合法API隐蔽调用(Legitimate API Stealth Invocation)是一种通过调用操作系统内置函数获取地理信息的隐蔽技术。攻击者利用系统原生API(如Windows的GetLocaleInfoW、GetKeyboardLayoutList等),以合法程序行为为掩护,通过内存加载、动态链接库注入等方式间接触发地理位置信息查询。该技术规避了传统基于进程行为特征的检测机制,使信息收集行为与正常应用程序操作具有相同的API调用序列和内存访问模式,有效隐藏恶意意图。
该匿迹技术的核心在于将攻击行为深度嵌入系统合法交互流程。攻击者通过逆向分析目标系统的API调用规范,构建符合应用程序白名单行为的调用模式:首先选择高可信度API函数,避免使用已被安全产品标记的敏感接口;其次采用分阶段调用策略,将单次批量查询拆解为多次离散请求,降低函数调用频次;最后通过代码注入或进程寄生技术,将恶意代码附着于合法进程(如浏览器、办公软件)的线程中执行。技术实现中特别注重调用上下文的完整性维护,包括参数格式合规性校验、返回值处理机制模拟等,使得安全防护系统难以从海量正常API调用中识别出具有攻击意图的指令序列。
This type of attack technique cannot be easily mitigated with preventive controls since it is based on the abuse of system features.
Coming soon