高隐蔽网络公害中的命令控制战术是指攻击者通过协议伪装、信道隐匿及行为混淆等技术手段,构建难以被监测识别的双向通信链路,实现对抗环境下对受控系统的持久隐蔽操纵。
在命令控制阶段,匿迹战术聚焦于消除传统网络对抗中控制行为的可检测性特征。攻击者通过协议仿形技术将控制指令嵌入合法应用层协议的通信载荷,使恶意流量与业务数据流形成协议特征融合。采用动态化通信架构设计,基于上下文环境自适应调整心跳间隔、数据分片策略及加密模式,规避基于固定行为模式的异常检测。基础设施层面构建多层中继网络,利用公共云服务、边缘节点或物联网设备作为代理跳板,实现控制流量的物理路径隐匿与逻辑拓扑解耦。此外,攻击者通过植入多阶段控制协议,将核心指令分发环节延迟至防御盲区执行,进一步割裂控制行为与恶意载荷的时序关联。
匿迹战术使命令控制行为呈现出业务合法性与环境自适应性双重特征,显著降低了传统基于流量特征或通信阈值的检测机制的有效性。攻击者通过建立抗干扰的弹性通信通道,确保在防御体系持续对抗下仍能维持对受控终端的精确操控能力。隐蔽控制链路的持久存活为攻击者实施多阶段渗透提供了稳定支撑,同时分布式控制架构有效规避了传统基础设施溯源手段,大幅提升了攻击组织的行动容错性与反追踪能力。
该战术对依赖协议特征库匹配或固定通信行为建模的防御技术形成体系化突破,其动态化、情境化的控制模式导致传统检测规则出现特征失效与场景失配。防御方需构建融合协议语义解析、上下文行为建模与异常熵值分析的多维检测框架,通过提取控制流量的隐式特征与时空关联模式实现深度识别。同时应建立网络流量拓扑动态感知机制,结合威胁情报驱动的主动诱捕技术,对隐匿控制节点实施精准定位与先制阻断。
| ID | Name | Description | |
| T1090 | 代理 | 代理技术是攻击者通过中间系统转发网络流量以隐藏真实源头或规避网络限制的战术手段,常用于命令控制、数据渗漏等场景。传统代理技术依赖VPN、SOCKS等标准协议,可通过检测非常用端口通信、分析协议合规性、识别节点地理位置异常等方法进行防御。现代防御体系通常结合流量指纹分析、TLS证书验证和节点信誉评估等机制识别恶意代理行为。 | |
| .001 | 多层暗网代理链 | 多层暗网代理链(Multi-Layer Darknet Proxy Chain)是指攻击者通过构建多层加密匿名网络架构,将通信流量在Tor、I2P等暗网节点间进行多次跳转的隐匿技术。该技术通过至少三个层级的中继节点对流量实施洋葱路由加密,每个节点仅知晓相邻节点的信息,并采用动态路径切换机制避免固定路由模式。技术实现需结合定制化加密协议与流量整形算法,确保各层级间的会话保持与传输效率,同时抵御流量指纹识别。 | |
| .002 | 合法云服务反向代理滥用 | 合法云服务反向代理滥用(Legitimate Cloud Service Reverse Proxy Abuse)指攻击者利用公有云平台提供的反向代理服务(如Cloudflare Workers、AWS CloudFront)作为恶意流量中转层。通过注册合法云服务账户并配置反向代理规则,将C2服务器隐藏在云服务提供的官方域名和IP背后,使得所有通信流量均通过云服务商的网络基础设施进行中转。技术实现需解决证书管理、协议适配和日志擦除等问题,确保云服务安全审计机制无法检测异常。 | |
| .003 | 协议隧道化动态代理 | 协议隧道化动态代理(Protocol-Tunneled Dynamic Proxy)是通过在标准应用层协议内构建加密隧道,实现代理流量深度伪装的技术。该技术将C2通信封装在HTTP/3、WebSocket或MQTT等协议的有效载荷中,并动态切换隧道协议类型以匹配目标网络环境特征。隧道构建采用前向纠错与自适应码率调整技术,确保在高丢包网络环境下维持稳定连接,同时通过协议指纹模拟工具实现与合法客户端的行为一致性。 | |
| T1659 | 内容注入 | 内容注入是攻击者通过操纵网络通信流量向目标系统植入恶意内容的攻击技术,通常通过中间人攻击、协议劫持或上游信道渗透实现。传统防御手段主要依赖TLS流量解密检查、协议一致性验证以及数字签名校验等措施,通过检测异常协议行为或未授权内容修改来识别攻击。但随着网络协议复杂化和云服务架构的普及,传统基于规则匹配的检测方法面临严峻挑战。 | |
| .001 | 协议隧道隐蔽注入 | 协议隧道隐蔽注入(Protocol Tunnel Covert Injection)是一种通过合法协议封装实现恶意内容深度隐匿的注入技术。攻击者利用标准通信协议(如HTTP/2、QUIC)的扩展特性,将恶意载荷嵌入协议规范允许的扩展字段或冗余数据区,借助协议自身的加密与流控机制构建隐蔽传输通道。该技术特别适用于对抗深度包检测系统,通过协议层的合规性伪装实现恶意指令的隐蔽投送,同时利用协议复用机制实现攻击流量与合法业务流的深度耦合。 | |
| .002 | 动态载荷分片拼接 | 动态载荷分片拼接(Dynamic Payload Fragmentation and Reassembly)是一种基于上下文感知的智能内容注入技术。该技术通过实时分析目标通信流的上下文特征,将恶意载荷动态拆解为符合当前会话语义的微片段,并利用协议允许的重传机制或冗余字段进行分布式注入。攻击者通过机器学习模型预测目标系统的响应模式,在多个合法数据包中植入载荷分片,依赖终端系统的自动重组机制完成攻击代码的隐形传输,实现恶意内容在时空维度的碎片化隐匿。 | |
| .003 | 合法服务镜像注入 | 合法服务镜像注入(Legitimate Service Mirror Injection)是一种通过劫持CDN节点或云服务边缘计算资源实施的隐蔽内容注入技术。攻击者通过渗透内容分发网络的缓存服务器或边缘计算节点,在合法服务的响应流中注入恶意内容,利用服务提供商的数字签名和SSL证书为攻击流量赋予可信背书。该技术通过将恶意负载与高信誉度服务绑定,构建出具有供应链攻击特性的注入通道,使得防御方难以通过来源可信度判断内容合法性。 | |
| T1573 | 加密通道 | 加密通道是指攻击者使用密码学手段对通信内容进行加密,以保护命令控制(C2)流量免受窃听或分析的网络对抗技术。传统加密通道通常采用固定加密算法与静态密钥,通过与目标系统建立加密会话实现数据隐蔽传输。防御方可通过SSL/TLS解密、流量特征分析、异常协议检测等手段识别潜在恶意加密通信,例如检测不符合协议规范的加密握手过程、识别非常用端口上的加密流量或分析通信模式的时序异常。 | |
| .001 | 动态密钥轮换加密通道 | 动态密钥轮换加密通道(Dynamic Key Rotation Encrypted Channel)是一种通过周期性变更加密密钥与算法参数来增强通信隐蔽性的技术。攻击者在建立加密通道时,采用基于时间或事件触发的密钥更新机制,每次会话或特定时间间隔自动生成新的加密密钥,并同步更新加密算法的工作模式。该技术不仅规避了静态密钥被逆向破解的风险,还能通过密钥参数的变化干扰流量指纹分析,使得加密流量无法通过固定特征进行模式匹配,显著提升通信链路的抗分析能力。 | |
| .002 | 协议模拟加密隧道 | 协议模拟加密隧道(Protocol-Mimicking Encrypted Tunnel)是一种将恶意加密通信伪装成合法协议流量的高级隐蔽技术。攻击者通过逆向分析主流应用层协议(如HTTP/2、QUIC、MQTT)的加密特征,构建具备相同握手过程、数据封装格式及心跳机制的加密隧道。该技术不仅实现传输层加密,还在应用层协议交互层面完全模仿目标协议的通信行为,使得加密流量在协议解析层面呈现合法特征,从而规避基于协议合规性检查的检测机制。 | |
| .003 | 分布式代理链加密传输 | 分布式代理链加密传输(Distributed Proxy Chain Encrypted Transmission)是一种通过多层加密代理节点构建动态传输路径的隐蔽通信技术。攻击者利用云服务、CDN节点或入侵的物联网设备构建多级代理网络,每级节点间采用独立加密协议进行数据传输,并在传输过程中动态切换路由路径。该技术通过空间分散与加密分层策略,使得单一节点的流量捕获无法还原完整通信链路,同时利用合法中间节点稀释恶意流量的关联特征。 | |
| T1568 | 动态解析 | 动态解析指攻击者通过算法化手段动态调整C2通信参数(如域名、IP、端口),以规避基于静态特征的检测机制。传统防御手段主要依赖检测域名生成算法特征、分析DNS请求异常模式或识别新注册域名,通过流量行为分析与威胁情报匹配实施阻断。但随着攻击技术的演进,动态解析已发展为具备高度隐蔽性的通信控制手段。 | |
| .001 | 算法化域名动态生成 | 算法化域名动态生成(Algorithmic Domain Generation)是一种通过预定义算法动态生成C2通信域名的高级隐蔽通信技术。攻击者与受控恶意软件共享相同的随机数生成算法和种子值,按时间窗口或事件触发机制批量生成临时域名,建立短暂有效的命令控制通道。该技术通过高频次域名变更打破传统固定域名/IP的静态特征,使防御方难以通过黑名单或信誉库实施有效阻断,典型应用于DGA(域名生成算法)驱动的僵尸网络架构。 | |
| .002 | CDN节点伪装解析 | CDN节点伪装解析(CDN Node Camouflage Resolution)是一种利用内容分发网络基础设施实现C2通信隐匿的技术。攻击者将恶意域名解析请求伪装成CDN服务节点的合法内容请求,通过劫持CDN的边缘服务器作为流量中转节点,将C2指令隐藏在正常的CDN缓存更新或资源分发流量中。该技术充分利用CDN网络天然的分布式特性与高可信度特征,使恶意通信流量与合法业务流量在传输路径、协议特征上完全融合。 | |
| .003 | 协议级元数据混淆解析 | 协议级元数据混淆解析(Protocol Metadata Obfuscation Resolution)是一种通过篡改网络协议元数据字段实现C2通信隐蔽的技术。该技术针对DNS、HTTP/2、QUIC等协议的设计特性,在协议头部或扩展字段中嵌入控制指令,利用协议规范的模糊地带构造合法但非常规的通信数据包。例如在DNS查询的TXT记录中编码指令,或利用HTTP/2的流复用机制分割恶意载荷,使得C2通信在协议解析层面具备形式合规性。 | |
| .004 | 区块链锚定动态解析 | 区块链锚定动态解析(Blockchain-Anchored Dynamic Resolution)是一种利用区块链网络实现C2节点动态寻址的隐蔽通信技术。攻击者将C2服务器的地址信息编码为区块链交易数据,恶意软件通过读取特定区块链(如比特币、以太坊)的公开交易记录获取最新通信参数。该技术利用区块链网络的去中心化特性与数据不可篡改性,构建抗审查的命令控制通道,同时通过区块链数据的全球同步机制实现攻击流量的自然分布。 | |
| T1572 | 协议隧道 | 协议隧道技术指攻击者将恶意网络通信封装在合法协议中,以规避安全检测并突破网络访问控制的攻击手段。传统协议隧道通常利用SSH、DNS等协议实现数据封装,防御方可通过深度包检测(DPI)、协议一致性校验及异常流量分析等手段进行识别。ATT&CK建议监控非常用端口的协议使用、分析网络流量的语法结构合规性,以及检测客户端与服务端数据量失衡等异常模式。 | |
| .001 | 多协议嵌套隧道 | 多协议嵌套隧道(Multi-Protocol Nested Tunneling)是一种通过分层封装协议实现深度隐蔽通信的技术。攻击者将恶意流量依次封装于多个标准网络协议层中,例如在HTTP协议内嵌套SSH隧道,再在SSH隧道中承载RDP协议数据。这种多层次协议包装形成洋葱式结构,使每个协议解析层仅能观测到下一层合法协议头信息,无法透视最终载荷内容。技术实现需要精确控制各层协议的字段填充与交互时序,确保嵌套结构符合各协议规范。 | |
| .002 | 云存储服务寄生隧道 | 云存储服务寄生隧道(Cloud Storage Service Parasitic Tunneling)是通过劫持公有云存储平台的数据同步机制构建隐蔽通信链路的技术。攻击者将C2指令或数据渗出内容编码为云存储对象(如AWS S3文件、Azure Blob块),利用云平台原生API进行数据交换。通过严格遵循目标平台的请求频率限制和数据编码规范,将恶意流量伪装成正常的云存储操作,同时利用云服务商TLS加密链路实现传输层保护。 | |
| .003 | DNS隐蔽隧道动态负载均衡 | DNS隐蔽隧道动态负载均衡(DNS Covert Tunnel with Dynamic Load Balancing)是通过DNS协议实现隐蔽通信且具备流量自适应调节能力的隧道技术。攻击者将数据编码为DNS查询请求(TXT、CNAME记录类型),利用多级权威DNS服务器和递归解析器构建分布式通信网络。通过动态调整查询频率、负载分片策略及域名切换算法,使隧道流量符合目标网络的DNS行为基线,同时利用DNS over HTTPS(DoH)增强传输层隐蔽性。 | |
| .004 | 合法应用协议元数据隐写隧道 | 合法应用协议元数据隐写隧道(Legitimate Application Protocol Metadata Steganography Tunneling)是通过篡改标准应用协议元数据字段传输隐蔽数据的技术。攻击者选择特定应用协议(如HTTP头部的X-Forwarded-For、视频流的RTCP SDES项),将指令或数据编码至协议规范允许的扩展字段中。通过保持协议主体内容合法性,仅修改非关键元数据实现隐蔽通信,同时利用协议本身的容错机制确保传输可靠性。 | |
| T1008 | 回退信道 | 回退信道指攻击者为确保命令控制(C2)链路的持久性,在主通信渠道失效或受限时启用的备用通信路径。与传统C2通道相比,回退信道需具备更强的隐蔽性和抗干扰能力,通常采用协议多样化、加密强化和传输机制冗余设计。防御方可通过监测非常规协议使用、分析加密流量元数据特征,以及检测客户端异常数据上传行为等手段进行对抗。 | |
| T1104 | 多阶段信道 | 多阶段信道指攻击者通过构建分层次的指挥控制链路来提升通信隐蔽性的技术,其核心特征是将完整的C2流程拆解为多个功能隔离的阶段。传统防御主要依赖网络流量分析(如异常连接模式识别)和终端行为监控(如可疑进程外联检测),通过关联跨协议通信事件或识别加密流量中的元数据异常来发现威胁。典型缓解措施包括部署网络层协议深度分析、实施出口流量白名单管控等。 | |
| .001 | 动态协议切换信道 | 动态协议切换信道(Dynamic Protocol Switching Channels)是一种通过动态变更通信协议层级实现隐蔽指挥控制的技术。攻击者在不同攻击阶段采用不同网络协议(如HTTP、DNS、ICMP等)构建多级通信链路,每级信道仅承担特定功能模块的传输任务。首阶段通常使用低风险协议建立初始连接,后续阶段根据网络环境动态切换协议栈,利用协议间的异构性破坏流量特征连续性。该技术通过协议层的动态适配机制,有效规避基于单一协议特征检测的防御体系。 | |
| .002 | 僵尸网络节点中继信道 |
僵尸网络节点中继信道(Botnet Node Relay Channels)利用已控设备群构建动态中继网络,实现C2通信的拓扑隐匿。攻击者将僵尸节点按地理位置、网络类型、设备特征进行分类,构建多层代理转发体系。首阶段指令通过Tor网络传递至一级中继节点,二级中继节点采用P2P协议在僵尸设备间跳转,最终指令由边缘节点通过合法协议(如HTTP/2)送达目标主机。中继路径根据网络态势动态调整,节点仅知晓相邻跳点信息,形成去中心化的洋葱路由结构。 该技术的匿迹性源于网络拓扑的动态模糊化与节点行为的合法化伪装。通过僵尸网络节点池的规模效应,将单条C2信道分解为数十个短暂存在的微路径,每条路径存活时间不超过阈值周期(通常为15分钟)。中继节点在非活跃时段执行与其设备角色相符的正常网络行为(如IoT设备维持心跳连接、服务器处理业务请求),仅在接收到加密触发指令后才激活中继功能。技术实现需攻克三大难点:大规模节点的协同调度(采用Gossip协议实现去中心化任务分发)、传输延迟的优化控制(设计QoS感知的路由选择算法)以及节点行为的一致性伪装(开发环境感知的流量生成引擎)。这种架构使得C2流量在拓扑层面完全融入正常设备通信矩阵,传统基于IP信誉库或流量突增检测的防御手段难以生效。 |
|
| .003 | 载荷分离式多级触发信道 | 载荷分离式多级触发信道(Payload-Separated Multi-Trigger Channels)是一种将恶意功能模块拆分存储、按需触发的隐蔽通信技术。攻击者将完整攻击载荷拆分为多个功能组件,分别存储在不同地理位置的合法云存储服务中。首阶段信道仅传输经过混淆的触发指令和组件索引信息,后续阶段根据指令动态组合并加载所需模块。各组件采用差异化的加密算法和传输协议,利用内容分发网络(CDN)的缓存机制实现载荷的合法化分发,形成"指令与实施分离"的隐蔽攻击架构。 | |
| T1071 | 应用层协议 | 应用层协议滥用是指攻击者利用合法网络协议进行恶意通信,通过模仿正常业务流量规避检测的技术手段。攻击者通常选择目标网络广泛使用的协议(如HTTP、DNS、SMB)作为传输载体,将命令控制、数据渗漏等恶意行为隐藏在标准协议交互中。传统防御手段主要通过分析协议合规性(如RFC标准符合性测试)、检测非常规端口使用、识别异常会话模式等方法进行对抗,例如检查HTTP头字段完整性或DNS查询频率异常。 | |
| .001 | 协议模拟与流量伪装 | 协议模拟与流量伪装(Protocol Simulation and Traffic Camouflage)是指攻击者精确复现目标网络环境中主流应用层协议(如HTTP/HTTPS、DNS、SMTP)的通信特征,将恶意流量完全融入正常业务交互的技术。该技术通过解析目标网络的协议使用习惯,构造符合协议标准的请求头、载荷格式及交互时序,使恶意通信在协议语法层与语义层均呈现合法特征。攻击者可能利用标准化协议扩展字段(如HTTP Cookie头、DNS TXT记录)或协议容错机制(如TCP重传规则)嵌入控制指令,实现恶意流量的深度隐蔽。 | |
| .002 | 动态多协议协同传输 | 动态多协议协同传输(Dynamic Multi-Protocol Collaborative Transmission)是一种通过多协议交替使用和功能解耦实现隐蔽通信的技术。攻击者将控制指令、数据回传、状态同步等不同功能模块分配给不同的应用层协议执行,并根据网络环境动态切换协议组合。例如,使用DNS协议传输心跳信号,利用HTTP协议下发指令,通过SMTP附件回传数据。各协议间通过加密时间戳或隐写术实现时序同步,构建去中心化的复合通信矩阵。 | |
| .003 | 加密协议隧道嵌套 | 加密协议隧道嵌套(Encrypted Protocol Tunnel Nesting)是指将恶意通信嵌套在多重加密协议栈中,利用协议分层结构实现数据深度隐藏的技术。攻击者通常在标准加密协议(如TLS 1.3)内部封装私有加密信道,形成"协议套娃"结构。例如,在HTTPS流量中嵌套基于AES-GCM加密的自定义二进制协议,或在SSH隧道内运行Tor通信链路。该技术通过多层加密和协议封装,使得流量在每一层解析都呈现合规特征,只有最终解密层才能暴露真实意图。 | |
| .004 | 协议分片时序控制传输 | 协议分片时序控制传输(Protocol Fragmentation with Temporal Control)是一种通过数据分片和时序混淆实现隐蔽传输的技术。攻击者将完整指令或数据负载分割为多个微片段,按照预设时间策略通过不同协议或会话通道发送。例如,将恶意DLL文件分片隐藏在多个HTTP响应体的图片文件碎片中,或利用DNS查询的TXT记录分片传输加密密钥。分片策略结合时间延迟、乱序传输和冗余校验,使得单个数据片段无法呈现完整恶意特征。 | |
| T1001 | 数据混淆 | 数据混淆是攻击者通过修改命令控制流量或恶意代码的结构特征,使其难以被检测和分析的技术手段。其核心目标并非加密保护数据机密性,而是通过协议模拟、隐写嵌入、代码变形等方法降低恶意活动的可识别性。防御方可通过深度协议分析、异常元数据检测、载荷熵值监测等手段进行对抗,重点关注网络流量的协议合规性、数据统计特征异常性以及载荷结构的随机性水平。 | |
| .001 | 协议模拟混淆 | 协议模拟混淆(Protocol Emulation Obfuscation)是通过模仿合法网络协议的结构和行为特征,将恶意通信流量伪装成正常业务交互的隐蔽传输技术。攻击者通过逆向分析目标环境中的主流协议(如HTTP/2、DNS、SMBv3等),构建符合协议规范的报文格式,将C2指令或数据窃取流量嵌入协议保留字段或扩展头部,利用协议容错性实现隐蔽传输。该技术的关键在于精确复现协议状态机与交互时序,确保混淆流量能通过深度包检测设备的合规性验证。 | |
| .002 | 隐写术嵌入混淆 | 隐写术嵌入混淆(Steganographic Embedding Obfuscation)是通过数字隐写技术将恶意数据隐匿在载体文件或网络协议中的高级混淆方法。该技术利用多媒体文件(如图像、音频、视频)或协议元数据(如TCP序列号、ICMP校验和)的冗余空间,通过最低有效位替换、频域变换、矩阵编码等手段嵌入加密指令。相较于传统加密,隐写术不仅隐藏数据内容,更通过载体与信道的自然化实现存在性隐匿,使防御方难以察觉数据篡改行为。 | |
| .003 | 动态载荷变形混淆 | 动态载荷变形混淆(Dynamic Payload Mutation Obfuscation)是通过运行时动态重构恶意载荷的代码结构和数据形态,规避静态特征检测的混淆技术。该技术采用控制流平坦化、寄存器重分配、指令等价替换等方法,在每次通信时生成语法结构唯一但语义等价的载荷内容。结合环境感知技术,能够根据目标系统的语言设置、进程列表等上下文信息动态调整混淆策略,实现载荷的个性化变形。 | |
| T1132 | 数据编码 | 数据编码是攻击者为隐藏恶意通信内容而采用的常见技术,通过标准化或自定义的编码方案(如Base64、MIME)对传输数据进行格式转换,规避基于内容特征的检测。传统防御手段主要依赖协议合规性检查、异常编码模式识别以及数据流特征分析,例如检测HTTP响应中异常长度的Base64字符串或DNS查询中非常规的编码结构。缓解措施包括深度包检测、编码内容语义还原以及协议字段合法性验证等。 | |
| .001 | 多态编码自适应技术 | 多态编码自适应技术(Polymorphic Adaptive Encoding)是一种动态调整编码算法及参数的隐蔽通信方法。攻击者通过预置多种编码算法(如Base64变体、自定义字符映射表、动态密钥异或运算),结合目标环境特征实时选择最佳编码策略。该技术不仅实现数据形态的持续变化,还能根据防御检测策略动态调整编码模式,有效规避基于固定特征规则的检测系统。其核心在于构建编码参数与网络环境感知的闭环反馈机制,确保每次通信的编码特征具备唯一性和时效性。 | |
| .002 | 协议规范兼容编码 | 协议规范兼容编码(Protocol-Compliant Encoding)是一种深度结合网络协议标准的数据隐匿技术。攻击者严格遵循目标协议(如HTTP、DNS、SMTP)的编码规范,将恶意载荷嵌入协议规定的合法数据字段中,利用协议自身的扩展性实现隐蔽传输。例如在HTTP头部的X-Forwarded-For字段使用Base64编码注入命令参数,或利用DNS TXT记录的编码规则传输二进制数据。该技术的关键在于精确掌握协议规范中的灰色地带,构建协议逻辑自洽的编码方案。 | |
| .003 | 分层嵌套编码 | 分层嵌套编码(Layered Nested Encoding)通过多重编码技术的组合应用,构建深度混淆的数据传输通道。该技术将原始数据经过多次不同编码算法处理(如先进行AES加密后再进行Base32编码,最后采用HTML实体转义),每层编码解决特定维度的检测规避需求。各编码层之间通过动态组合策略形成防御穿透能力,使得单一解码环节无法还原完整数据内容,显著增加防御方的分析成本。 | |
| T1205 | 流量激活 | 流量激活是攻击者通过特定网络信号触发系统开启隐蔽通信通道或执行恶意功能的持久化技术,其核心在于利用预定义魔法值或数据包序列控制目标系统行为。传统防御手段主要通过监控非常规端口访问序列、检测固定魔法包特征(如Wake-on-LAN的FF:FF:FF:FF:FF:FF前缀)来识别攻击行为,依赖深度包检测技术解析协议异常字段。 | |
| .001 | 多态化端口序列触发 | 多态化端口序列触发(Polymorphic Port Sequence Triggering)是一种基于动态端口敲门机制的隐蔽通道激活技术。攻击者通过预定义包含非连续端口、可变协议类型及动态时序间隔的触发序列,使端口激活信号的发送模式具备时空随机性和协议多样性。该技术突破传统固定端口序列的静态特征,通过算法化生成每次攻击的触发组合,实现端口激活指令的不可预测性。典型应用场景包括绕过网络入侵检测系统对固定端口扫描模式的识别,以及规避基于历史行为分析的防御机制。 | |
| .002 | 协议字段隐匿触发 | 协议字段隐匿触发(Protocol Field Covert Trigger)是一种将激活信号嵌入网络协议标准字段的隐蔽通信技术。攻击者利用TCP/IP协议栈中未充分利用的字段(如IP标识符、TCP时间戳选项、UDP校验和等)或应用层协议(如HTTP头扩展字段、DNS查询参数)承载魔法值,通过特定字段值的组合触发目标系统开启后门通道。该技术将激活信号分解为多个协议交互阶段的数据特征,使得单个数据包在独立分析时不具备恶意属性,仅在特定上下文组合下才会激活攻击行为。 | |
| T1102 | 网络服务 | 网络服务滥用指攻击者利用合法云服务、社交平台等Web服务作为命令控制或数据传输通道,通过协议模拟、加密通信等方式隐藏恶意活动。传统防御手段聚焦于检测异常API调用模式、识别加密流量中的元数据特征,以及监控用户行为异常。缓解措施包括实施SSL/TLS解密审查、建立网络流量基线模型,以及分析客户端与服务端的数据传输不对称性。 | |
| .001 | 合法协议封装通信 | 合法协议封装通信(Legitimate Protocol Encapsulation)是一种将恶意通信流量完全嵌入主流云服务API协议框架的隐蔽数据传输技术。攻击者通过深入分析目标组织常用的SaaS服务(如Microsoft Graph API、Google Drive API等),构建符合其业务交互模式的API请求模板,将命令控制指令和数据回传信息编码至标准API参数字段中。该技术利用云服务API的标准化通信机制和HTTPS加密特性,使恶意流量在协议格式、加密方式、交互频率等方面与合法业务流量保持高度一致,规避基于协议异常检测的防御体系。 | |
| .002 | 动态服务拓扑切换 | 动态服务拓扑切换(Dynamic Service Topology Switching)是一种基于云服务弹性架构构建的隐蔽C2通信技术。攻击者通过自动化调度多个云服务提供商(如AWS S3、Azure Blob Storage、Dropbox等)的存储端点,构建动态变化的通信节点矩阵。每个节点仅承担特定阶段的通信任务,并依据预设策略或环境感知结果进行实时切换,使防御方难以建立稳定的攻击链路画像。该技术充分利用云服务基础设施的分布式特性,将传统C2服务器的静态属性转化为动态服务拓扑,显著提升通信链路的抗阻断能力。 | |
| T1105 | 输入工具传输 | 输入工具传输指攻击者将恶意工具或文件从外部系统导入受控环境的网络攻击技术,是网络杀伤链中资源投递阶段的核心手段。传统技术多使用FTP、HTTP等标准协议进行明文传输,易被基于协议特征识别或文件哈希匹配的检测系统发现。防御方通常通过监控异常文件创建事件、分析网络流量协议合规性以及检测非常用端口通信等手段进行对抗,重点识别未经授权的文件下载行为及非常用协议的使用。 | |
| .001 | 分块加密多协议传输 | 分块加密多协议传输(Chunked Encrypted Multi-Protocol Transfer)是一种通过将恶意载荷分割为加密数据块,并利用多种网络协议进行交替传输的高级文件传输技术。该技术通过动态切换传输协议(如HTTP、DNS、ICMP等),将加密后的数据片段伪装成不同协议的合法通信内容,同时采用会话劫持或协议隧道技术实现跨协议数据重组。攻击者通常在传输过程中引入随机延时和冗余数据包,以规避基于流量连续性分析的检测机制。 | |
| .002 | 合法云存储同步劫持 | 合法云存储同步劫持(Legitimate Cloud Storage Sync Hijacking)是一种通过滥用商业云存储服务的文件同步机制实现隐蔽传输的技术。攻击者通过窃取或伪造用户凭证登录主流云存储平台(如OneDrive、Dropbox),将恶意工具伪装成合法文件上传至同步目录,利用云服务客户端自动同步功能将文件分发至受控主机。该技术通过将恶意传输过程融入企业日常文件协作场景,有效规避基于异常协议或非常用端口的检测。 | |
| .003 | 合法协议隧道化传输 | 合法协议隧道化传输(Legitimate Protocol Tunneling)是一种通过标准协议封装实现隐蔽数据传输的技术。攻击者利用常见应用层协议(如HTTP/2、SMTP、DNS)建立双向通信隧道,将工具传输流量伪装成协议规定的合法交互。例如,在HTTP/2流中嵌入自定义二进制载荷,或利用DNS查询响应传递分片数据。该技术通过深度协议合规性伪装,规避网络层深度包检测。 | |
| T1219 | 远程访问软件 |
An adversary may use legitimate desktop support and remote access software to establish an interactive command and control channel to target systems within networks. These services, such as VNC, Team Viewer, AnyDesk, ScreenConnect, LogMein, AmmyyAdmin, and other remote monitoring and management (RMM) tools, are commonly used as legitimate technical support software and may be allowed by application control within a target environment.
|
|
| .001 | 合法软件白利用隐蔽通信 | 合法软件白利用隐蔽通信(Legitimate Software Whitelisting Abuse)是指攻击者通过滥用目标环境中已授权的远程管理软件(如TeamViewer、AnyDesk等)建立隐蔽控制通道的技术。该技术利用企业应用白名单策略的信任机制,将恶意远程会话伪装成正常技术支持活动,规避基于进程签名或行为规则的检测系统。攻击者通过劫持已安装的合法软件配置参数,或仿冒合法数字证书实现客户端伪装,使远程连接行为在进程树、网络协议、证书链等维度呈现合规特征。 | |
| .002 | 协议特征动态伪装 | 协议特征动态伪装(Protocol Feature Dynamic Camouflage)是一种通过实时修改网络协议特征字段实现远程控制流量隐匿的技术。该技术针对防御系统基于协议指纹的检测机制,通过动态调整TLS握手参数、HTTP头顺序、TCP窗口尺寸等协议元数据,使恶意远程访问流量在传输层与应用层均呈现随机化特征,破坏基于固定特征匹配的检测模型。攻击者构建具备协议模糊化能力的C2客户端,在每次会话建立时自动生成差异化的协议特征组合,同时保持业务逻辑层的有效通信。 | |
| .003 | 云端节点动态跳转控制 | 云端节点动态跳转控制(Cloud-based Node Dynamic Hopping Control)是指利用云服务商提供的弹性计算资源构建动态中继节点网络,实现远程控制通道拓扑持续变换的技术。攻击者通过自动化脚本在AWS、Azure、Google Cloud等主流云平台快速创建/销毁虚拟机实例,将C2服务器地址与云实例公网IP动态绑定,利用云服务IP资源池的规模优势与地域分布特性,构建难以追踪的分布式控制网络。 | |
| .004 | 多协议隧道嵌套封装 | 多协议隧道嵌套封装(Multi-protocol Tunnel Nested Encapsulation)是通过将远程控制流量嵌入多层标准协议隧道实现深度隐匿的技术。攻击者将原始远程桌面协议(如RDP)数据流依次封装在DNS-over-HTTPS、WebSocket、QUIC等协议层内,构建具有协议混淆特性的复合型通信管道。每层封装协议均采用目标网络允许的标准化实现,使得深度包检测设备难以逐层剥离分析真实载荷。 | |
| T1092 | 通过可移动媒体通信 | 通过可移动媒体通信是攻击者利用物理存储介质在隔离网络间建立隐蔽通信信道的技术手段,常用于突破物理隔离环境的数据渗透和指令控制。传统防御依赖对可移动介质的文件访问监控和挂载行为分析,通过检测异常进程创建或可疑文件读写模式识别潜在威胁。典型缓解措施包括禁用自动运行功能、实施设备白名单管控及部署介质内容扫描工具。 | |
| .001 | 隐写术存储介质通信 | 隐写术存储介质通信(Steganographic Removable Media Communication)是通过在可移动媒体文件载体中嵌入隐蔽数据通道的跨网通信技术。攻击者利用数字隐写术将控制指令或窃取数据编码至图片、文档等常规文件的冗余空间中,借助物理介质在隔离网络间传递信息。该技术突破传统基于文件内容监控的防御机制,通过多层数据编码和格式兼容性设计,确保隐写内容在跨系统传输过程中保持完整性和隐蔽性。 | |
| .002 | 加密微控制器桥接通信 | 加密微控制器桥接通信(Encrypted Microcontroller Bridging Communication)是通过植入定制硬件组件实现物理隔离网络间加密通信的高级攻击技术。攻击者在可移动媒体(如U盘、外置硬盘)的控制器固件层植入微型通信模块,构建独立于宿主操作系统的数据透传通道。该模块集成射频收发、蓝牙低功耗(BLE)或近场通信(NFC)组件,通过加密隧道与外部中继设备建立连接,形成"物理介质-无线信道"的混合通信链路。 | |
| .003 | 傀儡文件元数据触发通信 | 傀儡文件元数据触发通信(Decoy File Metadata Triggered Communication)是通过操纵文件系统元数据构建隐蔽通信信道的跨网渗透技术。攻击者利用NTFS交换数据流、扩展文件属性或文档元数据字段存储加密指令,通过预设触发条件(如文件打开时间戳、访问权限变更)激活通信模块。该技术将恶意代码执行与合法文件操作深度绑定,使通信行为呈现高度场景化特征,有效规避基于行为异常的检测机制。 | |
| T1665 | 隐藏基础设施 | 隐藏基础设施是攻击者为保护其指挥控制(C2)节点、恶意服务端点等关键资源,通过技术手段掩盖其真实网络属性的战术行为。传统手段包括使用代理服务器、VPN隧道、域名生成算法(DGA)等,防御方通常采用IP信誉库匹配、证书指纹分析、流量特征检测等方法进行对抗。但随着云服务普及和加密技术发展,基于简单特征匹配的防御措施面临严峻挑战。 | |
| T1095 | 非应用层协议 | 非应用层协议通信指攻击者利用OSI模型中网络层、传输层等非应用层协议建立隐蔽通信通道的技术手段。此类协议(如ICMP、UDP、原始套接字等)通常缺乏应用层协议的内容审查机制,且普遍被防火墙放行,为攻击者构建隐蔽信道提供了天然条件。防御方可通过深度包检测(DPI)分析协议载荷合规性、监控非常规协议使用模式,以及建立协议行为基线等方法进行检测与阻断。 | |
| T1571 | 非标准端口 | 非标准端口技术指攻击者故意使用非约定俗成的网络端口进行通信,通过打破协议与端口的传统映射关系规避检测。传统防御主要依赖端口黑名单过滤和协议合规性检查,通过分析端口使用规范性(如80端口是否承载HTTP流量)及流量特征匹配(如SSH握手模式)识别异常。缓解措施包括深度包检测、协议指纹识别以及异常端口流量基线监控等技术。 | |