系统所有者/用户发现: 合法系统工具隐蔽查询

合法系统工具隐蔽查询（Legitimate System Tool Stealth Query）是一种通过滥用操作系统内置管理工具实现用户信息隐蔽获取的技术。攻击者利用系统预装的命令行工具（如whoami、w、dscl）或脚本解释器（如PowerShell、Python）执行用户发现操作，将恶意查询指令嵌入正常的系统管理流程中。该技术通过规避第三方工具部署，直接利用可信进程执行侦察任务，有效降低安全软件对异常进程行为的警觉性。

该技术的匿迹效果源于对系统信任机制的深度利用。攻击者通过精确控制命令参数和输出处理方式，将用户发现行为分解为多个合法工具的标准调用。例如，使用net user命令时仅查询特定用户组而非完整列表，或通过管道符过滤输出结果以隐藏敏感操作。在行为时序层面，将侦察动作与管理员日常运维时段同步，利用系统维护期产生的合法工具调用记录掩盖恶意行为。技术实现需解决两个关键问题：一是命令参数的精细化控制，确保单次查询数据量低于检测阈值；二是输出结果的隐蔽回传，通常采用DNS隧道或日志注入方式实现数据外泄。这种将攻击行为完全融入系统正常运维流程的策略，使得传统基于进程黑白名单或命令行特征匹配的检测机制难以生效。