| ID | Name |
|---|---|
| T1213.001 | 合法凭证滥用隐蔽访问 |
| T1213.002 | API流量伪装分页爬取 |
| T1213.003 | 数据碎片化时序检索 |
| T1213.004 | 云存储同步隐匿下载 |
数据碎片化时序检索(Temporal Fragmented Data Retrieval)是通过将大规模数据窃取任务分解为多个微请求,并按非连续时间序列执行的隐蔽数据获取技术。攻击者通过分析目标存储库的异常检测阈值(如单用户单日下载量限制),设计碎片化检索算法,将目标数据集拆分为数百个互不关联的微查询,利用自然时间间隔(如每小时执行1-2次请求)和节假日流量低谷期完成数据拼图重组,规避基于总量统计的检测机制。
该技术通过时空维度双重解耦实现匿迹效果。时间层面采用泊松分布算法生成请求间隔,模拟人类操作的时间随机性;空间层面将数据检索条件离散化,例如通过多个无关搜索关键词组合间接定位目标数据。技术实施需解决三个关键问题:分布式任务调度(使用多个低权限账户并行执行碎片请求)、数据关联重建(基于内容特征的碎片重组算法)以及元数据擦除(清除文件属性中的时间戳和用户标记)。最终形成的检索模式在单个会话层面呈现合法特征,仅当全局聚合分析时才能发现异常,但受限于存储库日志的留存周期与跨账户关联分析能力,防御方往往难以实施有效检测。
This type of attack technique cannot be easily mitigated with preventive controls since it is based on the abuse of system features.
Coming soon