系统工具动态重命名(Dynamic Renaming of System Utilities)是攻击者通过实时修改系统自带管理工具(如PsExec、Regsvr32)的文件名,规避安全产品对已知恶意命令行工具检测的技术手段。该技术利用白名单机制对系统工具路径的信任,通过重命名使其在进程创建日志中呈现为未知可执行文件,同时保留原有功能用于横向移动或权限提升。
该技术通过动态身份切换实现行为隐匿。攻击者在每次使用系统工具前,先将其复制到临时目录并随机重命名(如将PsExec.exe改为winupdate.exe),随后通过计划任务或服务创建调用修改后的工具。此过程配合命令行参数混淆(如将横向移动命令拆分为多个无害参数),可有效规避基于进程名称与参数组合的检测规则。防御对抗中,该技术可突破传统针对系统工具滥用的检测模型,迫使防御方转向更底层的命令行行为分析。
This type of attack technique cannot be easily mitigated with preventive controls since it is based on the abuse of system features.
Coming soon