横向工具传输: 文件分片混淆传输

文件分片混淆传输（Fragmented Obfuscated Transfer）是通过将工具文件分解为多个数据片段，并附加混淆层进行分布式传输的技术。攻击者采用密码学算法对工具文件进行分片加密，将各片段通过不同传输渠道（如邮件附件、即时通信文件、云存储API）投送至目标主机，最终在内存中完成重组与解密。该技术通过破坏文件完整性特征与传输关联性，对抗基于文件哈希、特征码匹配的检测体系。

该技术的核心匿迹策略体现在"分而治之"与"动态混淆"两个维度。首先，文件分片机制将完整工具的特征指纹分散至多个传输片段，单个片段因缺乏完整恶意特征可规避静态检测。其次，每个片段采用差异化混淆算法（如AES-GCM、ChaCha20等动态密钥加密），并注入随机填充字节改变文件熵值分布。传输过程中，各片段通过时间离散化传输（间隔数小时至数天）与路径异构化路由（混合使用SMB、WebDAV、RESTful API等协议），进一步割裂行为关联性。最终在目标系统通过无文件技术实现内存级重组，避免落盘触发文件监控。