动态脚本加载(Dynamic Script Loading)是一种通过远程资源按需获取攻击载荷的隐蔽初始化技术。攻击者在初始化脚本中仅保留轻量级加载器,通过HTTPS、DNS隧道等加密协议从远程服务器动态获取实际执行的恶意脚本内容。该技术通过分离持久化框架与功能模块,实现攻击链路的模块化与临时化,有效减少本地磁盘残留痕迹。
该技术的匿迹机制建立在"最小化本地足迹"与"动态代码重构"原则之上。加载器采用白名单进程注入技术(如利用msbuild.exe执行内存载荷),避免创建可疑子进程。远程脚本采用一次性访问令牌认证机制,服务器端根据客户端环境指纹(如时区、语言设置)动态生成定制化攻击载荷,规避基于固定URL或哈希值的威胁情报检测。执行过程中采用内存驻留技术,通过进程镂空(Process Hollowing)或反射DLL加载实现无文件化运行。为应对网络流量检测,通信协议严格模拟目标环境中的合法应用(如云服务API调用),并通过分片传输与冗余数据注入破坏网络行为特征的可识别性。这种动态化架构使得攻击组件在时空维度上高度离散,防御方难以建立完整的攻击证据链。
This type of attack technique cannot be easily mitigated with preventive controls since it is based on the abuse of system features.
Coming soon