| ID | Name |
|---|---|
| T1005.001 | 内存驻留数据提取 |
| T1005.002 | 合法系统工具链式调用 |
| T1005.003 | 数据分片隐匿传输 |
| T1005.004 | 时间延迟渐进式收集 |
| T1005.005 | 文件属性伪装与元数据伪造 |
内存驻留数据提取(Memory-Resident Data Extraction)是一种通过全程在内存中完成数据采集与处理的隐蔽技术。攻击者利用无文件攻击技术,通过进程注入或内存加载恶意模块的方式,直接在目标系统内存中检索敏感数据,避免在磁盘上留下任何文件痕迹。该技术通过挂钩系统API或利用合法进程的内存空间,实时截取正在处理的业务数据(如数据库缓存、应用程序临时文件),实现数据采集过程的全内存化操作,规避传统基于磁盘文件监控的检测机制。
该技术的匿迹效果源于"零磁盘接触"与"内存行为伪装"的双重机制。攻击者通过动态链接库注入、进程空洞化等技术,将数据采集模块嵌入可信进程(如explorer.exe、svchost.exe)的内存空间,利用宿主进程的合法性掩盖恶意行为。在数据检索阶段,采用内存流式处理技术,直接解析数据库缓存、注册表内存镜像等动态数据源,避免触发文件读取告警。关键技术包括:内存指纹模糊(通过随机内存地址分配破坏特征码检测)、临时数据重定向(将采集结果暂存于内存交换区而非持久化存储)、以及基于内存加密的数据封装(使用AES-NI指令集实现快速内存加密)。这种技术使得防御方难以通过文件系统审计或磁盘取证发现数据泄露痕迹,仅能依赖实时内存分析进行检测,显著提升了攻击行为的隐蔽性。
This type of attack technique cannot be easily mitigated with preventive controls since it is based on the abuse of system features.
Coming soon