掩盖入侵路径与操作轨迹的隐蔽化行动框架。
在横向渗透阶段,匿迹战术聚焦于消除网络节点间异常访问特征,构建符合业务逻辑的合法操作序列。攻击者通过复用目标环境既有身份认证体系与通信协议,将恶意指令嵌入正常运维流量或应用层交互行为,规避基于流量特征或协议规范的检测机制。采用动态凭证获取、会话劫持复用、加密隧道嵌套等技术,将横向移动过程伪装为授权用户的常规操作。同时,攻击者通过清除日志记录、干扰审计线程、伪造可信进程标识等方式,系统性破坏攻击链路的可追溯性,形成跨系统操作的"隐形通道"。
匿迹战术使横向渗透行为呈现出与授权运维高度相似的行为模式,大幅降低传统安全设备对异常登录、非常规端口访问等特征的识别效率。攻击者通过建立持久化、低噪声的横向移动能力,可精准定位高价值目标并实施定向突破,同时延长攻击驻留时间以获取战略优势。隐蔽化的渗透路径不仅增加攻击溯源复杂度,还可通过多跳节点污染形成"攻击迷雾",干扰防御方对真实攻击意图与核心资产的研判。
该战术对基于行为基线分析或异常流量检测的传统防御体系形成多维穿透:一方面,合法协议滥用导致规则引擎失效;另一方面,加密通信与日志篡改削弱取证分析有效性。防御方需构建零信任架构下的动态权限验证机制,结合实体行为画像与上下文感知技术,识别跨系统访问中的身份异常与权限漂移。同时,需部署攻击面图谱分析系统,通过资产关联关系建模与隐蔽通道特征提取,实现横向渗透链路的主动预测与阻断。
| ID | Name | Description | |
| T1550 | 使用备用认证材料 | 使用备用认证材料指攻击者利用密码哈希、Kerberos票据等非明文凭证进行身份验证,绕过常规访问控制实施横向移动。该技术通过复用合法认证流程,规避基于密码输入的检测机制,对身份管理系统构成严重威胁。防御措施需聚焦异常登录模式识别(如非常规时段访问、跨安全域令牌使用)、增强认证协议保护(限制票据转发、实施严格会话绑定)以及强化凭证存储安全(限制LSASS内存读取)。 | |
| .001 | 黄金票据伪造 | 黄金票据伪造(Golden Ticket Fabrication)是针对Kerberos认证协议设计的高级持久化技术。攻击者通过窃取域控制器密钥分发服务账户(KRBTGT)的NTLM哈希,伪造具备任意权限的Kerberos票据(TGT),突破Kerberos协议的时间戳与域控验证机制。伪造的黄金票据可绕过域内所有资源的访问控制策略,且不受常规票据生命周期限制,实现跨网络分区的隐蔽横向移动。该技术的核心在于突破Kerberos协议的信任链,利用协议设计缺陷构造无法被常规手段检测的合法票据。 | |
| .002 | Web会话凭证动态寄生 | Web会话凭证动态寄生(Web Session Credential Dynamic Parasitism)是一种针对现代Web应用的认证劫持技术。攻击者通过窃取浏览器存储的会话Cookie、OAuth令牌或JWT,将其注入到受控节点的网络流量中,模拟合法用户的持续会话状态。该技术通过复用已授权会话的加密特征,绕过多因素认证机制,实现应用层权限的隐蔽维持与提升。 | |
| .003 | 设备指纹自适应令牌生成 | 设备指纹自适应令牌生成(Device Fingerprint Adaptive Token Generation)是针对现代设备绑定认证机制的绕过技术。攻击者通过逆向分析目标系统的设备指纹生成算法(如硬件哈希、TPM度量值),构造可动态适配的虚拟设备配置文件,生成与合法设备特征匹配的认证令牌。该技术可绕过基于设备可信度的增强认证机制,实现高危操作的隐蔽授权。 | |
| T1534 | 内部鱼叉式钓鱼 | 内部鱼叉式钓鱼是攻击者利用已控制的内部账户实施定向欺骗的高级社会工程攻击,通过伪造内部通信获取敏感信息或横向移动。与传统钓鱼不同,其利用组织内部信任关系,结合精准的情报收集和场景还原,大幅提升攻击成功率。防御措施主要包括实施内部邮件日志分析、部署多因素认证、以及开展安全意识培训等。 | |
| .001 | 组织架构仿生钓鱼 | 组织架构仿生钓鱼(Organizational Structure Bionic Phishing)是一种深度利用目标机构内部权力关系与业务流程的定向攻击技术。攻击者通过窃取组织架构图、邮件往来记录等情报,精确模拟管理层级关系和业务流程,构造具有高度场景适配性的钓鱼内容。该技术不仅伪造发件人身份,更通过还原业务场景中的文件命名规则、审批流程特征和沟通话术,使钓鱼邮件与正常业务通信在语义层形成同源性,极大提升欺骗成功率。 | |
| .002 | 跨平台会话劫持攻击 | 跨平台会话劫持攻击(Cross-Platform Session Hijacking)是针对企业协同办公生态设计的复合型钓鱼技术。攻击者通过劫持合法用户的内部通信账号(如Microsoft Teams、Slack),在保持原有会话上下文的基础上注入恶意元素。典型手法包括篡改共享文档中的超链接、在持续对话中插入钓鱼URL,或伪造协作任务分发恶意附件。该技术充分利用跨平台信任链,使攻击行为深度融入目标组织的数字化工作流。 | |
| T1570 | 横向工具传输 | 横向工具传输指攻击者在已控网络内部跨系统分发恶意工具或攻击载荷的行为,通常利用SMB、RDP等合法协议或scp、rsync等系统工具实现。传统检测手段通过监控异常文件传输行为(如非工作时间的大文件传输)、分析协议载荷特征(如SMB协议中的可疑文件扩展名)以及追踪多主机间的相同文件哈希来实现威胁发现。防御方可采用网络分段、协议白名单、文件完整性监控等措施限制横向传输活动。 | |
| .001 | 协议隧道化传输 | 协议隧道化传输(Protocol Tunneling Transfer)是一种利用合法网络协议封装恶意载荷实现隐蔽传输的技术。攻击者将工具或恶意文件分割为协议载荷单元,通过HTTP/HTTPS、DNS、ICMP等标准协议进行封装传输,利用协议标准行为特征掩盖恶意传输意图。该技术通过深度适配目标网络流量特征,使工具传输过程在协议层面呈现为正常业务交互,规避基于协议合规性检查的检测机制。 | |
| .002 | 文件分片混淆传输 | 文件分片混淆传输(Fragmented Obfuscated Transfer)是通过将工具文件分解为多个数据片段,并附加混淆层进行分布式传输的技术。攻击者采用密码学算法对工具文件进行分片加密,将各片段通过不同传输渠道(如邮件附件、即时通信文件、云存储API)投送至目标主机,最终在内存中完成重组与解密。该技术通过破坏文件完整性特征与传输关联性,对抗基于文件哈希、特征码匹配的检测体系。 | |
| .003 | 内存驻留无痕传输 | 内存驻留无痕传输(Memory-Resident Transfer)是一种完全规避磁盘写入操作的隐蔽传输技术。攻击者通过进程注入、远程线程创建等方式,将工具直接加载到目标系统的内存空间中,利用合法进程(如explorer.exe、svchost.exe)的内存区域完成工具代码的传输与执行。该技术通过消除文件落地环节,有效规避传统基于文件监控的检测手段。 | |
| T1080 | 污染共享内容 | 污染共享内容指攻击者通过篡改网络共享存储中的文件实施恶意代码传播,利用用户对共享资源的信任实现横向移动。这些共享位置通常用于团队协作和文件共享,一旦恶意程序、脚本或利用代码被加入其中,攻击者就可以通过共享的文件传播其恶意代码。一旦用户打开这些受污染的共享文件,嵌入的恶意代码便会被执行,从而在远程系统上运行攻击者的代码。此外,攻击者可能利用此技术实现横向移动,将恶意活动扩展到更多的系统中,进一步深入内部网络。传统防御手段主要依赖文件完整性监控、异常进程检测及静态特征扫描,通过分析文件修改模式(如大量覆盖操作)、检测非常规文件类型(如异常.LNK文件)等手段识别攻击。 | |
| T1072 | 软件部署工具 | 软件部署工具是企业用于自动化软件分发、配置管理和系统更新的核心运维组件,攻击者通过滥用此类工具的远程执行和网络访问权限实施横向移动、持久化控制等恶意活动。传统防御手段主要通过审计部署日志、监控异常任务触发、分析进程行为链等方式检测攻击,重点识别未经授权的软件包、非常规时段部署活动及异常系统权限变更。 | |
| .001 | 合法部署流程伪装 | 合法部署流程伪装(Legitimate Deployment Process Camouflage)是通过仿冒正常软件部署任务实施攻击的隐蔽技术。攻击者通过分析目标企业的标准化部署流程,将恶意指令嵌入计划任务、补丁安装脚本或配置变更操作中,利用部署工具的任务调度功能实现攻击行为的合法化伪装。例如在系统更新任务中插入内存驻留代码,或通过组策略对象(GPO)修改触发恶意模块加载,使攻击行为与日常运维操作具有相同的进程树结构和资源访问模式。 | |
| .002 | 低频间歇式部署 | 低频间歇式部署(Low-Frequency Intermittent Deployment)是针对持续集成/持续交付(CI/CD)管道设计的隐蔽攻击技术。攻击者通过将大规模恶意部署任务分解为多个低频率、小批量的子任务,利用部署系统的灰度发布机制逐步渗透目标网络。该技术通过延长攻击周期、降低单次部署规模,使恶意活动隐藏在正常的滚动更新、A/B测试等业务场景中,规避基于部署频率和规模阈值的检测规则。 | |
| T1021 | 远程服务 | 远程服务指攻击者利用合法凭证通过SSH、RDP等协议建立远程连接,实施横向移动或持久化控制的技术。传统检测手段通过分析异常登录时间、高频跨系统访问、非常用端口连接等特征进行识别,防御措施包括多因素认证强化、网络分段隔离、会话行为审计等。然而随着攻击者匿迹技术的演进,基于单一维度特征分析的防护体系面临严峻挑战。 | |
| .001 | 协议隧道嵌套通信 | 协议隧道嵌套通信(Protocol Tunnel Encapsulation)是一种通过多层协议封装实现远程服务隐蔽连接的匿迹技术。攻击者将SSH、RDP等远程协议流量封装在HTTP/HTTPS、DNS或云服务API等常见协议流量中,利用应用层协议的合法交互特征掩盖远程会话的传输层特征。该技术可突破传统网络层检测机制,使远程服务流量在协议栈层面呈现出与正常业务通信一致的元数据特征,同时通过加密通道保护嵌套协议的有效载荷,实现攻击流量的深度隐匿。 | |
| .002 | 凭证动态轮换会话 | 凭证动态轮换会话(Credential Dynamic Rotation Session)是一种通过高频更换认证凭据实现远程服务访问隐匿的技术手段。攻击者利用预先窃取的多组有效凭证,在单次会话过程中动态切换用户身份,结合IP跳变与时间窗口控制策略,构建离散化、碎片化的远程访问行为链。该技术通过破坏身份、空间、时间维度的行为关联性,规避基于账户异常登录分析的检测模型,在维持持久化访问能力的同时降低单点暴露风险。 | |
| .003 | 合法工具链隐蔽连接 | 合法工具链隐蔽连接(Legitimate Toolchain Covert Connection)是指滥用企业环境中已授权的远程管理工具实施隐蔽通道建立的技术。攻击者利用目标系统预装的商业远程控制软件(如TeamViewer、AnyDesk)、云管理平台(如AWS Systems Manager、Azure ARC)或运维工具链(如Ansible、Chef),通过篡改配置参数或劫持更新机制构建合法外联通道。该技术通过"白名单化"的软件交互行为掩盖恶意远程连接,利用企业管理策略对可信工具的放行特性实现网络层隐匿。 | |
| T1563 | 远程服务会话劫持 | 远程服务会话劫持是指攻击者通过非法手段接管已建立的合法远程会话(如RDP、SSH、Telnet),进而实施横向移动或特权操作的技术。与创建新会话不同,该技术利用现有会话的认证状态,规避了账户认证环节的检测。传统防御手段主要依赖监控异常会话特征(如非常用设备登录、非常规时段活动)以及检测会话进程的异常行为(如非常用命令行参数)。 | |
| .001 | 加密信道中间人劫持 | 加密信道中间人劫持(Encrypted Channel Man-in-the-Middle Hijacking)是一种针对加密远程会话的高级劫持技术。攻击者通过部署透明代理或网络层中间人设备,在不中断SSL/TLS加密会话的前提下实施劫持,利用伪造证书或协议漏洞维持加密隧道的完整性。该技术能够在不触发证书告警的情况下截获并篡改RDP、SSH等加密协议流量,通过动态解密-再加密机制实现会话的隐蔽控制,使防御方难以察觉通信链路异常。 | |
| .002 | 进程伪装型会话注入 | 进程伪装型会话注入(Process Masquerading Session Injection)是一种通过系统进程伪装实现会话劫持的隐蔽攻击技术。攻击者通过注入恶意代码至合法远程服务进程(如svchost.exe、sshd等),劫持其内存中的会话句柄与安全上下文,直接操作已建立的远程会话通道。该技术无需创建新进程或网络连接,而是复用目标系统既有的认证状态与资源访问权限,使得恶意操作与合法服务行为在进程树与网络流量层面完全融合。 | |
| .003 | 低频时序命令注入劫持 | 低频时序命令注入劫持(Low-Frequency Temporal Command Injection Hijacking)是一种基于合法会话时序特征的隐蔽劫持技术。攻击者通过长期监控目标会话的交互模式,识别用户操作的时间规律与命令特征,在会话空闲期或正常命令间隔中注入恶意指令。注入命令经过语义混淆处理,模拟用户历史操作模式,并以低频率、小数据量的方式执行,使恶意活动完美融入用户常规行为流,规避基于命令速率或内容特征的异常检测。 | |
| .004 | 凭证反射式会话接管 | 凭证反射式会话接管(Credential Reflection Session Takeover)是一种利用被盗凭证反向构造合法会话的隐蔽劫持技术。攻击者通过窃取有效的身份认证令牌(如Kerberos TGT票据)或会话Cookie,在相同网络环境中发起并行会话,通过凭证反射机制绕过双因素认证,并利用合法用户的网络行为特征掩盖恶意活动。该技术通过精准复现原始会话的上下文环境(包括源IP地理位置、设备指纹、时间窗口等),使新建立的恶意会话与既有合法会话在防御系统视角下呈现高度一致性。 | |
| T1210 | 远程服务漏洞利用 | 远程服务漏洞利用指攻击者通过利用网络服务的编程缺陷或配置错误,在未授权情况下执行恶意代码,通常用于横向移动和权限提升。传统检测方法侧重于识别异常进程行为(如非预期子进程创建)、内存注入痕迹,以及网络流量中的已知漏洞特征模式(如特定偏移量的缓冲区溢出尝试)。防御措施包括强化服务配置、及时修补漏洞,以及部署基于行为分析的端点检测系统。 | |
| T1091 | 通过可移动媒体复制 | 通过可移动媒体复制是指攻击者利用USB设备、移动存储介质或仿冒外设,通过自动运行功能或用户诱导执行恶意代码的初始访问或横向移动技术。传统防御手段主要通过监控可移动媒体的文件访问行为、检测异常进程创建以及分析设备连接后的网络活动来识别威胁。例如,限制自动运行功能、实施设备白名单策略以及扫描可移动媒体中的可疑文件。 | |
| .001 | 隐蔽式固件植入 | 隐蔽式固件植入(Covert Firmware Implantation)是指攻击者通过篡改可移动媒体设备的固件层,将恶意代码嵌入存储控制器或USB协议栈等底层模块,实现恶意载荷的深度驻留与隐蔽传播。该技术突破传统文件系统层面的感染方式,利用设备固件与宿主操作系统间的信任链关系,使恶意代码在设备初始化阶段即获得执行权限。由于固件代码通常不经过常规杀毒软件扫描,此类攻击可规避基于文件特征匹配的检测机制。 | |
| .002 | 合法文件镜像克隆 | 合法文件镜像克隆(Legitimate File Image Cloning)是一种通过精确复制目标系统内合法文件属性(包括文件名、图标、数字签名及元数据),构造具有双重功能的恶意可执行文件的技术。攻击者利用用户对可信文件的认知惯性,将恶意载荷与合法程序捆绑,当用户通过可移动媒体打开克隆文件时,恶意代码将在合法进程掩护下执行横向移动或初始访问操作。 | |
| .003 | 无线充电设备劫持 | 无线充电设备劫持(Wireless Charging Device Hijacking)是指攻击者通过改造无线充电设备或USB充电线缆,在电力传输通道中叠加数据注入能力的攻击技术。该技术利用Qi等无线充电协议的电磁耦合特性,或通过定制USB线缆内置微控制器,在设备充电过程中建立隐蔽的通信通道,实现无物理接口的恶意代码传播。 | |
| .004 | 多阶段延迟激活 | 多阶段延迟激活(Multi-Stage Delayed Activation)是指恶意代码在通过可移动媒体植入目标系统后,通过环境感知、时间触发或事件驱动等机制延迟执行攻击载荷的技术。该技术通过分离感染阶段与攻击阶段,规避即时行为检测,同时利用系统信任链逐步建立持久化控制。 | |