合法系统目录寄生(Legitimate Directory Parasitism)是指攻击者将暂存数据嵌入系统预设或高频访问的合法目录结构,利用文件系统白名单机制实现隐蔽存储的技术。通过模仿系统更新缓存、应用临时文件等标准目录操作模式,将窃取数据伪装成正常系统进程产生的中间文件,规避基于存储路径异常的检测规则。
该技术通过深度模仿系统行为实现存储场景伪装。攻击者首先分析目标系统的标准目录使用规范(如Windows的%TEMP%、Linux的/var/log),建立目录特征指纹库。数据存储时动态选择具有高可信度的目录节点,采用与合法文件相似的命名规则(如匹配"svchost_*.tmp"模式)和访问权限配置。进阶手法包括劫持软件安装包缓存机制,将数据封装为MSI安装临时文件,或利用浏览器下载目录存储加密数据块。技术实施需解决文件时间戳同步、目录访问行为仿真等问题,通过HOOK系统文件操作API实现透明化读写,使得数据存储过程与正常系统活动在行为轨迹上完全融合。
This type of attack technique cannot be easily mitigated with preventive controls since it is based on the abuse of system features.
Coming soon