系统网络配置发现: 合法工具滥用隐蔽采集

合法工具滥用隐蔽采集（Legitimate Tool Abuse for Covert Collection）是一种通过操作系统内置管理工具实施网络配置发现的隐蔽技术。攻击者利用目标系统预装的网络诊断工具（如ipconfig、arp、route等），通过非交互式脚本调用或进程注入方式执行配置查询，将恶意行为伪装成正常系统管理操作。该技术通过合法二进制文件的白名单属性规避安全软件检测，同时采用碎片化执行策略，将完整的网络拓扑测绘任务拆解为多个独立命令执行事件，降低行为关联性。

该技术的匿迹性源于对系统信任机制的深度利用与操作行为的分阶段伪装。攻击者首先通过权限提升获取系统管理身份，利用系统内置工具的白名单特性规避应用程序控制策略。在执行层面，采用命令行参数模糊化处理（如将"ipconfig /all"拆解为多个参数分次执行），并配合定时任务调度器实现指令的离散化执行。数据回传阶段，将查询结果加密后嵌入DNS TXT记录或HTTP Cookie等协议扩展字段，利用合法协议通道实现数据渗出。整个过程通过工具合法性、行为分散性、协议合规性三重伪装，使得安全设备难以通过单点日志或行为特征识别恶意意图，有效隐藏网络侦察活动的攻击本质。