间接命令执行: 脚本宿主进程伪装执行

脚本宿主进程伪装执行（Script Host Process Masquerade Execution）是指攻击者利用系统内置脚本解释器（如WScript、CScript、PowerShell）的合法执行上下文，通过修改脚本属性或注入内存代码实现隐蔽命令执行的技术。该技术通过劫持脚本宿主进程的正常工作流程，将恶意操作嵌入符合脚本引擎语法规范的代码结构中，使得攻击行为在进程树、命令行参数和网络通信层面均呈现出合法脚本执行的特征。

该技术的匿迹能力来源于对脚本执行生态的深度模仿。攻击者通过三个关键步骤实现隐蔽：首先，选择具有数字签名且频繁用于系统管理的脚本宿主进程（如powershell.exe），确保进程启动符合白名单策略；其次，构造符合目标脚本引擎语法规范的恶意代码，利用混淆技术（如字符串反转、代码分段）规避静态检测，同时通过-EncodedCommand等参数进行Base64编码传输；最后，利用脚本引擎的内存驻留特性，通过反射加载、动态编译等技术实现无文件化攻击，避免在磁盘留下可检测的恶意脚本文件。这种执行方式使得攻击流量深度融入正常的脚本管理活动，传统基于进程名称黑名单或脚本文件哈希值的防御手段难以有效识别。