合法系统工具链式调用(Legitimate Tool Chain Invocation)是一种通过组合使用操作系统内置工具完成数据收集的隐蔽技术。攻击者利用PowerShell、WMIC、certutil等系统管理工具的功能组合,构建无需部署恶意软件的数据采集链。通过将敏感文件读取、数据编码、临时存储等操作拆解为标准命令序列,并利用工具间的输入输出管道传递数据,使整个采集过程呈现为正常的系统管理行为。
该技术的匿迹核心在于"行为合法性重构"与"操作原子化分解"。攻击者首先研究目标系统的运维模式,设计符合日常管理场景的命令序列(如使用dir /s遍历目录后通过findstr过滤关键文件)。在数据传输环节,采用系统工具内置的编码功能(如certutil的Base64转换)对数据进行预处理,避免原始数据在传输过程中暴露特征。同时,通过计划任务或事件触发器将采集动作与系统合法操作(如日志轮转、备份作业)进行时序关联,利用系统自身行为作为掩护。防御方需面对两大挑战:一是区分正常管理操作与恶意数据采集的行为边界模糊化;二是攻击链中每个独立命令均具备合法数字签名,难以通过进程白名单机制阻断。
This type of attack technique cannot be easily mitigated with preventive controls since it is based on the abuse of system features.
Coming soon