多级可信服务链劫持(Multi-Stage Trusted Service Chain Hijacking)是通过篡改服务依赖关系实现执行流重定向的隐蔽攻击技术。攻击者针对Windows服务控制管理器(SCM)的链式加载机制,在合法系统服务(如Windows Update、安全中心服务)的依赖项中插入恶意服务模块,构建多级可信执行链路。通过修改服务注册表键值中的DependOnService或DependOnGroup字段,使恶意服务获得系统信任链的继承权限,并在父服务启动时被自动加载执行。
该技术通过系统信任传递机制实现攻击行为的合法化伪装。首先利用服务依赖关系的树状结构特性,将恶意服务嵌入到深度超过三级的依赖链末端,规避服务启动顺序监控工具的检测。其次采用服务劫持与模块分离策略,恶意服务本体仅保留轻量级加载器功能,核心攻击载荷通过远程服务器动态获取,确保本地系统不残留完整攻击指纹。在权限维持方面,通过劫持具有自动恢复机制的系统关键服务(如BITS),利用服务崩溃重启机制实现持久化。防御方需解析复杂的服务依赖图谱,并检测服务配置中的异常依赖项,但受限于合法服务链的复杂性,难以有效区分恶意插入节点。
This type of attack technique cannot be easily mitigated with preventive controls since it is based on the abuse of system features.
Coming soon