合法服务名仿冒(Legitimate Service Name Spoofing)是攻击者通过精确复制或近似模仿操作系统核心进程、可信应用服务名称的方式实现恶意程序隐匿的技术手段。该技术利用系统进程白名单机制和用户认知惯性,将恶意可执行文件命名为与系统关键服务(如svchost.exe、lsass.exe)高度相似的名称(如svch0st.exe、Isass.exe),或直接劫持合法服务加载路径,使恶意进程在进程列表、日志记录等环节呈现为可信实体,规避基于进程名称匹配的安全检测。
该技术的匿迹效果源于对防御体系信任模型的逆向利用。攻击者首先通过逆向分析目标环境中的白名单进程特征,构建包含视觉混淆字符(如数字0与字母O替换)、多语言同形字符(如西里尔字母а替代拉丁字母a)的仿冒名称库。其次结合目标系统的服务管理机制,动态调整恶意进程的启动参数和资源占用特征,使其与真实服务进程的运行时特征(如内存占用、子进程树结构)保持同步。技术实现层面需解决三个关键问题:仿冒名称的语义合理性(避免非常规字符组合引发异常检测)、服务状态的动态模拟(维持与服务控制管理器的合规交互)、以及日志记录的完整性伪造(同步篡改事件日志中的进程创建记录)。最终形成的伪装机制能够突破传统基于进程名称黑名单的检测体系,实现恶意代码在系统信任链中的深度寄生。
This type of attack technique cannot be easily mitigated with preventive controls since it is based on the abuse of system features.
Coming soon