密态对抗中的攻击预备战术是指攻击者在资源构建阶段,通过隐匿资源属性、切断关联链条、伪造合法凭证等手段,构建具备抗溯源能力的基础设施与能力储备体系的策略框架。
在攻击预备阶段,匿迹战术聚焦于消除资源获取过程中的数字指纹与行为痕迹。攻击者通过分布式资源采购、虚拟身份嵌套、多层级跳板架构等方式,将恶意基础设施与真实身份进行物理隔离。利用云服务弹性特性构建动态资源池,结合合法服务API实现自动化资源更替,规避基于静态资产特征的检测机制。在能力储备层面,采用代码混淆、供应链污染、数字签名伪造等技术,使攻击工具具备白名单穿透能力。同时通过暗网交易、区块链支付等匿名化渠道获取攻击资源,切断资金流向与攻击行动的关联路径。
匿迹战术使攻击预备阶段的基础设施具备强抗溯源特性,显著提升了攻击资源的存活周期与复用价值。通过构建去中心化的资源网络,攻击者可实现攻击能力与物理身份的完全剥离,有效规避基于资产归属分析的威胁溯源。动态化资源调度机制降低了单点暴露风险,使传统基于基础设施指纹的防御策略失效。隐蔽化的能力获取渠道则为后续攻击阶段提供了可信度更高的伪装身份,大幅增强了钓鱼攻击、漏洞利用等战术的实施成功率。
该战术对基于信誉评级、证书黑名单等静态防御体系形成降维打击,其资源动态漂移特性导致传统资产测绘手段难以建立有效监控基线。防御方需构建跨平台的资源关联分析系统,结合区块链交易追踪、虚拟身份画像等技术,识别异常资源聚合模式。同时应建立攻击面动态感知机制,通过基础设施指纹熵值计算与行为模式突变检测,实现攻击预备行为的早期预警。在技术对抗层面,需强化供应链安全验证体系,开发具备深度特征提取能力的恶意资源识别模型。
| ID | Name | Description | |
| T1584 | 基础设施妥协 | 基础设施妥协指攻击者通过非法控制第三方网络资源构建攻击基础设施,包括服务器、域名、云服务等,用以支持网络攻击的各个阶段。传统防御手段通过监控域名注册信息异常、扫描暴露服务特征(如特定端口响应)以及分析SSL/TLS证书指纹等方式进行检测。缓解措施包括实施DNSSEC验证、监控证书透明化日志以及分析C2通信模式等。 | |
| .001 | 合法云服务寄生 | 合法云服务寄生(Legitimate Cloud Service Parasitism)是指攻击者通过入侵或滥用主流云服务提供商的用户账户,在合规云环境中部署恶意基础设施的技术手段。该技术利用云平台提供的标准化服务(如对象存储、CDN节点、Serverless函数)构建攻击资源池,将恶意负载嵌入云服务正常业务流程,使攻击流量具备合法云服务特征标签。攻击者通过API密钥窃取、凭证爆破或供应链污染等方式获取云服务控制权,在目标云环境中建立命令控制服务器、钓鱼站点或数据中转节点,利用云服务商的高信誉度规避安全检测。 | |
| .002 | 可信域名劫持与DNS污染 | 可信域名劫持与DNS污染(Trusted Domain Hijacking and DNS Poisoning)是通过非法获取高信誉域名的控制权,篡改其DNS解析记录构建攻击基础设施的技术。攻击者利用域名注册商漏洞、社会工程攻击或HTTPS证书私钥窃取等手段,将目标域名解析至恶意服务器集群,使防御系统因信任该域名的历史信誉而降低安全检测强度。被劫持的域名往往具备高权威性(如政府机构或知名企业域名),攻击者借此搭建钓鱼平台、C2服务器或恶意CDN节点,形成具有合法数字身份的进攻跳板。 | |
| .003 | 僵尸网络动态调度基础设施 | 僵尸网络动态调度基础设施(Botnet-based Dynamic Infrastructure Scheduling)是指利用已控制的物联网设备、服务器集群构建弹性化攻击资源池,通过智能调度算法实现基础设施的动态切换。该技术将传统静态C2架构转变为分布式动态网络,每个被控节点既是攻击执行单元又是中继节点,可根据防御态势实时调整基础设施拓扑结构。攻击者通过P2P协议或区块链技术实现节点自治通信,利用设备指纹伪装技术使被控节点呈现合法业务特征,构建具备自愈能力的弹性攻击网络。 | |
| .004 | 数字证书滥用型基础设施伪装 | 数字证书滥用型基础设施伪装(Digital Certificate Abuse for Infrastructure Camouflage)是通过窃取或伪造SSL/TLS证书,为恶意服务器赋予合法数字身份的技术手段。攻击者利用证书颁发机构(CA)的验证漏洞、中间人攻击或私钥泄露事件,为控制的恶意域名或IP地址获取可信证书,使得HTTPS加密流量呈现出完整可信的证书链验证特征。该技术不仅用于加密通信,更重要的是通过证书信任链构建基础设施的合法身份背书,规避基于证书异常检测的安全机制。 | |
| T1585 | 建立账户 | 建立账户是攻击者为实施后续攻击行动创建虚假身份或劫持合法账户的战术手段,通常用于网络钓鱼、命令控制、资源部署等攻击阶段。攻击者通过伪造个人/企业资质在目标信任的平台上注册账户,构建攻击基础设施或社交工程触达渠道。传统防御手段主要通过分析注册信息真实性(如证件验证)、监测异常批量注册行为、核查账户活动一致性等手段进行检测。 | |
| .001 | 跨平台身份关联账户构建 | 跨平台身份关联账户构建(Cross-Platform Identity Correlation Account Construction)是一种通过多维度身份要素协同伪造实现账户合法化的高级匿迹技术。攻击者通过系统化收集公开个人信息(如社交媒体动态、企业黄页数据、学术机构名录),构建具有完整身份画像的虚拟人物实体,并在不同网络平台(如云服务、社交媒体、行业论坛)同步创建相互佐证的关联账户。该技术利用数字身份验证机制的漏洞,通过跨平台数据一致性验证强化账户可信度,使防御方难以通过单一平台的异常检测发现伪造身份。 | |
| .002 | 服务滥用型寄生账户创建 | 服务滥用型寄生账户创建(Service Abuse-Based Parasitic Account Creation)是一种利用合法商业服务机制隐匿恶意账户注册行为的技术。攻击者通过逆向分析目标平台的新用户注册策略(如免费试用、开发者API申请、企业认证流程),设计符合服务条款约束的账户注册模式,将恶意账户寄生在平台的正常用户增长流量中。该技术特别针对云服务商、协作办公平台的推广政策,通过伪装成初创企业或学术研究机构,批量创建具备完整企业资质的账户集群。 | |
| .003 | 自动化身份画像维护 | 自动化身份画像维护(Automated Identity Profile Maintenance)是通过持续更新伪造账户的社交属性与行为数据,使其在目标生态系统中保持自然演化特征的匿迹技术。该技术采用智能算法模拟人类用户的数字足迹生成模式,定期在关联平台发布符合身份背景的内容(如技术博客、行业评论、项目动态),并与真实用户建立渐进式社交连接,构建多维度的身份可信度证据链。 | |
| .004 | 地理行为特征解耦账户注册 | 地理行为特征解耦账户注册(Geobehavioral Decoupled Account Registration)是通过分离账户注册行为的时空特征与使用场景,规避基于地理位置关联分析的检测机制。攻击者利用全球分布式代理网络动态切换注册入口节点,结合目标服务区域用户的典型行为特征(如语言偏好、支付方式、作息时间),为每个恶意账户构建符合其宣称地理属性的完整数字指纹。 | |
| T1587 | 开发能力 | 开发能力指攻击者自主构建恶意工具和基础设施的过程,涵盖恶意软件开发、漏洞利用构造、伪造证书创建等环节。与传统武器采购不同,自主开发可避免商业恶意软件的特征暴露,并实现攻击工具的高度定制化。防御方面主要通过逆向工程分析代码特征、追踪数字证书指纹、监控可疑编译行为等手段进行检测,重点关注恶意软件与已知攻击组织的代码相似性、证书签发异常等特征。 | |
| .001 | 模块化恶意软件开发 | 模块化恶意软件开发(Modular Malware Development)是一种通过构建可插拔、动态加载的恶意代码架构实现攻击能力隐蔽化的技术手段。攻击者将恶意功能拆解为独立的功能模块,核心框架仅保留基础通信与控制功能,在执行阶段按需加载攻击载荷。这种架构设计使得静态分析难以获取完整功能画像,同时支持运行时动态更新恶意模块,显著降低被传统特征检测技术识别的风险。关键技术包括模块间隔离通信机制、加密配置加载协议以及基于环境感知的模块激活策略。 | |
| .002 | 开源工具链污染 | 开源工具链污染(Open-Source Toolchain Contamination)指攻击者通过篡改软件开发工具链(如编译器、依赖库、构建脚本),在合法软件开发生态中植入恶意代码的技术。攻击者选择高流行度的开源组件作为载体,在版本更新包中插入恶意代码逻辑,利用下游开发者的自动依赖更新机制实现恶意代码的供应链传播。该技术的关键在于保持宿主工具链的功能完整性,使恶意行为仅在特定编译条件或运行时环境中激活,形成"开发即污染"的隐蔽攻击模式。 | |
| .003 | 数字证书自签隐匿 | 数字证书自签隐匿(Self-Signed Certificate Obfuscation)是通过构建私有证书体系实现恶意代码可信认证的隐蔽开发技术。攻击者搭建内部CA基础设施,为恶意软件签发带有合法组织信息的数字证书,利用证书信任链漏洞实现代码签名验证绕过。关键技术包括伪造企业实体信息、构造中间CA证书链、以及定期轮换证书密钥,使得签名证书在表面验证层面呈现合法特征,同时避免与已知恶意证书指纹库匹配。 | |
| .004 | 开发环境虚拟化隐匿 | 开发环境虚拟化隐匿(Virtualized Development Environment Concealment)指攻击者利用虚拟化技术构建隔离的恶意代码开发环境,切断开发行为与物理设备的关联特征。通过嵌套虚拟化架构、内存驻留开发工具、以及网络流量隧道化等技术,实现开发活动的全链路隐匿。关键特征包括使用临时性云开发环境、基于TOR网络的协作通信、以及开发痕迹自动擦除机制,使得攻击能力开发过程难以被传统取证手段溯源。 | |
| T1608 | 暂存能力 | 暂存能力指攻击者将恶意工具、漏洞利用包等资源预先部署到受控或第三方基础设施的过程,为后续攻击阶段提供战术支撑。传统防御主要关注恶意域名黑名单、文件哈希检测及网络流量特征识别,通过监控云存储异常访问、分析SSL证书指纹等方式进行防护。但由于攻击基础设施常位于防御方可视范围之外,检测难度较高。 | |
| .001 | 云服务伪装存储 | 云服务伪装存储(Cloud Service Camouflage Storage)是攻击者利用主流云存储服务(如AWS S3、Google Drive)托管恶意载荷的隐蔽部署技术。通过将攻击工具、漏洞利用包等资源伪装成正常业务文件(如文档、图片、日志),并利用云平台合规存储机制构建可信访问通道,实现恶意资源的合法化存储与分发。攻击者通常结合云服务API密钥劫持或合法账户注册,将恶意内容与平台海量正常数据混合存储,规避基于存储位置黑名单的检测机制。 | |
| .002 | 动态域名生成 | 动态域名生成(Dynamic Domain Generation)是一种基于密码学算法实现C2基础设施动态隐藏的暂存技术。该技术通过预定义的时间熵因子与地理定位参数,周期性生成符合顶级域名注册规范的伪随机域名列表,构建具备自毁机制的临时暂存节点网络。攻击者通过同步算法确保恶意载荷分发域名与控守域名在特定时间窗口内动态关联,利用DNS协议的分布式解析特性实现基础设施的拓扑隐匿。 | |
| .003 | 开源平台代码混淆 | 开源平台代码混淆(Open-Source Platform Code Obfuscation)是通过在GitHub、GitLab等开源托管平台发布混淆后恶意代码的隐蔽部署技术。攻击者将恶意功能模块拆解为多个代码片段,采用变量混淆、控制流平坦化等手段进行变形,并伪装成合法项目更新提交至公共代码仓库。通过利用开源社区自动化构建流水线,将混淆代码编译为可信二进制文件,实现攻击工具在软件开发供应链中的隐蔽传播。 | |
| T1583 | 获取基础设施 | 获取基础设施指攻击者通过购买、租赁或非法手段获取用于网络攻击的各类资源,包括服务器、域名、云服务账户及僵尸网络节点等。传统防御手段依赖WHOIS数据库查询、SSL证书指纹比对及IP信誉库匹配等技术,通过分析基础设施注册信息、网络服务特征及历史威胁情报识别恶意资源。监测重点包括异常端口开放模式、已知C2框架特征及集中式基础设施集群的拓扑关联。 | |
| .001 | 匿名云服务租赁 | 匿名云服务租赁(Anonymous Cloud Service Leasing)是攻击者通过伪造身份信息与加密货币支付手段,租用主流云服务商的计算资源构建攻击基础设施的技术。该技术利用云服务商提供的API自动化接口与匿名注册机制,快速创建虚拟私有服务器(VPS)、存储桶或容器实例,并通过多层网络隔离与加密通信机制切断资源与攻击者的物理关联。攻击者通常会选择支持隐私保护支付方式的云平台,利用一次性电子邮箱与虚拟手机号完成账户注册,同时在资源使用周期结束后立即销毁实例,形成基础设施的"即用即弃"模式。 | |
| .002 | 僵尸网络节点租赁 | 僵尸网络节点租赁(Botnet Node Leasing)是指攻击者通过暗市租用已感染的物联网设备或终端主机作为攻击基础设施的技术。该技术利用现有僵尸网络运营商提供的分布式节点池,通过按需租用方式获取具备真实用户行为特征的网络资源。租用的节点通常已植入隐蔽性极强的持久化恶意软件,能够提供代理转发、数据存储或分布式计算等多样化服务,且节点地理位置分布与网络环境具有高度随机性。 | |
| .003 | 合法内容分发网络寄生托管 | 合法内容分发网络寄生托管(Legitimate CDN Parasitic Hosting)是通过渗透或滥用主流内容分发网络(CDN)服务,将恶意负载托管在CDN边缘节点实现基础设施隐匿的技术。攻击者利用CDN服务商提供的缓存机制与SSL证书托管功能,将恶意脚本、钓鱼页面或C2服务器接口嵌入CDN资源分发体系。通过伪造合法的数字证书与域名配置,使得恶意内容通过全球分布的CDN节点进行分发,并与正常网站资源混合传输。 | |
| .004 | 动态域名生成算法注册 | 动态域名生成算法注册(DGA-Based Domain Registration)是攻击者利用算法批量生成并注册域名,构建动态变化的基础设施网络的技术。该技术通过预设的随机数种子与时间同步机制,周期性生成大量伪随机域名并完成注册,形成难以预测的域名解析体系。攻击基础设施的核心服务(如C2服务器)通过动态切换域名实现连接点的持续迁移,同时结合DNS隐蔽通道技术增强通信的隐蔽性。 | |
| T1588 | 获取能力 | 获取能力指攻击者通过购买、窃取或租赁等方式获取攻击所需资源(包括恶意软件、漏洞利用工具、数字证书等)的战术阶段。与传统自主开发模式不同,该技术依赖第三方资源供应链降低自身暴露风险,涉及暗网交易、供应链渗透、证书伪造等多种手段。防御方可通过分析恶意代码特征关联性、监控证书异常签发行为、追踪云资源滥用模式等手段进行检测,但受限于攻击活动的跨平台特性和匿名化设计,实际检测效能面临严峻挑战。 | |
| .001 | 暗网市场隐蔽交易 | 暗网市场隐蔽交易(Darknet Marketplace Covert Procurement)指攻击者通过Tor网络、I2P等匿名通信协议接入暗网交易平台,利用加密货币支付手段购买恶意软件、漏洞利用工具及敏感数据。该技术通过暗网市场的匿名交易机制,将能力获取行为与攻击者真实身份进行物理隔离,同时借助区块链技术的不可追踪特性完成资金流转。交易过程中采用多层加密通信与临时身份认证机制,确保买卖双方信息仅在交易周期内有效,交易完成后立即销毁所有交互痕迹。 | |
| .002 | 供应链污染式能力注入 | 供应链污染式能力注入(Supply Chain Contamination-based Capability Injection)是通过渗透软件供应链合法节点,将恶意功能植入商业产品实现攻击资源隐蔽获取的技术。攻击者通过入侵软件开发工具链(如编译器、代码库)、劫持软件更新服务器或贿赂内部人员,在合法软件分发流程中注入后门模块、漏洞利用工具或伪造证书。该技术利用软件供应链的信任传递机制,使恶意代码随正常业务操作扩散至下游用户,在规避安全检测的同时建立持久化能力获取通道。 | |
| .003 | 跨平台证书签名伪造获取 | 跨平台证书签名伪造获取(Cross-Platform Certificate Signature Forgery)是通过窃取或伪造数字证书实现恶意软件合法化分发的技术手段。攻击者利用证书颁发机构(CA)的验证漏洞或入侵企业证书管理系统,获取有效代码签名证书私钥,对自主开发的恶意软件进行合法签名。同时采用多平台证书交叉签名策略,针对Windows、Linux、移动端等不同系统生成对应签名,使恶意载荷在不同环境中均呈现可信验证状态,降低安全软件的告警概率。 | |
| .004 | 时间离散化资源租赁 | 时间离散化资源租赁(Time-Decoupled Resource Leasing)是通过短期租用云端资源实现攻击能力按需获取的技术。攻击者利用云计算平台的弹性服务模型,采用自动化脚本在多个服务商处动态创建临时实例,通过API接口快速部署攻击工具链(如漏洞扫描器、密码破解集群),任务完成后立即销毁相关资源。租赁过程采用伪造身份信息、虚拟信用卡和一次性IP地址,结合资源使用的时间窗口控制,使攻击能力获取行为分散在不同时间段的合法云业务流量中。 | |
| T1650 | 获取访问权限 | 获取访问权限是指攻击者通过购买或交换方式获得已入侵系统的控制权,通常借助初始访问代理网络或暗网交易市场实现。传统防御手段主要通过监控异常登录行为、分析网络访问模式来检测非法访问,但由于交易过程多发生在目标组织可视范围之外,防御方往往只能在攻击者实际使用所购权限时进行事后检测。 | |
| .001 | 暗网隐蔽交易访问权限 | 暗网隐蔽交易访问权限(Darknet Obfuscated Access Trading)是指攻击者通过暗网市场使用加密通信协议和匿名加密货币,与初始访问代理(Initial Access Brokers)进行受控系统访问权限交易的技术。该技术利用Tor网络、I2P等匿名通信层构建交易环境,结合区块链钱包地址混淆资金流向,使得权限交易过程在暗网论坛、加密聊天频道等隐蔽渠道完成。交易内容通常采用多层加密的JSON或XML格式封装,包含C2服务器凭证、Webshell访问路径等核心数据,确保交易双方身份与交易细节的双向隐匿。 | |
| .002 | 合法服务伪装访问交易 | 合法服务伪装访问交易(Legitimate Service Camouflaged Access Trading)是一种将权限交易行为嵌入合规云服务交互的高级匿迹技术。攻击者利用主流云计算平台(如AWS Marketplace)、开源代码托管站(如GitHub Gist)或社交媒体API(如Telegram Bot)作为交易载体,将受控系统访问凭证以加密数据块形式隐藏在正常业务数据流中。例如在云存储服务的文件元数据字段中植入Base64编码的C2配置信息,或通过社交媒体私信的隐写术传递SSH密钥片段,实现权限交易流量与合法服务流量的深度耦合。 | |
| .003 | 供应链污染型权限获取 | 供应链污染型权限获取(Supply Chain Contamination Access Acquisition)是通过污染软件供应链间接获取目标系统访问权限的复合匿迹技术。攻击者向开源组件库(如npm、PyPI)、CI/CD工具链或硬件固件更新渠道植入恶意代码,在目标组织执行正常供应链操作时,自动建立隐蔽访问通道。例如在第三方库依赖项中嵌入具备零日漏洞利用能力的加载器,当目标开发人员引入该依赖时,触发漏洞在构建服务器部署Webshell,形成合法软件更新流程掩护下的持久化访问入口。 | |
| .004 | 僵尸网络租赁隐蔽接入 | 僵尸网络租赁隐蔽接入(Botnet Leasing Stealth Access)是通过短期租用僵尸网络节点实施访问权限获取的分布式匿迹技术。攻击者从暗网僵尸网络即服务(BaaS)平台租用经过反取证处理的受控设备,利用其作为跳板发起定向渗透。租约期内,攻击者通过多级加密隧道操控僵尸节点,使用节点本地的合法工具(如PsExec、WinRM)进行横向移动,最终在目标网络建立由僵尸节点中转的隐蔽C2通道,实现访问权限的"清洁化"获取。 | |
| T1586 | 账号妥协 |
账号妥协指攻击者通过非法手段获取合法用户凭证以渗透目标系统的行为,传统手段包括钓鱼邮件、暴力破解等。防御措施通常依赖多因素认证、异常登录检测(如地理异常、设备指纹突变)以及凭证泄露监控。然而,随着攻击者匿迹技术的演进,传统基于规则匹配与单点日志分析的防御体系面临严峻挑战。 为规避账号异常行为检测,攻击者发展出多维度的匿迹技术,通过身份伪造、攻击链解耦、行为模式伪装等策略,将凭证窃取与滥用过程深度融入正常业务交互,显著降低了攻击行为的可观测性。 当前账号妥协匿迹技术的共性在于"身份可信化"与"攻击去特征化"。攻击者通过构建虚拟身份的社会资本降低防御警惕性,利用分布式架构与低频策略稀释行为异常性,并依托地下数据生态实现非接触式攻击:凭证钓鱼隐蔽投递将恶意负载嵌入合法业务流程,利用通信加密与链路混淆规避内容审查;分布式低频爆破通过全球节点协同与节奏控制,使单次登录尝试在时空维度呈现随机分布特征;第三方凭证库接入技术完全剥离攻击者与目标的直接交互,利用暗网数据流通的匿名性切断溯源路径;社交工程仿冒则通过数字身份克隆构建信任背书,使得恶意行为获得合法交互的外在表征。这些技术共同实现了攻击链的"表面合法化"与"意图模糊化",使得传统基于已知IOC或单维度行为规则的检测机制失效。 匿迹技术的普及迫使防御体系向身份行为基线建模、跨域关联分析方向演进,需整合UEBA、暗网情报监测与社交图谱分析能力,构建覆盖凭证全生命周期的动态防护机制。 |
|
| .001 | 凭证钓鱼隐蔽投递 |
凭证钓鱼隐蔽投递(Credential Phishing Stealth Delivery)是一种通过隐蔽通信通道与协议混淆技术实现钓鱼攻击匿迹化的手段。攻击者将传统钓鱼链接或恶意附件嵌入合法服务通知、加密文档或社交媒体动态中,利用HTTPS加密传输、动态短链跳转、二维码图像隐写等技术,规避邮件网关与终端检测系统的审查。例如,通过云存储平台共享加密文档,在文档内嵌钓鱼链接,利用合法服务的可信度降低安全策略拦截概率。 该技术的匿迹核心在于"合法载体复用"与"交互链路去特征化"。攻击者选取目标组织日常高频使用的通信媒介(如企业邮箱、协作平台消息),将钓鱼内容与正常业务交互深度耦合。通过多层URL重定向与域名托管服务轮换,剥离钓鱼链路的直接关联性;采用时间敏感型短链或一次性访问令牌,确保攻击痕迹自动消除。在内容伪装层面,结合目标行业特征定制钓鱼模板,匹配真实业务场景的视觉元素与交互逻辑,使得恶意请求与常规操作在行为轨迹上无法区分。技术实现需解决钓鱼载荷的动态加载、反沙箱检测及跨平台兼容性,最终形成"表面合法、内在恶意"的复合型攻击通道。 |
|
| .002 | 分布式低频凭证爆破 |
分布式低频凭证爆破(Distributed Low-Frequency Credential Stuffing)是一种通过分布式节点协同与爆破节奏控制实现隐匿攻击的技术。攻击者将传统集中式暴力破解任务拆解为多个低强度子任务,通过僵尸网络或云函数集群在全球范围分发执行,每个节点采用低频率尝试策略(如每小时1-2次),并动态轮换代理IP与用户代理字符串,使单节点行为特征低于安全系统的检测阈值。 该技术的匿迹机制基于"攻击粒度细化"与"行为特征稀释"。通过分布式架构将单次大规模爆破分解为长期、分散的试探性登录,利用不同地理区域的网络基线差异掩盖异常流量。节点间采用区块链化任务调度协议,确保攻击指令不可追溯;爆破参数实时适配目标系统的登录策略(如验证码触发阈值),动态调整尝试间隔与凭证组合策略。同时,攻击流量模拟真实用户的登录失败模式,在错误次数、时间分布等维度与正常行为对齐,规避基于统计异常检测的防御机制。 |
|
| .003 | 第三方凭证库隐蔽接入 |
第三方凭证库隐蔽接入(Third-Party Credential Repository Covert Access)指攻击者通过暗网市场、加密通信渠道或区块链匿名交易获取已泄露凭证,避免直接实施凭证破解或钓鱼行为的技术。该技术利用地下经济生态中流通的海量历史泄露数据,通过自动化工具筛选与目标组织关联的凭证(如员工邮箱密码组合),并结合密码复用规律生成衍生凭证库,实现"非接触式"账号渗透。 匿迹效果源于攻击链的间接性与数据源的合法性混淆。攻击者通过Tor网络或隐私币支付接入地下凭证市场,利用加密货币混币服务切断资金溯源路径。获取凭证后,采用中间跳板服务器进行登录验证,避免暴露真实攻击基础设施。技术实施需构建自动化凭证有效性验证管道,通过分布式代理节点测试凭证可用性,并将成功结果加密回传至匿名存储节点。整个过程剥离了攻击者与目标系统的直接交互,使防御方难以通过日志分析关联攻击事件。 |
|
| .004 | 社交工程身份仿冒 |
社交工程身份仿冒(Social Engineering Identity Spoofing)是通过深度伪造与身份嫁接技术构建可信虚拟身份,以降低目标警惕性的账号渗透手段。攻击者在社交平台或企业协作系统中创建高仿账号,利用AI生成的个人资料、动态内容与社交关系网络,模拟真实员工或合作伙伴身份,通过"信任传递"机制诱导目标泄露凭证或授予权限。 该技术的匿迹性体现在身份维度的"数字孪生"构建。攻击者通过开源情报(OSINT)收集目标组织架构、沟通话术与业务流程,训练自然语言生成模型模拟特定角色的通信风格;利用深度伪造技术合成语音、视频等生物特征验证素材。在实施过程中,采用渐进式信任建立策略,先通过低风险交互(如邮件咨询)积累可信度,再逐步诱导敏感操作。技术关键点在于身份数据的实时更新与行为模式的自适应调整,确保仿冒账号的活动轨迹与真实用户基线一致,规避基于异常行为分析的检测系统。 |
|