合法软件白利用隐蔽通信(Legitimate Software Whitelisting Abuse)是指攻击者通过滥用目标环境中已授权的远程管理软件(如TeamViewer、AnyDesk等)建立隐蔽控制通道的技术。该技术利用企业应用白名单策略的信任机制,将恶意远程会话伪装成正常技术支持活动,规避基于进程签名或行为规则的检测系统。攻击者通过劫持已安装的合法软件配置参数,或仿冒合法数字证书实现客户端伪装,使远程连接行为在进程树、网络协议、证书链等维度呈现合规特征。
该技术的匿迹效果源于对信任边界的逆向渗透与合法资源的武器化改造。攻击者首先通过侦察获取目标环境允许的远程管理软件清单,选择具有数字签名验证豁免或网络通信白名单放行特性的工具。在实施阶段,采用三种核心手法:一是通过注册表注入或配置文件篡改修改合法软件的连接参数,将控制服务器地址伪装成供应商更新节点或技术支持中心;二是利用软件插件机制加载恶意模块,在保持主程序完整性的同时扩展隐蔽通信功能;三是通过中间人攻击劫持软件升级流程,植入具备双向认证绕过的定制化版本。技术实现过程中特别注重行为模式的模仿,包括维持正常软件心跳包间隔、复用官方加密协议、匹配供应商服务器地理位置等,使得网络流量在深度包检测(DPI)和威胁情报比对中均呈现可信特征,实现恶意远程会话与企业正常运维流量的深度混淆。
This type of attack technique cannot be easily mitigated with preventive controls since it is based on the abuse of system features.
Coming soon