网络共享发现: 合法工具隐蔽枚举

合法工具隐蔽枚举（Legitimate Tool-based Stealth Enumeration）是通过滥用操作系统内置命令或授权管理工具执行网络共享发现的高级隐蔽技术。攻击者利用系统原生组件（如Windows的net命令、PowerShell脚本或macOS的sharing命令）发起共享资源查询，将恶意行为嵌入合法管理操作流程，规避安全软件对非授权进程的检测。该技术通过精准控制命令参数和执行上下文，使共享发现行为在系统审计日志中呈现为正常管理行为，同时利用白名单机制绕过应用层监控。

该技术的匿迹效果源于对系统信任机制的逆向利用。攻击者通过研究目标环境的管理行为特征，构建符合其运维模式的命令序列，例如将net view命令与域控制器查询结合使用，使共享发现流量与日常网络维护流量具有相同的协议特征和交互模式。在实施过程中，攻击者会严格控制命令执行频率，采用多阶段任务分解策略，将单次大规模扫描拆解为多次小范围查询，并穿插合法管理操作以混淆时间线。此外，通过内存驻留或无文件执行技术规避磁盘扫描，并利用系统API的合法调用链绕过行为监控。这种深度伪装使得安全设备难以区分正常运维与恶意侦察，实现了网络共享发现在行为特征、进程树结构和日志记录层面的全方位隐匿。