| ID | Name |
|---|---|
| T1543.001 | 合法进程代码寄生注入 |
| T1543.002 | 动态服务配置伪装 |
| T1543.003 | 无文件化内存驻留服务 |
合法进程代码寄生注入(Legitimate Process Code Parasitism Injection)是一种通过将恶意代码嵌入系统可信进程内存空间实现隐蔽驻留的技术。攻击者利用进程空洞注入、反射式DLL加载或APC队列注入等方式,在不创建独立进程的前提下,将恶意模块寄生在系统核心服务(如svchost.exe、systemd)或常用应用进程中。该技术通过复用合法进程的数字签名、资源调用链和通信行为,使恶意行为与宿主进程形成深度耦合,规避基于进程树分析和签名验证的检测机制。
该技术的匿迹实现依赖于进程行为的上下文混淆与执行链伪装。首先通过内存操作技术绕过传统文件落地检测,利用合法进程的加载机制(如DLL搜索顺序劫持)实现隐蔽注入。其次,恶意代码执行时继承宿主进程的权限和网络行为特征,例如借助浏览器进程发起C2通信,或利用系统服务进程执行特权操作。关键创新点在于动态载荷适配技术:注入代码会实时解析宿主进程的模块结构,仅当检测到特定系统API调用时触发恶意功能,确保执行行为与宿主进程的正常业务逻辑保持同步。此外,通过劫持进程的异常处理机制,可在内存取证时自动擦除注入痕迹。这种深度寄生模式使得传统基于进程完整性校验或行为模式匹配的防御手段难以有效识别。
This type of attack technique cannot be easily mitigated with preventive controls since it is based on the abuse of system features.
Coming soon