未加密凭证: 合法凭证管理工具滥用

合法凭证管理工具滥用（Legitimate Credential Manager Abuse）是指攻击者利用操作系统或应用程序内置的凭证管理功能实施敏感信息窃取的技术。该技术通过调用Windows Credential Manager、SSH-Agent、Keychain等系统组件提供的标准API接口，以合法身份执行凭证查询与导出操作，规避安全软件对非授权进程的监控。攻击者通过模仿正常用户的凭证管理行为，在无需部署恶意工具的情况下完成凭证收集任务。

该技术的匿迹优势源于对系统信任机制的逆向利用。攻击者首先通过权限提升获取目标系统的合法管理身份，随后使用系统原生命令（如PowerShell的Get-WmiObject）或管理工具（如Windows的vaultcmd）访问凭证存储库。通过严格遵循系统组件的标准调用流程，其操作行为在进程树、API调用序列等维度与正常管理行为完全一致。高级变种会结合定时任务或组策略，将凭证导出操作拆解为多个低权限步骤分散执行，并利用数字签名白名单机制绕过应用程序控制策略。这种"合法工具武器化"的攻击模式，使得传统基于行为异常性或工具特征识别的检测方法难以奏效，同时为攻击溯源制造了复杂的信任链干扰。