动态密码过滤器劫持(Dynamic Password Filter Hijacking)是针对Windows身份验证架构设计的隐蔽持久化技术。攻击者通过注册恶意DLL为LSA通知包组件,在密码修改或验证过程中截获明文凭证。该技术利用系统设计缺陷,将密码过滤器伪装成合法身份验证组件,在密码策略强制执行阶段实施中间人攻击,同时通过动态加载机制规避静态防御检测。
匿迹机制的核心在于深度嵌入系统认证工作流并模仿合法组件行为。攻击者通过注册表注入将恶意DLL植入LSA加载链,利用微软官方支持的Notification Packages接口实现隐蔽加载。在密码验证事件触发时,恶意过滤器同步获取明文密码及哈希值,并通过内存加密通道外传数据。为增强隐蔽性,高级实现方案采用反射式加载技术避免磁盘文件残留,并通过进程空心化技术将恶意代码注入lsass.exe的合法内存区域。部分变种结合定时触发机制,仅在特定时间窗口激活数据窃取功能,进一步降低行为异常性。
This type of attack technique cannot be easily mitigated with preventive controls since it is based on the abuse of system features.
Coming soon