权限组发现: 时间离散化凭证缓存提取

时间离散化凭证缓存提取（Time-Decoupled Credential Cache Extraction）是一种结合凭证窃取与权限发现的组合型匿迹技术。攻击者通过周期性提取系统凭证缓存（如Windows LSASS内存、Linux gpg-agent），从中解析组权限关联信息，而非直接执行显式的权限查询命令。该技术将权限发现任务拆解为多个低强度操作，利用合法身份认证过程中产生的缓存数据间接推导权限拓扑，规避对敏感API或管理接口的直接调用。

匿迹实现的关键在于攻击节奏控制与数据关联重构：首先通过注册表注入或计划任务建立持久化机制，以小时/天为单位间歇性提取凭证缓存片段；其次使用熵值分析与机器学习算法，从零散的令牌、会话密钥中逆向推导用户-组-权限映射关系；最后通过可信进程（如浏览器、办公软件）的合法网络连接回传数据碎片，避免集中式数据传输引发的异常流量告警。例如攻击者每6小时提取LSASS内存中的Kerberos票据授予票据（TGT），通过离线解析票据中的组成员身份信息，逐步构建域内权限拓扑图。这种间接发现方式不仅规避了实时检测，还通过利用系统固有机制产生的数据副产品，使权限发现行为完全脱离传统监控视野。