密态对抗中的信息收集战术是指攻击者在数据采集过程中,通过行为解耦、流量同构、时序调控等隐蔽化手段,实现敏感信息窃取与目标环境探测行为不可识别的对抗策略体系。
在信息收集阶段,匿迹战术的核心在于将数据捕获行为深度嵌入目标系统的正常业务交互流程。攻击者通过协议语义复用技术,将数据截取操作转化为符合业务逻辑的合法请求序列,利用系统固有功能实现信息采集的透明化。在行为时序层面,采用非连续化作业调度机制,通过随机化操作间隔与碎片化执行节奏,规避基于时间序列分析的异常检测。信息传输环节构建多层级数据封装架构,将窃取数据分散隐写于不同协议载荷中,并引入动态流量染色技术,使数据渗出通道与正常业务流量呈现同源同构特征。
匿迹战术使信息收集行为与合法业务操作的区分度降至最低,有效规避了传统基于数据流量特征或行为阈值的检测机制。攻击者通过建立持续隐蔽的数据渗出通道,实现了对目标环境的长周期监控与精准情报积累,为后续攻击阶段提供动态更新的决策依据。同时,去中心化的数据汇聚机制切断了收集行为与最终控制节点的直接关联,显著提升了攻击基础设施的抗溯源能力,使得防御方难以通过局部行为捕获还原完整攻击链条。
该战术对依赖静态特征库或固定行为模式的传统检测体系形成降维打击,其协议层深度伪装特性导致网络层审计机制全面失效。防御方需构建多维行为指纹图谱,结合数据流上下文语义分析、操作序列熵值监测及跨协议关联验证技术,识别隐蔽的数据重组与异常传输模式。同时应建立动态数据血缘追踪机制,通过敏感信息标记与传播路径回溯,阻断高隐蔽信息收集行为的数据聚合过程。
| ID | Name | Description | |
| T1557 | 中间人攻击 | 中间人攻击指攻击者通过协议操纵或网络拓扑欺骗,在通信双方之间建立隐蔽的代理节点,进而实施数据窃取、会话劫持或流量篡改。传统防御手段依赖证书验证、协议完整性检查及异常流量分析,可通过部署DNSSEC、HSTS强制加密、无线网络指纹认证等措施进行缓解。监控重点包括ARP表异常变更、DNS解析异常及SSL/TLS协议降级事件。 | |
| .001 | HTTPS降级与协议模拟 | HTTPS降级与协议模拟(HTTPS Downgrade and Protocol Simulation)是一种通过强制通信协议降级实现流量劫持的中间人攻击技术。攻击者利用网络协议协商机制缺陷,将加密通信链路(如TLS 1.3)降级至低安全等级协议版本(如SSL 3.0),同时构建与目标服务高度仿真的交互环境,使受害者误认为仍处于安全通信状态。该技术可突破现代加密体系防护,在保持会话可信表象下实施数据窃取或篡改操作。 | |
| .002 | 合法证书滥用中间人 | 合法证书滥用中间人(Legitimate Certificate Abuse in MitM)指攻击者通过窃取或非法获取可信数字证书,构建具有合法身份认证的中间人劫持体系。该技术突破传统基于证书权威性验证的防御机制,使恶意代理节点获得与正规服务等同的信任等级。攻击者通常利用证书颁发机构漏洞、供应链污染或内存提取等手段获取有效证书私钥,建立具备完整证书链验证能力的中间人节点,实现通信链路的"合法化"劫持。 | |
| .003 | 无线接入点伪装劫持 | 无线接入点伪装劫持(Rogue AP Spoofing Hijacking)是针对无线网络环境设计的中间人攻击技术。攻击者通过仿冒合法无线热点(如公共WiFi、企业WPA2-Enterprise节点),诱导终端设备接入恶意无线网络,进而实施全流量监控与篡改。该技术利用无线协议的开放式认证特性,结合社会工程手段提升伪装可信度,使受害者主动接入攻击者控制的网络基础设施。 | |
| .004 | DNS透明化流量重定向 | DNS透明化流量重定向(DNS Transparent Redirection)是通过污染域名解析过程实现流量牵引的中间人攻击技术。攻击者在不中断现有DNS服务的前提下,通过篡改响应报文或劫持解析链路,将特定域名查询指向恶意代理节点。该技术区别于传统DNS欺骗,强调维持UDP/TCP协议交互的完整性与时序特征,避免触发DNSSEC验证告警或响应异常检测。 | |
| T1530 | 从云存储获取数据 | Adversaries may access data from cloud storage. | |
| .001 | 合法凭证滥用扫描 | 合法凭证滥用扫描(Legitimate Credential Abuse Scanning)是指攻击者通过窃取或泄露的合法身份凭证,模拟正常用户行为模式访问云存储服务的技术。该技术利用云服务商的身份认证机制缺陷,将恶意数据获取行为伪装成授权用户的标准操作,规避基于异常身份识别的检测机制。攻击者通常结合凭证泄露事件或弱权限配置漏洞,在身份认证层面构建合法访问通道,使数据抽取行为融入日常业务操作流程。 | |
| .002 | 多租户API调用混淆 | 多租户API调用混淆(Multi-Tenant API Call Obfuscation)是一种利用云平台多租户架构特性隐匿数据窃取行为的技术。攻击者通过控制多个租户账户,将数据窃取任务分解为跨租户的分布式API请求,利用云服务商对跨租户流量关联分析能力的不足,实现恶意行为的特征稀释。该技术特别适用于具有资源共享特性的云存储服务(如AWS S3跨账户访问),通过租户间权限继承和资源映射关系构建隐蔽的数据传输通道。 | |
| .003 | 云存储元数据伪装 | 云存储元数据伪装(Cloud Storage Metadata Camouflage)是通过篡改API请求中的元数据字段,使恶意数据访问行为呈现为管理维护操作的技术。攻击者利用云存储服务的管理接口特性(如AWS S3的bucket policy更新API),在数据窃取请求中注入管理类操作的特征参数,干扰安全系统的意图识别能力。该技术的关键在于深度解析云服务API的语义结构,构建具有双重功能的混合型请求,在实现数据抽取的同时伪装成配置审计、备份验证等合规操作。 | |
| .004 | 低频分批次数据抽取 | 低频分批次数据抽取(Low-Frequency Batch Data Exfiltration)是通过延长窃取周期、降低单次数据量的方式规避流量监测的技术。攻击者将大规模数据资产拆分为多个微批次,按照预设时间策略(如配合业务高峰时段)进行间歇式传输,使单次数据流量低于云服务商或企业设置的异常阈值。该技术结合云存储的数据分片机制和合法业务的数据同步模式,构建具有时序隐蔽性的长期渗透通道。 | |
| T1213 | 从信息存储库获取数据 |
从信息存储库获取数据指攻击者通过访问企业数据库、协作平台等存储系统窃取敏感信息的行为,这些信息可为后续攻击提供关键情报。防御措施通常包括监控特权账户访问、检测异常文档检索模式(如短时间内大量下载)以及部署用户行为分析(UBA)系统识别非常规操作序列。 为规避传统检测机制,攻击者发展出多种隐蔽数据获取技术,通过身份伪装、协议仿真、流量稀释等策略,将恶意操作融入正常业务流程,形成"低特征、高持续"的新型数据窃取模式。 现有匿迹技术的核心在于多维度的合法化伪装与攻击痕迹稀释:合法凭证滥用通过身份信任机制绕过认证监控,使数据访问行为获得表面合法性;API流量伪装利用协议合规性掩盖自动化爬取特征,使恶意请求与正常业务交互难以区分;数据碎片化检索通过时空维度解构攻击行为,使单次操作特征低于检测阈值;云同步隐匿下载则借助企业基础设施的信任链,将数据泄露过程分解为多个合规操作环节。四类技术的共性是通过深度利用目标环境信任关系(身份、协议、业务流程),将攻击行为解构重组为系统认可的合法交互,迫使防御方必须实施跨系统日志关联、细粒度行为建模等高阶检测手段。 匿迹技术的演进导致传统基于单点日志分析与批量操作检测的防御体系逐渐失效,防御方需构建身份行为基线、API交互模式画像、数据访问上下文分析等能力,并整合云原生安全监控与本地日志审计数据,方能有效识别隐蔽的数据窃取行为。 |
|
| .001 | 合法凭证滥用隐蔽访问 |
合法凭证滥用隐蔽访问(Legitimate Credential Abuse for Stealthy Access)是指攻击者通过窃取或社会工程获取的有效身份凭证,以合法用户身份访问信息存储库的技术。该技术利用目标系统对已验证身份的信任机制,绕过基于异常登录检测的防护体系,通过模拟正常用户操作模式(如访问频率、时间窗口、交互路径)实现数据窃取的隐蔽化。攻击者通常结合凭证盗窃(如T1552)与权限维持(如T1098)技术,确保对存储库的长期低可见访问。 该技术的匿迹性源于身份可信度与行为模式仿真的双重保护。攻击者首先通过钓鱼攻击或密码喷洒获取具有存储库访问权限的合法凭证,利用目标系统对身份认证的信任机制规避登录异常检测。在操作层面,严格遵循目标组织的业务时间规律(如工作日9:00-18:00)、采用人类操作节奏(如页面停留时间随机化、鼠标移动轨迹模拟)以及控制单次数据获取量(如每次下载不超过10份文档),使访问行为与正常用户画像高度吻合。技术实现需解决凭证生命周期管理(定期更新失效凭证)、权限梯度利用(优先使用低权限账户避免触发特权监控)以及日志清洗(清除或篡改访问日志记录)等关键问题,最终形成"身份合法、行为合规"的隐蔽数据窃取通道。 |
|
| .002 | API流量伪装分页爬取 |
API流量伪装分页爬取(API Traffic Camouflage with Paginated Crawling)是通过模拟合法应用程序接口调用模式,对信息存储库实施隐蔽数据抽取的技术。攻击者分析目标存储库的标准API交互特征(如请求头结构、参数格式、响应处理),构建符合平台规范的自动化爬虫程序,通过分页参数动态调整、请求间隔随机化以及设备指纹伪装等手段,将恶意爬取行为隐匿在正常业务API流量中。该技术尤其适用于Confluence、SharePoint等提供标准化接口的企业协作平台。 匿迹机制的核心在于协议层特征融合与流量时序混淆。攻击者首先逆向工程目标API的认证流程(如OAuth令牌刷新机制)和数据结构(如JSON响应模板),确保爬虫请求在协议层面与合法客户端完全一致。分页策略采用渐进式参数递进(如每5分钟请求下一页数据)而非连续密集访问,避免触发API速率限制告警。流量特征伪装包括:使用主流浏览器User-Agent头、模拟地域性IP访问特征、注入合法Referer参数等。高级变种会结合机器学习动态调整请求模式,例如在检测到目标系统负载升高时自动暂停爬取,或根据历史访问数据生成合理的搜索关键词以掩盖定向数据收集意图。 |
|
| .003 | 数据碎片化时序检索 |
数据碎片化时序检索(Temporal Fragmented Data Retrieval)是通过将大规模数据窃取任务分解为多个微请求,并按非连续时间序列执行的隐蔽数据获取技术。攻击者通过分析目标存储库的异常检测阈值(如单用户单日下载量限制),设计碎片化检索算法,将目标数据集拆分为数百个互不关联的微查询,利用自然时间间隔(如每小时执行1-2次请求)和节假日流量低谷期完成数据拼图重组,规避基于总量统计的检测机制。 该技术通过时空维度双重解耦实现匿迹效果。时间层面采用泊松分布算法生成请求间隔,模拟人类操作的时间随机性;空间层面将数据检索条件离散化,例如通过多个无关搜索关键词组合间接定位目标数据。技术实施需解决三个关键问题:分布式任务调度(使用多个低权限账户并行执行碎片请求)、数据关联重建(基于内容特征的碎片重组算法)以及元数据擦除(清除文件属性中的时间戳和用户标记)。最终形成的检索模式在单个会话层面呈现合法特征,仅当全局聚合分析时才能发现异常,但受限于存储库日志的留存周期与跨账户关联分析能力,防御方往往难以实施有效检测。 |
|
| .004 | 云存储同步隐匿下载 |
云存储同步隐匿下载(Cloud Storage Sync-based Covert Download)是滥用企业云存储服务(如OneDrive、SharePoint Online)的同步功能实现数据隐蔽外传的技术。攻击者将目标文档添加到已授权的同步目录,利用客户端定期同步机制将数据自动下载至受控端点,再通过合法云API或Web界面进行二次外传。该技术将恶意数据流动嵌入企业正常的云同步流量中,规避基于异常下载行为的检测规则。 匿迹性体现在同步协议特征合规与数据流路径伪装两个方面。攻击者首先通过权限提升或凭证窃取获得同步目录写入权限,将敏感文档以版本更新或协作编辑名义添加至同步队列。同步过程利用TLS加密通道和标准OneDrive同步协议,使下载行为在流量层面与正常文件同步无法区分。数据外传阶段采用云服务商提供的合法共享接口(如生成临时分享链接),结合时间延迟策略(如72小时后触发外传)降低操作关联性。防御方需同时监控同步客户端的异常文件操作与云API的异常共享行为,但因两类日志通常分散在不同系统,实施关联分析的难度显著增加。 |
|
| T1025 | 从可移动介质获取数据 | 从可移动介质获取数据是指攻击者通过已控制的系统读取连接在主机上的移动存储设备,收集敏感信息用于后续攻击活动。传统检测方法侧重于监控文件系统访问日志、分析进程命令行参数,以及检测可疑的外部设备连接事件。防御措施包括限制可移动介质使用权限、部署设备控制策略,以及监控自动化收集工具的行为特征。 | |
| T1005 | 从本地系统获取数据 | 从本地系统获取数据是指攻击者通过访问目标系统的文件系统、数据库或配置存储,收集敏感信息以供后续攻击使用的技术。传统检测手段侧重于监控异常文件访问模式(如大量敏感目录遍历)、可疑进程创建事件(如非授权使用命令行工具)以及非常规数据操作行为(如批量注册表导出)。防御措施包括实施严格的进程白名单、监控命令行活动日志、部署文件完整性监控(FIM)系统等。 | |
| .001 | 内存驻留数据提取 | 内存驻留数据提取(Memory-Resident Data Extraction)是一种通过全程在内存中完成数据采集与处理的隐蔽技术。攻击者利用无文件攻击技术,通过进程注入或内存加载恶意模块的方式,直接在目标系统内存中检索敏感数据,避免在磁盘上留下任何文件痕迹。该技术通过挂钩系统API或利用合法进程的内存空间,实时截取正在处理的业务数据(如数据库缓存、应用程序临时文件),实现数据采集过程的全内存化操作,规避传统基于磁盘文件监控的检测机制。 | |
| .002 | 合法系统工具链式调用 | 合法系统工具链式调用(Legitimate Tool Chain Invocation)是一种通过组合使用操作系统内置工具完成数据收集的隐蔽技术。攻击者利用PowerShell、WMIC、certutil等系统管理工具的功能组合,构建无需部署恶意软件的数据采集链。通过将敏感文件读取、数据编码、临时存储等操作拆解为标准命令序列,并利用工具间的输入输出管道传递数据,使整个采集过程呈现为正常的系统管理行为。 | |
| .003 | 数据分片隐匿传输 | 数据分片隐匿传输(Data Fragmentation and Stealthy Exfiltration)是一种通过将敏感数据拆分为微片段并混入正常网络流量的隐蔽传输技术。攻击者利用协议合规的通信通道(如HTTP分段下载、DNS TXT记录查询),将数据片段封装为合法业务交互的组成部分。通过控制分片大小、传输间隔和路由路径,使数据泄露流量在协议合规性、流量规模和时序特征上与正常业务流量高度相似。 | |
| .004 | 时间延迟渐进式收集 | 时间延迟渐进式收集(Time-Delayed Progressive Collection)是一种通过延长数据采集周期降低检测概率的隐蔽技术。攻击者将传统的高强度批量数据窃取行为,拆解为多个低强度、长间隔的微量采集任务。通过匹配目标系统的业务周期(如季度报表生成时段)或运维窗口(如夜间备份时段),在合法操作的时间缝隙中执行数据收集,使单次行为特征低于检测阈值。 | |
| .005 | 文件属性伪装与元数据伪造 | 文件属性伪装与元数据伪造(File Attribute Spoofing and Metadata Forgery)是一种通过篡改文件系统元数据隐藏敏感数据存在的技术。攻击者利用NTFS交换数据流(ADS)、文件扩展名伪装、时间戳篡改等手段,使窃取的数据文件在常规检查中呈现为合法系统文件。通过将敏感数据存储在系统保留区域(如$MFT未分配空间)或伪装成缓存文件,规避基于文件属性特征的检测。 | |
| T1039 | 从网络共享驱动器获取数据 | 从网络共享驱动器获取数据是指攻击者通过访问企业内网文件共享服务,非法提取敏感信息的数据窃取技术。攻击者通常利用合法凭证或协议漏洞,通过SMB、NFS等标准协议访问共享目录,结合命令行工具或API接口批量下载目标文件。传统防御手段主要依赖文件访问日志审计、异常权限变更监控以及网络流量内容检测等技术,通过分析账户行为异常、数据流出量突变等特征识别潜在威胁。 | |
| T1602 | 从配置存储库获取数据 | 从配置存储库获取数据是指攻击者通过访问网络设备、服务器等系统的配置存储库(如SNMP MIB、设备配置文件、云服务元数据接口),收集系统架构、安全策略、设备参数等敏感信息的技术。该技术常利用SNMP、SSH、HTTP/S等协议进行数据提取,防御方可通过监控非常规协议端口访问、异常配置查询频次以及未授权凭证使用等行为进行检测。 | |
| .001 | 协议模拟访问 | 协议模拟访问(Protocol Emulation Access)是一种通过模仿合法管理协议通信模式实施隐蔽数据窃取的技术。攻击者通过精确复现SNMP、HTTP/S、SSH等协议的标准交互流程,将恶意配置查询请求嵌入正常的设备管理流量中。该技术利用网络运维中普遍存在的自动化配置同步机制,通过构造符合RFC规范的协议数据单元(PDU),使配置提取行为在协议层与合法操作完全同构,规避基于协议异常分析的检测机制。 | |
| .002 | 加密配置通道 | 加密配置通道(Encrypted Configuration Channel)是一种利用加密协议隧道隐藏配置数据窃取行为的技术。攻击者通过强制启用SNMPv3、HTTPS或SSH等加密协议与配置存储库建立安全通信链路,将敏感配置数据的传输过程完全封装在加密会话中。该技术不仅保护数据传输的机密性,更重要的是通过加密载荷模糊化关键操作指令(如SNMP GetRequest参数、SSH远程命令),使得网络层检测设备无法通过深度包解析识别恶意意图。 | |
| .003 | 低频定时爬取 | 低频定时爬取(Low-Frequency Scheduled Crawling)是通过延长数据采集周期、智能匹配运维节奏实现隐蔽配置窃取的技术。攻击者通过长期监测目标配置存储库的访问模式,将恶意查询任务拆解为低频率、小批量的数据请求,并严格遵循目标系统的维护时间窗口(如每月补丁周期、每日备份时段)执行操作。该技术将传统高强度的批量数据窃取转化为细粒度、长周期的持续渗透,显著降低单次操作的异常性指标。 | |
| .004 | 凭证伪装渗透 | 凭证伪装渗透(Credential Camouflage Infiltration)是通过盗用或伪造合法身份凭证实现配置存储库隐蔽访问的技术。攻击者通过钓鱼攻击、内存窃取或弱口令爆破获取管理员账户权限后,在配置查询过程中完整模拟该账户的典型操作模式(如常用指令集、访问时间规律、设备白名单)。该技术不仅规避身份认证机制的告警,还通过行为克隆使恶意活动与历史合法操作记录保持行为一致性。 | |
| T1115 | 剪贴板数据 | 剪贴板数据窃取是指攻击者通过监控系统剪贴板内容获取敏感信息的技术手段。攻击者利用操作系统提供的剪贴板访问接口(如Windows的clip.exe或macOS的pbpaste),在用户复制粘贴操作过程中窃取凭证、加密密钥等高价值数据。传统防御手段主要通过监控剪贴板访问行为异常(如非用户主动触发的读取操作)或检测可疑进程的API调用模式进行防护。 | |
| .001 | 内存驻留型剪贴板监听 | 内存驻留型剪贴板监听(Memory-Resident Clipboard Monitoring)是一种通过直接挂钩系统内存操作实现的无文件化数据窃取技术。该技术通过劫持操作系统剪贴板管理模块的API调用,在内存层面实时捕获剪贴板内容变更事件,全程不产生磁盘文件或注册表修改痕迹。攻击者利用进程注入或内核驱动挂钩技术,将监控代码植入合法系统进程地址空间,通过内存映射方式直接读取剪贴板数据缓冲区,有效规避传统基于文件行为检测的安全机制。 | |
| .002 | 内容特征筛选型数据捕获 | 内容特征筛选型数据捕获(Content-Filtered Data Capture)是一种基于语义分析的智能化剪贴板监控技术。该技术通过预设目标数据特征(如加密货币地址格式、特定字段标识符等),对剪贴板内容进行实时过滤,仅当检测到符合预定规则的高价值信息时才触发数据外传,从而大幅降低异常数据传输频次。攻击者结合正则表达式匹配、自然语言处理等技术构建动态过滤引擎,有效提升攻击行为的精准性与隐蔽性。 | |
| .003 | 伪造进程上下文剪贴板访问 | 伪造进程上下文剪贴板访问(Spoofed Process Context Clipboard Access)是一种通过模拟合法应用程序行为实施剪贴板监控的技术。该技术通过逆向分析目标系统常用软件(如办公套件、设计工具)的剪贴板访问模式,精确复现其API调用序列与内存操作特征,使恶意剪贴板读取行为在进程行为画像、系统调用链等维度与正常应用操作具有高度相似性。攻击者利用动态链接库劫持或COM对象伪装技术,将恶意代码嵌入具有剪贴板访问权限的合法进程上下文。 | |
| .004 | 加密隧道化剪贴板数据传输 | 加密隧道化剪贴板数据传输(Encrypted Tunneled Clipboard Exfiltration)是一种将窃取的剪贴板数据通过加密信道隐匿传输的技术。该技术通过建立双向加密通信隧道,将剪贴板内容分割为多个加密数据块,并嵌入常见应用层协议(如HTTPS、DNS TXT记录)进行传输。攻击者采用前向安全密钥交换协议与动态混淆算法,确保每次传输的加密参数与流量特征均具有唯一性,有效对抗深度包检测与流量指纹分析。 | |
| T1113 | 屏幕捕获 | 屏幕捕获是攻击者通过截取目标系统显示界面获取敏感信息的常见技术手段,通常利用操作系统原生API(如Windows GDI32或macOS CoreGraphics)或第三方截屏工具实现。防御方可通过监控可疑进程的图形接口调用、检测异常图像文件生成,以及分析窗口焦点突变等行为特征进行识别。在取证层面,内存转储分析和剪贴板历史监控也被用于发现无文件截屏攻击的痕迹。 | |
| .001 | 无文件内存驻留捕获 | 无文件内存驻留捕获(Fileless Memory-Resident Capture)是一种通过完全规避磁盘I/O操作实现隐蔽屏幕截取的技术。攻击者利用内存驻留技术,将屏幕图像数据直接存储在进程内存中,通过Hook系统图形设备接口(GDI)或DirectX API实时捕获显示内容,并采用内存映射方式处理图像数据。该技术避免生成任何磁盘文件,规避基于文件创建监控的检测机制,同时利用合法系统进程(如explorer.exe)的内存空间作为暂存区,实现屏幕数据的非持久化处理。 | |
| .002 | 屏幕图像隐写传输 | 屏幕图像隐写传输(Steganographic Screen Data Exfiltration)是一种将截屏数据嵌入合法通信协议实现隐蔽回传的技术。攻击者在获取屏幕图像后,通过自适应隐写算法将像素数据编码至正常网络流量的载体文件(如网页图片、文档附件),利用HTTPS等加密通道传输。该技术通过双重隐匿机制——内容层的隐写嵌入与传输层的加密保护,使防御方既无法从网络流量中直接提取截屏数据,也难以识别载体文件的异常特征。 | |
| .003 | 合法进程劫持截屏 | 合法进程劫持截屏(Legitimate Process Hijacking for Capture)是一种通过劫持系统内置截屏功能实现隐蔽操作的攻击技术。攻击者通过DLL注入或COM劫持技术,接管操作系统原生截屏组件(如Windows Snipping Tool或macOS Grab的底层服务),利用合法进程的API调用链执行恶意截屏操作。该技术使截屏行为在进程树、API调用栈等维度均呈现为正常系统活动,规避基于进程行为分析的检测机制。 | |
| T1560 | 归档收集数据 | 归档收集数据是攻击者在渗透过程中对窃取信息进行压缩加密处理的技术,旨在降低数据泄露风险并规避检测。攻击者通常使用系统自带工具(如tar、zip)或第三方库对数据进行归档处理,防御方可通过对压缩工具进程的监控、异常命令行参数检测,以及网络流量中加密文件特征的识别来进行防护。现有检测手段主要依赖文件头特征分析、熵值检测和传输行为异常识别等技术。 | |
| .001 | 多层嵌套压缩加密 | 多层嵌套压缩加密(Multi-layer Nested Compression Encryption)是一种通过复合压缩算法与加密协议构建数据保护层的技术。攻击者在数据外传前,采用多层级联的压缩工具(如7-Zip、WinRAR)与加密算法(AES-256、ChaCha20),对窃取数据进行迭代处理。每层压缩加密采用不同算法参数,形成洋葱式防护结构,有效增加数据恢复难度。该技术通过算法组合的复杂性对抗取证分析,同时利用压缩降低数据体积以规避流量异常检测。 | |
| .002 | 隐写式数据封装 | 隐写式数据封装(Steganographic Data Containerization)是一种将窃密数据嵌入到载体文件中的高级隐匿技术。攻击者利用数字媒体文件(如图像、音频、视频)的冗余空间,通过LSB(最低有效位)替换、DCT系数调整等算法,将压缩加密后的数据隐藏其中。该技术创造性地将数据归档过程与隐写操作融合,使窃密数据以视觉/听觉不可感知的形式存在于合法文件中,同时保留载体文件的格式完整性与功能可用性。 | |
| .003 | 分片式时空分离归档 | 分片式时空分离归档(Fragmented Spatiotemporal Archiving)是一种通过时空维度解构数据归档过程的技术。攻击者将待外传数据分割为多个加密分片,通过不同传输渠道(如HTTP、DNS、SMTP)分批次发送,并设置动态时间间隔控制传输节奏。每个分片采用独立加密密钥与压缩算法,且附加校验信息确保重组完整性。该技术突破传统集中式归档模式,通过时空维度分散化降低单次传输风险。 | |
| .004 | 合法文件格式伪装 | 合法文件格式伪装(Legitimate File Format Spoofing)是通过仿冒常见办公文档或系统文件的格式特征实现数据隐匿的技术。攻击者将压缩加密后的数据嵌入经过结构仿真的文件容器(如DOCX、PDF),并构建完整的文件元数据体系。通过精确复制目标格式的文件头、目录结构、校验信息等特征,使恶意归档文件在文件类型检测、内容预览等环节呈现为正常文档,实则包含加密窃密数据。 | |
| T1074 | 数据分段 | 数据分段是攻击者在数据外泄前对窃取信息进行集中暂存处理的战术环节,通常涉及数据聚合、格式转换和临时存储等操作。传统防御手段通过监控异常文件操作(如大量文件被复制到临时目录)、检测压缩加密工具使用痕迹,以及分析存储路径的合规性来识别数据分段行为。防御方重点关注系统回收站、临时文件夹等敏感目录的文件变化,并利用文件指纹比对技术发现可疑数据聚合。 | |
| .001 | 加密分块存储 | 加密分块存储(Encrypted Chunk Storage)是一种将窃取数据分割为加密数据块并分散存储的隐蔽数据处理技术。攻击者在数据收集阶段即采用流式加密算法对数据进行实时分块加密,每个数据块使用独立密钥,并采用不同的文件扩展名伪装成系统日志或缓存文件。该技术通过密码学手段破坏数据完整性特征,使防御方难以通过文件内容分析识别敏感信息。 | |
| .002 | 合法系统目录寄生 | 合法系统目录寄生(Legitimate Directory Parasitism)是指攻击者将暂存数据嵌入系统预设或高频访问的合法目录结构,利用文件系统白名单机制实现隐蔽存储的技术。通过模仿系统更新缓存、应用临时文件等标准目录操作模式,将窃取数据伪装成正常系统进程产生的中间文件,规避基于存储路径异常的检测规则。 | |
| .003 | 分布式云暂存 | 分布式云暂存(Distributed Cloud Staging)是利用多云存储服务构建去中心化数据暂存节点的技术。攻击者将窃取数据分割后上传至多个云服务商的对象存储(如AWS S3、Azure Blob),通过API网关实现数据块的动态调度与重组,利用云服务商之间的网络隔离特性阻断防御方的关联分析。 | |
| .004 | 元数据混淆存储 | 元数据混淆存储(Metadata Obfuscation Storage)是通过篡改文件系统元数据属性实现数据隐蔽暂存的技术。攻击者深度修改文件的创建时间、修改时间、所有者信息等元数据字段,使其与周边合法文件形成统计特征一致性,同时采用NTFS交换数据流(ADS)或Linux扩展属性(xattr)等高级存储特性隐藏数据实体。 | |
| T1185 | 浏览器会话劫持 | 浏览器会话劫持指攻击者通过技术手段非法获取并操纵用户的浏览器会话状态,进而实施未授权访问或数据窃取。传统攻击方式包括Cookie窃取、SSL剥离、代理注入等,防御方通常通过HTTPS强制实施、证书钉扎、进程行为监控等手段进行防护。由于该技术直接利用浏览器自身功能实现攻击,检测需依赖细粒度的网络流量分析、证书链验证及扩展行为审计。 | |
| .001 | 浏览器扩展隐身劫持 | 浏览器扩展隐身劫持(Stealthy Browser Extension Hijacking)是一种通过篡改合法浏览器扩展功能实现会话控制的隐蔽攻击技术。攻击者利用浏览器扩展的权限体系漏洞,在用户安装的合法扩展中注入恶意代码,劫持HTTP会话令牌、篡改通信内容或实施中间人攻击。该技术通过滥用浏览器扩展的本地存储访问、网络请求拦截等原生API接口,在保持扩展基础功能正常运作的同时,实现会话数据的隐蔽窃取与操作,形成"合法外壳包裹恶意内核"的攻击形态。 | |
| .002 | 进程注入型无痕会话重定向 | 进程注入型无痕会话重定向(Process Injection-based Session Redirection)是一种通过动态注入浏览器进程实现流量劫持的高阶攻击技术。攻击者利用浏览器进程内存管理机制,将恶意载荷注入渲染进程或网络服务进程,劫持WebSocket连接、篡改HTTP请求头或建立隐蔽代理通道。该技术通过内存驻留避免磁盘文件写入,利用浏览器进程的合法身份绕过网络监控,并继承进程的SSL证书和会话状态实现透明化认证绕过。 | |
| .003 | SSL中间人证书伪装劫持 | SSL中间人证书伪装劫持(SSL MITM Certificate Spoofing Hijacking)是一种通过伪造可信SSL证书实施会话劫持的加密层攻击技术。攻击者利用自签名证书或窃取的CA私钥生成伪冒证书,在目标系统中预置为可信根证书,从而建立"合法"的中间人代理。该技术通过SSL/TLS协议层的证书信任链欺诈,实现对HTTPS流量的透明解密与篡改,同时保持浏览器地址栏的HTTPS锁标志正常显示,达到视觉欺骗效果。 | |
| T1114 | 电子邮件收集 | 电子邮件收集是指攻击者通过截取、爬取或转发等手段获取目标邮箱中的敏感信息,通常作为情报收集、社会工程攻击的前置环节。传统检测手段主要依赖分析异常登录行为、监控邮件转发规则变更、检测大规模数据导出操作等防御措施,例如通过审计邮箱自动转发日志、分析IMAP协议命令模式、监控PST文件异常访问等行为特征。 | |
| .001 | 加密通道邮件数据截取 | 加密通道邮件数据截取(Encrypted Channel Email Interception)是通过劫持加密邮件传输链路实现隐蔽数据收集的技术。攻击者利用中间人攻击或协议漏洞,在TLS加密的SMTP/IMAP会话中植入截取模块,在不破坏加密隧道完整性的前提下获取邮件内容。该技术通过保持加密通道表象的合法性,规避传统基于流量明文检测的安全机制,同时结合内存注入、协议栈旁路监听等手法,实现邮件正文、附件的隐蔽获取。 | |
| .002 | 合法邮件客户端协议模拟 | 合法邮件客户端协议模拟(Legitimate Email Client Protocol Emulation)是通过精确复现主流邮件客户端通信特征实现隐蔽收集的技术。攻击者深度解析Outlook、Thunderbird等软件的协议交互模式,在恶意工具中构建包括MIME编码策略、时间戳生成算法、TLS会话恢复机制在内的完整行为特征集,使恶意流量与正常邮件客户端行为在协议层面无法区分。该技术特别注重模拟客户端特有的错误重试策略、心跳包间隔等微观行为特征,规避基于协议指纹的异常检测。 | |
| .003 | 分布式邮件元数据爬取 | 分布式邮件元数据爬取(Distributed Email Metadata Crawling)是利用僵尸网络进行大规模邮件头信息收集的技术。攻击者将爬取任务分解为元数据片段收集(如发件人、主题、时间戳),通过数千个受控节点以低频率(如每节点每日3-5次查询)向目标邮件服务器发起请求。每个节点仅获取邮件列表的部分字段,最终在控制端通过特征关联算法重构完整元数据图谱,避免触发基于单节点高频访问的检测规则。 | |
| .004 | 邮件自动转发规则隐蔽植入 | 邮件自动转发规则隐蔽植入(Stealthy Email Forwarding Rule Implantation)是通过篡改邮件系统配置实现持久化数据收集的技术。攻击者利用OAuth令牌窃取或API漏洞,在目标邮箱中创建隐藏转发规则(如Exchange的Inbox规则或Gmail过滤器),将特定条件邮件自动转发至攻击者控制的外部账户。该技术通过滥用邮件系统合法功能,使数据外流过程完全遵循平台业务流程,规避基于异常外联的检测。 | |
| T1119 | 自动化收集 | 自动化收集是指攻击者通过脚本、命令行工具或API接口等手段,在已控制系统中自动获取目标数据的技术。传统自动化收集通常表现为集中式、高频次的文件遍历与数据传输,可通过监控异常文件访问模式(如短时间内大量文件打开操作)、检测非常用命令行参数组合或识别异常云API调用频率等手段进行防御。防御措施包括实施细粒度文件访问审计、建立进程行为基线以及部署云操作异常检测系统等。 | |
| .001 | 合法进程行为模拟收集 | 合法进程行为模拟收集(Legitimate Process Behavior Mimicry Collection)是一种通过模仿系统管理工具或业务应用正常行为实施数据窃取的技术。攻击者将数据收集操作嵌入系统备份服务、日志采集模块或运维工具的正常工作流程,利用合法进程的权限和通信渠道实施隐蔽数据外传。该技术通过精确复制系统管理工具的文件访问模式、进程调用链和资源占用特征,使恶意数据收集行为在进程行为层面与合法操作保持高度一致,规避基于异常进程行为的检测机制。 | |
| .002 | 加密数据管道传输 | 加密数据管道传输(Encrypted Data Pipeline Transmission)是通过构建端到端加密通道实现数据隐蔽传输的技术形态。攻击者利用目标系统已授权的加密通信服务(如HTTPS、SSH、TLS等),将窃取数据封装在合法加密会话中进行传输。该技术不仅实现传输内容的加密保护,更重要的是通过复用业务系统既有的加密通信架构,使数据外传流量在协议特征层面与正常业务交互完全一致,规避基于流量内容解密的检测手段。 | |
| .003 | 时序离散化作业调度收集 | 时序离散化作业调度收集(Temporal Discretization Job Scheduling Collection)是通过分散数据收集时序实现行为隐匿的技术。该技术将传统集中式数据窃取任务拆解为多个微任务,按照目标系统作业调度规律(如日志轮转周期、备份时间窗口等)分批次执行,使单次数据收集的规模与频率均低于检测阈值。攻击者通过深度分析目标系统的定时任务执行模式,将恶意收集作业嵌入crontab计划任务、Windows任务调度程序或云平台的自动化工作流中,实现数据窃取行为与合法定时任务的时序同步。 | |
| T1125 | 视频捕获 | 视频捕获指攻击者通过操控摄像头设备或相关应用程序非法获取视觉信息的行为,通常利用系统API或驱动漏洞实现视频流窃取。传统检测手段依赖于监控可疑进程的摄像头调用行为、异常视频文件生成模式或未授权设备激活事件,防御措施包括实施摄像头硬件指示灯强制开启策略、部署API调用行为分析系统等。 | |
| .001 | 合法应用API劫持捕获 | 合法应用API劫持捕获(Legitimate Application API Hijacking Capture)是一种通过寄生在系统可信进程内实施视频窃取的技术。攻击者利用动态链接库注入、进程空洞或COM劫持等方式,将恶意代码植入具有摄像头调用权限的合法应用程序(如视频会议软件、浏览器插件),通过劫持其视频采集API接口实现隐蔽操作。该技术利用白名单进程的合法数字签名和常规行为特征,规避基于进程可信度的检测机制。 | |
| .002 | 加密视频流实时传输 | 加密视频流实时传输(Encrypted Video Stream Live Transmission)是一种在数据层实现端到端隐匿的视频窃取技术。攻击者在视频采集阶段即对原始帧数据进行分块加密,通过自定义协议将加密数据包混入合法网络流量(如HTTPS隧道或视频会议数据流),实现实时传输过程中的内容与传输特征双重隐匿。该技术突破传统"先存储后外传"模式,避免本地留存视频文件引发的反病毒扫描风险。 | |
| T1056 | 输入捕获 | 输入捕获是攻击者通过截获用户输入数据(如键盘记录、屏幕捕获等)获取敏感信息的攻击技术,涉及从硬件驱动层到应用层的多级数据截取。传统检测方法主要通过监控系统API调用模式(如SetWindowsHookEx)、分析驱动程序签名完整性以及检测异常进程内存行为等手段识别攻击行为。防御措施包括实施用户输入通道加密、强化驱动签名验证机制以及部署行为沙箱分析系统。 | |
| .001 | 内存驻留无文件键盘记录 | 内存驻留无文件键盘记录(Memory-Resident Fileless Keylogging)是一种通过直接注入恶意代码至系统内存空间实现输入捕获的高级技术。该技术利用进程注入、内存驻留等技术手段,将键盘监控模块驻留在合法进程内存中,避免在磁盘生成可检测的恶意文件。通过挂钩系统消息循环或输入设备驱动接口,实时截获用户击键事件,并将数据缓存在非结构化内存区域,仅在特定触发条件下进行数据外传,从而规避传统基于文件特征扫描的检测机制。 | |
| .002 | 合法输入接口劫持 | 合法输入接口劫持(Legitimate Input Interface Hijacking)是一种通过篡改系统合法输入处理组件实现隐蔽输入捕获的技术。攻击者通过逆向分析目标系统的输入设备驱动、身份认证接口或可信服务模块,将恶意代码植入其数据处理流程,利用系统预设的信任机制掩盖输入截获行为。典型实现包括伪造HID类驱动过滤回调、劫持生物特征认证中间件或寄生在输入法框架服务中,使输入数据的非法截取过程完全遵循系统预设的安全协议规范。 | |
| .003 | 加密通道实时数据回传 | 加密通道实时数据回传(Encrypted Channel Real-Time Exfiltration)是针对输入捕获数据外传环节设计的隐蔽传输技术。该技术采用实时流式加密与协议隧道相结合的方式,将截获的输入数据分割为多个加密数据包,通过HTTPS、DNS over TLS等加密协议进行即时传输。通过动态密钥协商机制和前向保密技术,确保每个会话使用独立加密参数,同时利用CDN节点或云服务中转数据流,使外传行为在流量层面与合法业务通信无法区分。 | |
| .004 | 用户空间钩子动态伪装 | 用户空间钩子动态伪装(User-space Hook Dynamic Camouflage)是一种通过动态变换钩子位置实现持续隐蔽的输入截获技术。该技术利用地址空间布局随机化(ASLR)对抗技术,在目标进程的用户空间内建立多个冗余钩子点,并根据防御检测状态动态切换激活钩子。通过监控安全产品的扫描行为,实时调整钩子植入位置和劫持方式,确保输入截获模块始终位于防御方检测盲区。 | |
| T1123 | 音频捕获 | 音频捕获技术指攻击者通过软硬件手段非法获取目标设备周围声学信息的情报收集行为,通常利用操作系统API或应用程序接口访问麦克风等音频输入设备。防御措施主要依赖检测异常进程的录音权限获取行为、监控可疑音频文件生成,以及分析应用程序的非常规API调用模式。由于合法语音应用普遍需要持续访问音频设备,准确区分恶意行为存在较高误报风险。 | |
| .001 | 内存驻留音频捕获 | 内存驻留音频捕获(In-Memory Audio Capture)是一种通过非持久化存储方式实施音频窃取的高级技术。该技术利用进程内存作为音频数据的临时存储介质,避免在磁盘生成可检测的音频文件。攻击者通过挂钩系统音频驱动API或劫持语音通信软件的内存缓冲区,直接截取原始音频流并实时转发至远程服务器,全程不触发文件创建操作。其技术核心在于绕过传统基于文件监控的检测机制,实现音频窃取过程的零痕迹驻留。 | |
| .002 | 合法语音服务寄生录音 | 合法语音服务寄生录音(Legitimate Voice Service Parasitism)是指攻击者通过劫持操作系统或应用程序的合法录音功能实施隐蔽音频捕获的技术。该技术利用系统内置语音助手(如Cortana、Siri)、视频会议软件(如Zoom、Teams)或即时通讯工具(如Skype)的录音权限,在用户正常使用过程中同步窃取音频数据。攻击者通过注入恶意代码修改应用程序的音频处理逻辑,将窃取通道与合法功能深度绑定,使得录音行为具备应用层行为的合法性背书。 | |
| .003 | 环境噪声自适应音频截取 | 环境噪声自适应音频截取(Ambient Noise-Adaptive Audio Capture)是一种基于上下文感知的智能窃听技术。该技术通过实时分析环境声学特征,动态调整录音参数与传输策略,使窃取行为融入物理环境噪声背景。攻击者部署的恶意软件集成声纹识别引擎,能够区分人声对话与环境噪声,仅在检测到有效语音时启动高精度录音,并在嘈杂环境中自动降低采样率或暂停捕获,从而减少异常音频设备活动时长。 | |
| .004 | 加密语音信道渗透录音 | 加密语音信道渗透录音(Encrypted Voice Channel Infiltration)是针对端到端加密通信场景设计的音频窃取技术。攻击者通过中间人攻击或客户端漏洞,在加密语音数据被解密呈现给用户前实施截取。该技术不直接访问物理麦克风,而是渗透至应用程序的语音处理管道,在加密信道终端获取明文音频流。典型实现方式包括Hook语音编解码器接口、篡改安全传输协议栈或利用可信平台模块(TPM)的侧信道漏洞。 | |