| ID | Name |
|---|---|
| T1059.001 | 内存驻留无文件执行 |
| T1059.002 | 合法系统工具链式调用 |
| T1059.003 | 动态代码混淆与反射加载 |
| T1059.004 | 低频时序触发型脚本执行 |
| T1059.005 | 跨进程注入式解释器劫持 |
低频时序触发型脚本执行(Low-Frequency Time-Triggered Script Execution)通过将恶意脚本的激活周期与系统合法任务计划同步,实现隐蔽的持久化控制。攻击者将恶意代码片段嵌入计划任务、登录脚本或定时服务,设置与目标系统运维节奏相符的执行间隔(如每月补丁周期、季度审计时段),使恶意活动淹没在正常管理行为中。
该技术的匿迹性源于时序维度与行为模式的深度伪装。通过分析目标系统的运维规律,攻击者设计触发条件与合法管理任务高度重合(如在数据库备份时段执行数据窃取),规避基于执行时间异常性的检测。同时,采用微量化攻击载荷(如每次执行仅收集2KB数据)和随机间隔抖动(±30%执行周期),降低网络流量与资源占用的可观测性。技术实现上,攻击者可能劫持合法任务调度框架(如Windows任务计划程序的XML定义篡改)或利用跨平台定时器接口(如cron作业注入),确保触发机制的隐蔽性。
This type of attack technique cannot be easily mitigated with preventive controls since it is based on the abuse of system features.
Coming soon