合法工具链组合擦除(Legitimate Toolchain Combination Wiping)是指攻击者通过组合使用操作系统内置管理工具(如vssadmin、wbadmin、diskshadow等),以看似合规的操作序列执行系统恢复功能破坏。该技术通过将恶意删除操作拆解为多个符合系统管理规范的单步指令,并利用工具间的功能互补性实现全维度恢复点清除。攻击者通常会按照正常系统维护的操作逻辑编排命令序列,例如先查询后删除、分批次执行操作,以此规避基于单条高危命令的检测规则。
该技术的匿迹实现依赖于系统管理工具的合法性与操作时序的合理性设计。攻击者通过研究目标系统的运维手册和操作日志,构建符合管理员日常维护行为模式的命令组合。例如在Windows环境中,交替使用vssadmin删除卷影副本、wbadmin清除备份目录、bcdedit禁用恢复环境,形成多工具协同的擦除链。关键策略包括:采用系统进程白名单机制绕过安全软件监控,通过降低命令执行频率模仿常规维护节奏,以及利用工具默认参数(如/quiet模式)抑制操作回显。此类手法使得防御方难以通过进程行为特征或命令片段识别恶意意图,实现"合法工具非法使用"的攻击效果。
This type of attack technique cannot be easily mitigated with preventive controls since it is based on the abuse of system features.
Coming soon