合法脚本注入(Legitimate Script Injection)是通过篡改系统预设的初始化脚本文件植入恶意代码的隐蔽持久化技术。攻击者选择操作系统默认加载的启动脚本(如Windows组策略脚本、Linux rc.local等),在不改变原有脚本功能的前提下插入恶意代码片段,利用系统可信执行流程隐藏攻击载荷。该技术的关键在于保持原始脚本的哈希校验、数字签名及执行上下文,确保安全软件无法通过静态特征检测发现异常。
该技术的匿迹效果源于对系统可信执行链的寄生式利用。攻击者首先通过权限提升获取脚本修改权限,采用字节级精准插入而非整体替换,保留原始脚本的时间戳、权限属性等元数据。代码注入点通常选择在错误处理模块或日志记录函数之后,利用脚本执行流的非中断特性确保恶意代码的静默运行。为规避行为检测,注入代码会模拟合法进程的API调用模式,如通过rundll32加载内存模块而非直接创建新进程。同时,攻击者采用多阶段载荷分离技术,将核心恶意功能延迟到系统空闲时段执行,有效降低初始化阶段的资源占用异常。这种深度寄生策略使得恶意行为完全融入系统标准运维流程,传统基于脚本完整性校验或行为特征匹配的检测手段难以生效。
This type of attack technique cannot be easily mitigated with preventive controls since it is based on the abuse of system features.
Coming soon