| ID | Name |
|---|---|
| T1087.001 | 合法API接口伪装查询 |
| T1087.002 | 凭证模糊化异步遍历 |
| T1087.003 | 元数据隐蔽提取技术 |
凭证模糊化异步遍历(Credential Obfuscation Asynchronous Traversal)是一种基于模糊查询和分布式任务调度的隐蔽账户探测技术。攻击者通过构造非精确查询条件(如部分匹配用户名、模糊邮箱域名),利用目标系统账户检索功能的容错机制,以多线程异步方式实施分布式低强度探测。该技术避免传统账户枚举中高频精准匹配的特征,通过将单次高风险的枚举操作转化为大量低置信度查询,在获取有效账户信息的同时规避基于请求模式识别的防御系统。
该技术的核心匿迹逻辑在于构建"高噪声比、低信噪比"的探测环境。攻击者采用三重模糊策略:查询条件模糊化(如使用通配符%username%)、响应处理模糊化(仅捕获特定错误码或响应时间差异)、任务调度模糊化(通过CDN节点或云函数分发探测请求)。在技术实现中,攻击载荷被封装为合法应用协议(如LDAP查询、OAuth令牌请求),并利用目标系统响应中的细微差异(如HTTP 404与403状态码的返回时长)间接推断账户存在性。整个过程不产生明显的暴力破解特征,且单个探测请求与正常用户行为具有高度相似性,使得传统基于规则匹配或阈值告警的检测机制难以有效识别。
This type of attack technique cannot be easily mitigated with preventive controls since it is based on the abuse of system features.
Coming soon