Techniques represent 'how' an adversary achieves a tactical goal by performing an action. For example, an adversary may dump credentials to achieve credential access.
| ID | Name | Description | |
| T1197 | BITS任务 | BITS任务是攻击者滥用Windows后台智能传输服务实现持久化攻击的技术,通过创建文件传输任务执行恶意代码下载、驻留及数据渗出。传统防御手段聚焦于监控BITSAdmin工具使用、分析BITS服务日志及审查网络流量特征,依赖任务元数据异常(如非常用命令行参数)、传输目标信誉评级或未加密协议使用等特征进行检测。 | |
| .001 | 合法服务伪装BITS任务 | 合法服务伪装BITS任务(Legitimate Service Masquerading BITS Jobs)是一种通过仿冒系统或可信应用程序后台任务实现隐蔽攻击的技术。攻击者通过配置BITS任务的显示名称、描述信息及调用参数,使其与操作系统更新、办公软件同步等合法任务高度相似,利用BITS服务自身白名单属性规避行为检测。该技术的关键在于深度模仿目标环境中常见后台任务的元数据特征,使安全人员在常规审计中难以察觉异常。 | |
| .002 | 加密载荷隐蔽传输 | 加密载荷隐蔽传输(Encrypted Payload Covert Transfer)是一种利用BITS服务支持的加密协议实现数据隐匿传输的技术。攻击者通过配置BITS任务使用HTTPS或SMB 3.0加密通道进行文件传输,将恶意载荷封装在加密流量中,使网络层检测设备无法解析传输内容。该技术充分利用BITS服务与合法云存储、内容分发网络的通信特性,使得加密恶意流量与正常业务流量在协议层面无法区分,显著提高攻击行为的隐蔽性。 | |
| .003 | 持久化低活跃任务链 | 持久化低活跃任务链(Persistent Low-Activity Job Chaining)是通过构建多层次、长周期的BITS任务序列实现隐蔽驻留的技术。攻击者创建具有动态依赖关系的多个BITS任务,通过设置任务完成触发条件与最小重试间隔,将恶意操作分解为离散的低频活动单元。单个任务生存周期可延长至系统允许的最大值(默认90天),并通过错误处理机制实现任务自动重建,形成具有自恢复能力的持久化攻击链。 | |
| T1647 | Plist文件修改 | Plist文件修改是攻击者通过篡改macOS属性列表文件来控制系统行为或实现持久化的技术手段。plist文件作为应用程序和系统服务的核心配置载体,存储了从界面设置到执行参数的关键信息。攻击者通过插入恶意键值对、修改执行路径或劫持环境变量等方式,可隐蔽控制应用行为模式。传统防御手段主要依赖文件完整性监控(如fseventsd日志分析)、数字签名校验以及基于规则的模式匹配(如YARA规则)来检测异常plist修改。 | |
| T1014 | Rootkit | Rootkit是一类通过篡改操作系统底层机制实现恶意组件隐匿的深度持久化技术,其通过劫持系统API调用、操控硬件抽象层等手段,对进程、文件、网络连接等系统对象进行动态过滤与信息伪造。攻击者可以利用Rootkit技术在受害操作系统中植入恶意代码,而不被常规的安全工具或监控系统察觉。由于Rootkit通过操控系统级别的调用来隐蔽自身,其自身的存在通常不容易被检测到,可以长期潜伏在目标系统内。因为Rootkit是在系统内核层或更低层(如固件、MBR)运行,因此它能够对系统监控工具的查询进行干扰,避免了常见的防御措施的检测,防御者难以通过常规手段(如文件系统扫描、进程监控)发现恶意活动,因此攻击者在使用该技术的过程中天然具有较高的隐蔽性。 | |
| T1047 | Windows管理规范 | Windows管理规范(WMI)是Windows系统提供的基础管理框架,支持通过标准化接口查询系统信息和执行管理操作。攻击者滥用WMI实现恶意代码执行、持久化驻留和横向移动,其原生集成特性使得恶意活动能够伪装成系统管理行为。传统防御主要依靠监测wmic.exe命令行参数、识别非常用命名空间访问以及分析WMI网络连接特征。 | |
| .001 | WMI类属性混淆 |
WMI类属性混淆(WMI Class Attribute Obfuscation)是通过篡改WMI类元数据实现恶意操作隐蔽的技术。攻击者创建自定义WMI类时,采用与系统内置类相似的命名规范(如Win32_SystemUpdate),并设置误导性类描述信息,使得恶意类实例在常规WMI查询中难以与合法管理类区分。该技术深度利用WMI命名空间的可扩展性,将攻击载荷嵌入系统管理架构。
|
|
| .002 | 异步定时任务调度 |
异步定时任务调度(Asynchronous Scheduled Task Dispatch)是利用WMI定时器类实现隐蔽攻击调度的技术。攻击者通过__IntervalTimerInstruction等类创建毫秒级精度的定时事件,将恶意任务拆分为多个微任务并随机化执行间隔,使得任务调度行为融入系统后台维护进程的常规活动节奏。该技术通过时间维度稀释攻击特征,规避基于定时器周期规律的检测。
|
|
| T1220 | XSL脚本处理 | XSL脚本处理是攻击者利用可扩展样式表语言(XSL)的文件结构与脚本执行功能,绕过应用控制策略并执行恶意代码的技术。通过微软官方工具(如msxsl.exe)或Windows管理组件(如WMIC)解析嵌入了脚本的XSL文件,攻击者可在不触发传统白名单机制的情况下实现代码执行。防御方通常通过监控可疑工具调用(如异常参数或远程资源加载)、分析进程树完整性以及审查XSL文件内容来检测此类攻击。 | |
| .001 | XSL脚本混淆嵌入 | XSL脚本混淆嵌入(Obfuscated Script Embedding)是一种利用XSL文件结构特性隐藏恶意代码的技术。攻击者将经过加密、编码或分片处理的脚本嵌入XSL样式表,利用XML标准支持的脚本执行功能(如msxsl:script)实现代码动态解析。通过多层嵌套的XSLT模板和数学运算混淆关键函数调用,使静态分析工具难以提取有效载荷。该技术特别针对依赖静态特征检测的安全机制,通过合法XSL语法结构掩盖恶意行为痕迹。 | |
| .002 | 文件类型伪装执行 | 文件类型伪装执行(File Type Masquerade Execution)是通过篡改XSL文件扩展名及元数据,诱导系统将其识别为无害文件类型的技术。攻击者将恶意XSL文件重命名为.jpg、.docx等常见格式,利用Windows文件关联机制的漏洞触发解析。通过构造复合文件格式(如将XSL内容嵌入图片文件注释区),欺骗用户及安全软件将其归类为非可执行文件,从而规避基于文件扩展名的防护策略。 | |
| T1557 | 中间人攻击 | 中间人攻击指攻击者通过协议操纵或网络拓扑欺骗,在通信双方之间建立隐蔽的代理节点,进而实施数据窃取、会话劫持或流量篡改。传统防御手段依赖证书验证、协议完整性检查及异常流量分析,可通过部署DNSSEC、HSTS强制加密、无线网络指纹认证等措施进行缓解。监控重点包括ARP表异常变更、DNS解析异常及SSL/TLS协议降级事件。 | |
| .001 | HTTPS降级与协议模拟 | HTTPS降级与协议模拟(HTTPS Downgrade and Protocol Simulation)是一种通过强制通信协议降级实现流量劫持的中间人攻击技术。攻击者利用网络协议协商机制缺陷,将加密通信链路(如TLS 1.3)降级至低安全等级协议版本(如SSL 3.0),同时构建与目标服务高度仿真的交互环境,使受害者误认为仍处于安全通信状态。该技术可突破现代加密体系防护,在保持会话可信表象下实施数据窃取或篡改操作。 | |
| .002 | 合法证书滥用中间人 | 合法证书滥用中间人(Legitimate Certificate Abuse in MitM)指攻击者通过窃取或非法获取可信数字证书,构建具有合法身份认证的中间人劫持体系。该技术突破传统基于证书权威性验证的防御机制,使恶意代理节点获得与正规服务等同的信任等级。攻击者通常利用证书颁发机构漏洞、供应链污染或内存提取等手段获取有效证书私钥,建立具备完整证书链验证能力的中间人节点,实现通信链路的"合法化"劫持。 | |
| .003 | 无线接入点伪装劫持 | 无线接入点伪装劫持(Rogue AP Spoofing Hijacking)是针对无线网络环境设计的中间人攻击技术。攻击者通过仿冒合法无线热点(如公共WiFi、企业WPA2-Enterprise节点),诱导终端设备接入恶意无线网络,进而实施全流量监控与篡改。该技术利用无线协议的开放式认证特性,结合社会工程手段提升伪装可信度,使受害者主动接入攻击者控制的网络基础设施。 | |
| .004 | DNS透明化流量重定向 | DNS透明化流量重定向(DNS Transparent Redirection)是通过污染域名解析过程实现流量牵引的中间人攻击技术。攻击者在不中断现有DNS服务的前提下,通过篡改响应报文或劫持解析链路,将特定域名查询指向恶意代理节点。该技术区别于传统DNS欺骗,强调维持UDP/TCP协议交互的完整性与时序特征,避免触发DNSSEC验证告警或响应异常检测。 | |
| T1595 | 主动扫描 | 主动扫描作为网络攻击链的初始阶段,通过直接探测目标系统获取关键情报。传统检测手段依赖识别异常协议交互、高频次连接请求等特征,采用流量阈值告警与规则匹配进行防御。但随着攻击者匿迹技术的演进,单纯基于流量特征的检测方法面临严峻挑战。 | |
| .001 | 协议模拟隐蔽扫描 | 协议模拟隐蔽扫描(Protocol Emulation Stealth Scanning)是一种通过精确模仿合法协议通信特征实施网络侦察的技术。该技术深入解析目标网络常用协议(如 HTTP、DNS)的交互模式与数据包结构,构建具备完整协议栈特征的扫描请求,使探测流量在协议解析层面与正常业务流量完全一致。攻击者通过动态调整 TCP 窗口尺寸、TTL 值等网络层参数,并规范应用层字段(如 User-Agent、Referer),实现扫描行为在协议特征维度的深度隐匿。 | |
| .002 | 时间随机化分散扫描 | 时间随机化分散扫描(Temporal Randomized Distributed Scanning)是通过非线性时序调度实现扫描行为隐匿的先进技术。该技术采用复合随机算法(如泊松过程与韦伯分布结合)生成探测请求的时间间隔,并引入动态任务分片机制,将传统高强度扫描分解为多个低强度子任务,分布在扩展时间窗口内异步执行。攻击者通过建立时间熵模型,使扫描行为的时间分布特征与目标网络的业务波动周期高度吻合,有效规避基于时序规律分析的检测系统。 | |
| .003 | 云服务代理扫描 | 云服务代理扫描(Cloud Service Proxy Scanning)是利用云计算基础设施实现扫描源隐匿与流量合法化的新型技术。攻击者通过 API 动态创建云函数实例或容器服务,利用云平台提供的弹性 IP 池和内置网络路由机制,将扫描流量伪装为正常云服务通信。该技术深度整合云服务商提供的 CDN 加速、负载均衡等特性,使探测请求在传输路径和网络特征层面与合法云业务流量完全一致,形成天然的隐蔽通道。 | |
| T1554 | 主机软件二进制文件妥协 |
主机软件二进制文件妥协指攻击者通过篡改系统或应用程序的可执行文件实现持久化访问,通常涉及后门植入、认证流程劫持或防御规避等恶意行为。传统检测手段依赖数字签名验证、文件完整性监控(如Tripwire)及异常进程行为分析。防御方可通过校验签名元数据、监控客户端软件异常模块加载与网络连接等方式进行防护。 为应对日益严格的文件完整性保护机制,攻击者发展出多种隐蔽式二进制篡改技术,通过代码结构伪装、执行环境融合与信任链滥用等策略,突破传统静态检测体系的防护边界,构建出"形合法、实恶意"的新型持久化攻击范式。 现有匿迹技术的核心在于攻击载荷与宿主环境的深度适配及信任机制的逆向利用。代码寄生注入通过保持二进制文件表层完整性,在未触发签名告警的前提下实现恶意代码执行;动态库劫持利用系统依赖加载机制的缺陷,将攻击行为伪装成合法模块调用;合法证书滥用颠覆了传统信任验证体系,使恶意文件获得官方认证身份;内存驻留技术则完全规避文件系统监控,实现"无实体"攻击。四类技术的共性在于突破"文件-进程"二元检测模型,通过代码层融合、信任链寄生与执行环境劫持,将恶意行为嵌入软件生命周期的各个合法阶段,使得基于单一维度(如文件哈希、签名状态)的防御机制全面失效。 匿迹技术的演进迫使防御体系向多维动态检测转型,需结合运行时内存取证、跨进程行为关联分析、证书链深度验证等技术,构建覆盖文件静态属性、内存动态特征与信任传递路径的全周期防护体系。 |
|
| .001 | 代码寄生注入 |
代码寄生注入(Code Parasitic Injection)是一种通过篡改合法二进制文件内部结构实现持久化攻击的技术。攻击者将恶意代码片段植入目标可执行文件(如系统工具、常用应用程序)的未使用代码段或扩展节区,在保留原程序数字签名有效性的前提下,构建具备合法外壳的恶意载体。该技术利用PE/ELF文件格式特性,通过节区扩展、入口点劫持或IAT钩子注入等方式,使恶意代码随宿主程序启动而激活,同时维持原有软件功能的正常执行。 该技术的匿迹性源于二进制文件结构合法性与执行流程完整性的双重保障。攻击者通过精准计算目标文件的代码段空间分布,选择未被占用的节区或扩展新节区注入恶意载荷,避免破坏原有代码逻辑与数字签名验证机制。在注入过程中采用地址随机化重定位技术,确保恶意代码能适应不同运行环境的内存布局。执行层面通过劫持程序初始化例程或函数调用链,实现恶意代码优先加载与隐蔽执行。同时利用进程空洞注入(Process Hollowing)技术,在内存中重建合法进程镜像并替换代码段,规避基于文件完整性校验的检测。此类手法使恶意行为深度融入宿主程序的正常生命周期,形成"形实共生"的隐蔽攻击模式。 |
|
| .002 | 动态库劫持重定向 |
动态库劫持重定向(Dynamic Library Hijacking Redirection)是通过操纵程序动态链接库加载机制实现隐蔽攻击的技术。攻击者伪造或篡改目标应用程序依赖的动态链接库(如DLL、SO文件),在合法库函数中插入恶意代码,利用系统库搜索路径优先级漏洞,诱导程序加载被控库文件。该技术特别针对未指定绝对路径加载库文件的应用程序,通过构造恶意库文件与特定目录结构,实现权限维持与敏感操作拦截。 匿迹机制建立在系统级行为合法性与依赖关系隐蔽性之上。攻击者首先分析目标程序的动态库依赖树,选择未启用安全加载选项(如LD_LIBRARY_PATH限制)的库文件作为攻击面。通过逆向工程构造具有相同导出函数表的恶意库,在关键函数(如身份认证、网络通信相关函数)中植入后门逻辑。部署阶段利用环境变量篡改、快捷方式劫持或搜索路径污染等手段,将恶意库置于系统默认搜索路径前端。运行时恶意库通过代理模式转发正常函数调用至原库,确保程序功能不受影响。该技术利用动态链接机制的固有缺陷,使防御方难以通过静态文件校验或进程模块列表发现异常,实现攻击载荷的"透明化"寄生。 |
|
| .003 | 合法数字证书滥用 |
合法数字证书滥用(Legitimate Certificate Abuse)是指攻击者通过窃取或伪造有效代码签名证书,为恶意篡改的二进制文件提供合法身份认证的技术。该技术突破传统基于证书吊销列表(CRL)或证书透明度(CT)日志的检测机制,使被篡改文件在数字签名验证环节呈现合法状态,规避安全软件的静态检测。 匿迹效果通过数字身份伪装与签名验证机制绕过实现。攻击者首先通过供应链攻击、证书颁发机构(CA)漏洞利用或企业证书窃取等方式获取有效签名密钥。在篡改目标二进制文件后,使用合法证书对修改后的文件重新签名,确保其通过操作系统内核的签名验证。进阶手法包括时间戳欺诈(Time-Stamping Fraud),利用历史有效证书签署恶意文件并附加合法时间戳,延长攻击窗口期。此外,攻击者可能构造中间人证书链,将恶意证书嵌入受信CA链中,实现系统级信任欺骗。此类技术使得被控二进制文件在文件属性、进程模块验证等环节均呈现合法状态,显著提升攻击载荷的隐蔽性。 |
|
| .004 | 内存驻留无文件攻击 |
内存驻留无文件攻击(Memory-Resident Fileless Attack)是通过篡改进程内存中的二进制映像实现隐蔽驻留的技术。攻击者利用进程注入、反射式加载或内存补丁技术,直接修改运行中进程的可执行代码段,避免在磁盘留存恶意文件。该技术通过操作系统的内存管理机制,将恶意代码融入合法进程的执行上下文,实现完全基于内存的持久化攻击。 该技术的匿迹性体现在攻击链的"零接触"特征与执行环境融合能力。攻击者首先通过漏洞利用或权限提升获取目标进程的写权限,使用API钩子或直接内存写入技术篡改进程的代码段。采用反射式DLL注入技术,将恶意载荷直接加载至内存并映射为合法模块。内存补丁技术则针对特定函数指令流进行实时修改,例如在加密函数中植入密钥导出逻辑。攻击载荷通过进程空洞(Process Hollowing)或线程劫持保持活性,利用合法进程的网络连接通道进行C2通信。由于整个攻击过程不依赖磁盘文件且与宿主进程深度绑定,传统基于文件扫描或静态特征检测的防御手段完全失效,防御方需依赖实时内存取证与行为分析进行检测。 |
|
| T1546 | 事件触发执行 | 事件触发执行指攻击者通过篡改系统或应用事件响应机制,在特定条件满足时自动执行恶意代码的技术,常用于实现持久化驻留或权限提升。该技术利用操作系统内置的自动化任务调度框架(如Windows计划任务、Unix cron作业)或应用程序事件处理接口,将恶意行为与合法系统活动深度绑定。防御方通常通过监控注册表关键路径变更、分析进程创建上下文异常、校验系统组件完整性等手段进行检测,并采用最小权限原则限制事件触发组件的执行权限。 | |
| .001 | 系统事件订阅伪装 | 系统事件订阅伪装(System Event Subscription Camouflage)是一种通过劫持合法系统事件订阅机制实现隐蔽触发的攻击技术。攻击者通过篡改Windows Management Instrumentation(WMI)事件过滤器、任务计划程序或系统日志订阅等原生功能,将恶意代码执行与特定系统事件(如用户登录、进程创建或网络连接)建立关联,利用系统内置的自动化机制实现隐蔽持久化。该技术通过复用操作系统自身的事件响应框架,使恶意行为深度融入系统正常运维流程,规避基于进程行为异常的检测机制。 | |
| .002 | 云服务触发器寄生 | 云服务触发器寄生(Cloud Service Trigger Parasitism)是针对云原生环境设计的隐蔽事件触发技术。攻击者通过滥用云平台提供的函数计算服务(如AWS Lambda、Azure Functions)的事件驱动架构,将恶意代码植入云函数并与合法云服务事件(如对象存储变更、日志更新或API网关调用)进行绑定,利用云服务商的基础设施实现攻击指令的自动化触发与执行。该技术通过完全托管在云平台内部的合法资源调度机制,使恶意行为获得云服务商授予的信任链,规避基于网络流量分析的检测体系。 | |
| .003 | 动态注册表映像劫持 | 动态注册表映像劫持(Dynamic Registry Image Hijacking)是通过篡改Windows注册表映像文件执行路径实现事件触发的隐蔽技术。攻击者利用Windows系统加载可执行文件时的路径解析机制,通过注册表键值修改将合法程序(如记事本或计算器)的启动路径重定向至恶意载荷,同时保留原始程序的数字签名与文件属性。该技术通过劫持系统常用程序的执行流程,使恶意代码在用户执行高频可信操作时自动触发,形成"用户主动触发-系统合法加载-恶意代码隐蔽执行"的连锁反应。 | |
| .004 | 进程生命周期劫持 | 进程生命周期劫持(Process Lifecycle Hijacking)是通过挂钩系统进程状态变更事件实现隐蔽触发的攻击技术。攻击者利用操作系统提供的进程创建/终止通知接口(如Windows ETW或Linux Auditd),构建恶意事件订阅模块监控特定进程的生命周期变化,在目标进程启动或退出时触发预置攻击逻辑。该技术通过深度绑定系统核心进程的运行时行为,将恶意代码执行与系统稳定性操作相关联,利用系统自身进程管理机制实现隐蔽触发。 | |
| T1580 | 云基础设施发现 | 云基础设施发现是指攻击者通过云服务商提供的API、CLI工具或第三方扫描工具,对目标云环境中的计算实例、存储资源、数据库服务等基础设施进行系统性识别的侦察行为。其核心目标是绘制云资源拓扑结构,识别配置缺陷或敏感资产,为后续攻击提供情报支撑。防御方通常通过监控异常API调用模式(如高频次Describe类操作)、检测非常规凭证使用行为(如新地域的突发访问)等手段进行威胁识别,并建议实施细粒度权限控制与操作日志审计。 | |
| .001 | 合法凭证伪装探测 | 合法凭证伪装探测(Legitimate Credential Camouflage Probing)是攻击者利用已获取的合法云服务凭证(如IAM用户密钥、服务账号令牌)进行基础设施探测的技术。该技术通过模仿正常管理操作模式,调用云服务商提供的标准API接口(如AWS DescribeInstances、Azure ListVM),在权限边界内执行资源枚举操作。攻击者通常结合凭证窃取或权限提升手段,确保探测行为在授权范围内完成,规避基于异常身份验证的检测机制,使基础设施发现行为呈现出合法用户操作的表面特征。 | |
| .002 | API调用时序分散化 | API调用时序分散化(API Call Temporal Dispersion)是通过精细控制云服务API调用时序实现隐蔽探测的技术。攻击者将传统高密度、集中式的资源枚举操作,拆解为低频率、长周期的离散请求序列,使单次API调用间隔符合云平台正常业务操作的时间特征。该技术通过分析目标组织的云服务使用模式(如运维时段、批量操作周期),将探测请求嵌入合法的管理行为时间窗口,规避基于API调用频次异常或时序规律的检测机制。 | |
| .003 | 多云服务交叉关联探测 | 多云服务交叉关联探测(Cross-Cloud Correlation Probing)是利用多个云服务提供商的基础设施发现接口进行协同侦察的技术。攻击者通过同时调用AWS、Azure、GCP等主流云平台的API接口,将针对单一目标的探测任务分散到不同云服务生态中执行。该技术利用云服务间数据互操作接口(如跨云镜像复制、混合云连接服务),构建分布式探测网络,使得基础设施发现行为呈现出跨平台、多源化的特征,破坏传统单云环境下的威胁检测逻辑。 | |
| T1619 | 云存储对象发现 | 云存储对象发现是指攻击者通过云服务提供商开放的API接口,系统化枚举存储桶、容器或数据库中的对象元数据,为后续数据窃取或权限提升攻击提供情报支撑。与传统本地存储枚举不同,该技术直接利用云平台标准化接口进行信息收集,具有协议合规、跨网络边界的特点。防御方通常通过监控异常API调用频次、检测非常规参数组合以及分析跨账户访问模式等手段进行防护。 | |
| .001 | API请求速率限制自适应扫描 | API请求速率限制自适应扫描(Rate-Limit Adaptive API Scanning)是一种针对云服务API调用频率控制机制设计的隐蔽探测技术。攻击者通过动态调整对象枚举请求的发送频率,使其始终保持在云服务商设定的API速率限制阈值之下,同时结合请求参数的智能变化,模拟合法用户的正常数据访问模式。该技术通过精细控制请求间隔、批量查询规模及错误重试策略,在规避云平台反滥用机制的同时,持续获取目标存储桶的敏感元数据。 | |
| .002 | 跨租户分布式枚举 | 跨租户分布式枚举(Cross-Tenant Distributed Enumeration)是通过协调多个云服务租户账户实施协同式存储对象探测的高级隐匿技术。攻击者利用公有云平台的多账户管理特性,预先创建或控制多个独立租户身份,将传统单账户集中式枚举任务分布式调度至不同账户执行。每个租户仅承担部分目标存储桶的探测任务,通过分布式任务调度平台实现请求的时空解耦与结果聚合,有效规避基于单账户行为分析的云安全防护机制。 | |
| .003 | 元数据混淆查询 | 元数据混淆查询(Metadata Obfuscation Query)是一种通过合法API参数组合隐藏真实攻击意图的云存储探测技术。攻击者深入研究云存储服务API规范,构造包含多个合规查询参数的复合请求,将敏感对象枚举需求嵌套在看似正常的业务查询中。例如在AWS S3的ListObjectsV2请求中,通过精心设计prefix、delimiter、encoding-type等参数组合,在获取目标目录结构的同时避免触发基于关键词过滤的安全策略。 | |
| T1526 | 云服务发现 | 云服务发现是攻击者通过云平台API接口枚举计算实例、存储服务、安全组件等资源信息的关键侦察技术,为后续横向移动、权限提升和数据窃取提供情报支撑。防御方通常通过监控异常API调用模式(如高频List操作)、分析非常规权限使用(只读账户执行写操作)以及检测非常规地理来源请求等手段进行防护。云原生安全工具(如AWS GuardDuty、Azure Security Center)可基于机器学习建立API行为基线,识别偏离正常模式的侦察行为。 | |
| .001 | 合法身份低频查询 | 合法身份低频查询(Legitimate Identity Low-Frequency Query)是一种利用合法云服务凭证实施隐蔽侦察的技术。攻击者通过窃取或仿冒具备基础权限的云账户身份,以低于常规检测阈值的频率调用云服务API(如AWS DescribeInstances或Azure ListResources),在保持身份凭证有效性的同时,将探测行为融入正常运维操作中。该技术通过精确控制请求间隔与数据量,规避基于API调用频率或突发流量的异常检测机制,实现长期、低噪的云环境资产测绘。 | |
| .002 | 多租户API流量混淆 | 多租户API流量混淆(Multi-Tenant API Traffic Obfuscation)是一种利用云平台多租户特性隐藏恶意探测行为的技术。攻击者将云服务发现请求嵌入到高吞吐量的合法API流量中,通过租户间流量混杂与协议级特征模仿,使恶意API调用在云服务提供商的集中式审计体系中失去可辨识性。该技术特别针对云原生安全架构的流量聚合特性,利用大规模分布式系统的背景噪声掩盖定向探测行为。 | |
| .003 | 跨云服务分布式探测 | 跨云服务分布式探测(Cross-Cloud Distributed Probing)是通过协调多个云服务提供商的资源实施协同侦察的技术。攻击者利用不同云平台(如AWS、Azure、GCP)的API接口差异性和安全策略隔离性,将云服务发现任务分解为跨平台、跨区域的离散请求,构建分布式侦察网络。该技术通过云服务商之间的天然边界阻断防御方的关联分析,同时利用各平台审计日志的非互通性制造溯源盲区。 | |
| T1538 | 云服务控制面板 | 云服务控制面板攻击是指攻击者通过身份凭证窃取或权限滥用,直接访问云服务商提供的管理控制台界面,利用可视化操作界面获取敏感信息或实施配置篡改。与传统API调用攻击不同,控制台操作可绕过部分API监控策略,直接通过图形界面执行高危操作(如安全组策略修改、日志导出)。防御措施通常包括监控控制台登录事件、分析非常用地理位置访问、检测异常时间段操作等。 | |
| .001 | 合法会话劫持控制台访问 | 合法会话劫持控制台访问(Legitimate Session Hijacking Console Access)是通过窃取有效用户会话凭证实施云服务控制面板隐蔽操控的高级攻击技术。攻击者利用网络中间人攻击、恶意浏览器扩展或跨站脚本漏洞,劫持已通过身份验证的用户会话令牌(如OAuth令牌或Cookies),直接绕过身份认证环节进入云管理控制台。该技术通过复用合法会话上下文,规避基于登录行为分析的检测机制,实现攻击行为与正常用户操作的深度混淆。 | |
| .002 | 多因素认证旁路渗透 | 多因素认证旁路渗透(MFA Bypass Infiltration)是针对云服务控制台多因素认证机制的定向突破技术。攻击者通过社会工程学攻击(如SIM卡劫持、验证码钓鱼)、身份提供者(IdP)配置漏洞利用或生物特征伪造等手段,绕过多因素认证环节直接获取控制台访问权限。该技术特别针对采用静态MFA验证的云环境,通过破坏认证链中最薄弱环节,在保持身份凭证有效性的同时消除二次验证告警,实现高隐蔽性的控制台渗透。 | |
| .003 | 时间离散化控制台操作 | 时间离散化控制台操作(Temporal Dispersion Console Operations)是通过精细化操作时序规划实现云管理行为隐匿的高级技术。攻击者通过分析目标组织的云控制台使用规律,将恶意操作(如IAM策略修改、日志清理)拆解为多个微操作,并分散在目标用户活跃时间段内执行。该技术结合用户行为画像建模与操作节奏控制,使恶意行为在时间维度上融入正常管理活动,规避基于操作时间异常性的检测规则。 | |
| T1651 | 云管理命令 | 云管理命令是攻击者通过云平台提供的管理接口(如AWS Systems Manager、Azure RunCommand)在虚拟机中远程执行命令的技术,通常利用云服务商预装的代理程序实现无端口攻击。该技术可被用于横向移动、持久化控制或数据窃取,防御措施主要包括实施最小权限原则、启用多因素认证、监控管理API调用日志以及限制虚拟机出站连接。 | |
| .001 | 混合操作链伪装执行 | 混合操作链伪装执行(Hybrid Operation Chain Camouflage Execution)是一种将恶意云管理命令嵌入合法运维流程的隐蔽攻击技术。攻击者通过分析目标云环境的日常管理行为模式,构造包含正常指令与恶意代码的混合型操作链,利用云平台的任务编排服务(如AWS Step Functions、Azure Logic Apps)实现攻击指令的分布式执行。该技术的关键在于保持单条指令的合规性阈值,使安全审计难以从海量操作记录中识别异常指令序列。例如,攻击者将恶意PowerShell脚本拆解为多个合规API调用,通过工作流引擎实现自动化组装执行。 | |
| .002 | 影子凭证劫持调度 | 影子凭证劫持调度(Shadow Credential Hijacking Scheduling)是一种利用云平台身份联邦机制实现隐蔽命令控制的技术。攻击者通过窃取或伪造云服务的临时安全令牌(如AWS STS Token、Azure AD Access Token),将恶意命令执行请求伪装成合规的身份联邦操作。该技术深度整合云服务的角色委托机制,通过构造合法的AssumeRole请求链,在目标虚拟机的托管身份中注入持久化后门,实现基于元数据服务的隐蔽命令中继。 | |
| .003 | 跨域日志逃逸控制 | 跨域日志逃逸控制(Cross-Domain Log Evasion Control)是针对云平台日志审计机制的对抗性技术。攻击者通过分析不同云服务的日志记录边界与留存策略,精心设计命令执行路径以规避关键日志采集点。例如,利用多云环境的日志同步延迟,在日志聚合系统更新前完成恶意操作并清除痕迹;或通过调用不记录操作日志的底层API接口(如某些云厂商的裸金属管理接口)执行高危指令。 | |
| .004 | 加密任务编排伪装 | 加密任务编排伪装(Encrypted Task Orchestration Camouflage)是一种结合云工作流加密与动态负载注入的隐蔽攻击技术。攻击者利用云平台提供的任务编排加密功能(如AWS加密型Systems Manager文档),将恶意命令代码加密后嵌入合规的自动化脚本中。通过云服务内置的KMS密钥管理系统实现攻击载荷的动态解密与执行,使得恶意内容在传输、存储阶段均保持加密状态,仅在工作流执行时内存中解密。 | |
| T1530 | 从云存储获取数据 | Adversaries may access data from cloud storage. | |
| .001 | 合法凭证滥用扫描 | 合法凭证滥用扫描(Legitimate Credential Abuse Scanning)是指攻击者通过窃取或泄露的合法身份凭证,模拟正常用户行为模式访问云存储服务的技术。该技术利用云服务商的身份认证机制缺陷,将恶意数据获取行为伪装成授权用户的标准操作,规避基于异常身份识别的检测机制。攻击者通常结合凭证泄露事件或弱权限配置漏洞,在身份认证层面构建合法访问通道,使数据抽取行为融入日常业务操作流程。 | |
| .002 | 多租户API调用混淆 | 多租户API调用混淆(Multi-Tenant API Call Obfuscation)是一种利用云平台多租户架构特性隐匿数据窃取行为的技术。攻击者通过控制多个租户账户,将数据窃取任务分解为跨租户的分布式API请求,利用云服务商对跨租户流量关联分析能力的不足,实现恶意行为的特征稀释。该技术特别适用于具有资源共享特性的云存储服务(如AWS S3跨账户访问),通过租户间权限继承和资源映射关系构建隐蔽的数据传输通道。 | |
| .003 | 云存储元数据伪装 | 云存储元数据伪装(Cloud Storage Metadata Camouflage)是通过篡改API请求中的元数据字段,使恶意数据访问行为呈现为管理维护操作的技术。攻击者利用云存储服务的管理接口特性(如AWS S3的bucket policy更新API),在数据窃取请求中注入管理类操作的特征参数,干扰安全系统的意图识别能力。该技术的关键在于深度解析云服务API的语义结构,构建具有双重功能的混合型请求,在实现数据抽取的同时伪装成配置审计、备份验证等合规操作。 | |
| .004 | 低频分批次数据抽取 | 低频分批次数据抽取(Low-Frequency Batch Data Exfiltration)是通过延长窃取周期、降低单次数据量的方式规避流量监测的技术。攻击者将大规模数据资产拆分为多个微批次,按照预设时间策略(如配合业务高峰时段)进行间歇式传输,使单次数据流量低于云服务商或企业设置的异常阈值。该技术结合云存储的数据分片机制和合法业务的数据同步模式,构建具有时序隐蔽性的长期渗透通道。 | |
| T1213 | 从信息存储库获取数据 |
从信息存储库获取数据指攻击者通过访问企业数据库、协作平台等存储系统窃取敏感信息的行为,这些信息可为后续攻击提供关键情报。防御措施通常包括监控特权账户访问、检测异常文档检索模式(如短时间内大量下载)以及部署用户行为分析(UBA)系统识别非常规操作序列。 为规避传统检测机制,攻击者发展出多种隐蔽数据获取技术,通过身份伪装、协议仿真、流量稀释等策略,将恶意操作融入正常业务流程,形成"低特征、高持续"的新型数据窃取模式。 现有匿迹技术的核心在于多维度的合法化伪装与攻击痕迹稀释:合法凭证滥用通过身份信任机制绕过认证监控,使数据访问行为获得表面合法性;API流量伪装利用协议合规性掩盖自动化爬取特征,使恶意请求与正常业务交互难以区分;数据碎片化检索通过时空维度解构攻击行为,使单次操作特征低于检测阈值;云同步隐匿下载则借助企业基础设施的信任链,将数据泄露过程分解为多个合规操作环节。四类技术的共性是通过深度利用目标环境信任关系(身份、协议、业务流程),将攻击行为解构重组为系统认可的合法交互,迫使防御方必须实施跨系统日志关联、细粒度行为建模等高阶检测手段。 匿迹技术的演进导致传统基于单点日志分析与批量操作检测的防御体系逐渐失效,防御方需构建身份行为基线、API交互模式画像、数据访问上下文分析等能力,并整合云原生安全监控与本地日志审计数据,方能有效识别隐蔽的数据窃取行为。 |
|
| .001 | 合法凭证滥用隐蔽访问 |
合法凭证滥用隐蔽访问(Legitimate Credential Abuse for Stealthy Access)是指攻击者通过窃取或社会工程获取的有效身份凭证,以合法用户身份访问信息存储库的技术。该技术利用目标系统对已验证身份的信任机制,绕过基于异常登录检测的防护体系,通过模拟正常用户操作模式(如访问频率、时间窗口、交互路径)实现数据窃取的隐蔽化。攻击者通常结合凭证盗窃(如T1552)与权限维持(如T1098)技术,确保对存储库的长期低可见访问。 该技术的匿迹性源于身份可信度与行为模式仿真的双重保护。攻击者首先通过钓鱼攻击或密码喷洒获取具有存储库访问权限的合法凭证,利用目标系统对身份认证的信任机制规避登录异常检测。在操作层面,严格遵循目标组织的业务时间规律(如工作日9:00-18:00)、采用人类操作节奏(如页面停留时间随机化、鼠标移动轨迹模拟)以及控制单次数据获取量(如每次下载不超过10份文档),使访问行为与正常用户画像高度吻合。技术实现需解决凭证生命周期管理(定期更新失效凭证)、权限梯度利用(优先使用低权限账户避免触发特权监控)以及日志清洗(清除或篡改访问日志记录)等关键问题,最终形成"身份合法、行为合规"的隐蔽数据窃取通道。 |
|
| .002 | API流量伪装分页爬取 |
API流量伪装分页爬取(API Traffic Camouflage with Paginated Crawling)是通过模拟合法应用程序接口调用模式,对信息存储库实施隐蔽数据抽取的技术。攻击者分析目标存储库的标准API交互特征(如请求头结构、参数格式、响应处理),构建符合平台规范的自动化爬虫程序,通过分页参数动态调整、请求间隔随机化以及设备指纹伪装等手段,将恶意爬取行为隐匿在正常业务API流量中。该技术尤其适用于Confluence、SharePoint等提供标准化接口的企业协作平台。 匿迹机制的核心在于协议层特征融合与流量时序混淆。攻击者首先逆向工程目标API的认证流程(如OAuth令牌刷新机制)和数据结构(如JSON响应模板),确保爬虫请求在协议层面与合法客户端完全一致。分页策略采用渐进式参数递进(如每5分钟请求下一页数据)而非连续密集访问,避免触发API速率限制告警。流量特征伪装包括:使用主流浏览器User-Agent头、模拟地域性IP访问特征、注入合法Referer参数等。高级变种会结合机器学习动态调整请求模式,例如在检测到目标系统负载升高时自动暂停爬取,或根据历史访问数据生成合理的搜索关键词以掩盖定向数据收集意图。 |
|
| .003 | 数据碎片化时序检索 |
数据碎片化时序检索(Temporal Fragmented Data Retrieval)是通过将大规模数据窃取任务分解为多个微请求,并按非连续时间序列执行的隐蔽数据获取技术。攻击者通过分析目标存储库的异常检测阈值(如单用户单日下载量限制),设计碎片化检索算法,将目标数据集拆分为数百个互不关联的微查询,利用自然时间间隔(如每小时执行1-2次请求)和节假日流量低谷期完成数据拼图重组,规避基于总量统计的检测机制。 该技术通过时空维度双重解耦实现匿迹效果。时间层面采用泊松分布算法生成请求间隔,模拟人类操作的时间随机性;空间层面将数据检索条件离散化,例如通过多个无关搜索关键词组合间接定位目标数据。技术实施需解决三个关键问题:分布式任务调度(使用多个低权限账户并行执行碎片请求)、数据关联重建(基于内容特征的碎片重组算法)以及元数据擦除(清除文件属性中的时间戳和用户标记)。最终形成的检索模式在单个会话层面呈现合法特征,仅当全局聚合分析时才能发现异常,但受限于存储库日志的留存周期与跨账户关联分析能力,防御方往往难以实施有效检测。 |
|
| .004 | 云存储同步隐匿下载 |
云存储同步隐匿下载(Cloud Storage Sync-based Covert Download)是滥用企业云存储服务(如OneDrive、SharePoint Online)的同步功能实现数据隐蔽外传的技术。攻击者将目标文档添加到已授权的同步目录,利用客户端定期同步机制将数据自动下载至受控端点,再通过合法云API或Web界面进行二次外传。该技术将恶意数据流动嵌入企业正常的云同步流量中,规避基于异常下载行为的检测规则。 匿迹性体现在同步协议特征合规与数据流路径伪装两个方面。攻击者首先通过权限提升或凭证窃取获得同步目录写入权限,将敏感文档以版本更新或协作编辑名义添加至同步队列。同步过程利用TLS加密通道和标准OneDrive同步协议,使下载行为在流量层面与正常文件同步无法区分。数据外传阶段采用云服务商提供的合法共享接口(如生成临时分享链接),结合时间延迟策略(如72小时后触发外传)降低操作关联性。防御方需同时监控同步客户端的异常文件操作与云API的异常共享行为,但因两类日志通常分散在不同系统,实施关联分析的难度显著增加。 |
|
| T1025 | 从可移动介质获取数据 | 从可移动介质获取数据是指攻击者通过已控制的系统读取连接在主机上的移动存储设备,收集敏感信息用于后续攻击活动。传统检测方法侧重于监控文件系统访问日志、分析进程命令行参数,以及检测可疑的外部设备连接事件。防御措施包括限制可移动介质使用权限、部署设备控制策略,以及监控自动化收集工具的行为特征。 | |
| T1555 | 从密码存储中获取凭证 | 从密码存储中获取凭证是指攻击者通过访问系统或应用程序的密码存储机制,窃取用户认证信息的攻击技术。常见目标包括操作系统凭据保险库、浏览器保存的密码、云服务密钥管理器等。防御方通常通过监控敏感文件访问、检测异常进程内存操作以及分析加密存储访问模式等手段进行防护,例如使用文件完整性监控工具或限制高权限进程的创建。 | |
| .001 | 内存隐蔽提取 | 内存隐蔽提取(Stealthy Memory Extraction)是针对密码存储机制的高级攻击技术,攻击者通过非驻留式内存操作获取敏感凭证。该技术利用操作系统内存管理机制的脆弱性,在密码管理器或系统组件解密凭证的瞬时窗口期,对进程内存进行精准扫描与提取。与传统磁盘扫描不同,该技术避免触发文件系统监控,通过动态注入内存解析模块,定位并提取解密后的明文密码缓存,实现无痕化凭证窃取。 | |
| .002 | 合法API劫持 | 合法API劫持(Legitimate API Hijacking)是通过滥用系统或应用程序提供的标准接口实现隐蔽凭证窃取的技术。攻击者通过逆向工程分析目标应用的密码存储机制,构造符合规范的API调用序列,伪装成合法组件请求凭证解密服务。例如,利用浏览器扩展API获取已保存的登录凭据,或通过操作系统密钥环接口批量导出加密密钥,实现"合规化"的凭证提取。 | |
| .003 | 加密存储密钥破解 | 加密存储密钥破解(Encrypted Store Key Cracking)是针对密码管理系统加密机制的定向攻击技术。攻击者通过侧信道攻击、弱密钥推导或硬件漏洞利用等方式,获取加密凭证存储容器的解密密钥。该技术特别针对采用主密码保护机制的密码管理器,通过离线暴力破解与智能字典攻击相结合的方式,突破加密存储的最后防线。 | |
| .004 | 云凭证代理同步 | 云凭证代理同步(Cloud Credential Proxy Synchronization)是针对混合云环境的隐蔽攻击技术。攻击者通过劫持云服务代理客户端或设备管理接口,在合法同步流程中窃取云平台凭证。该技术利用企业云管理策略的信任边界,通过中间人攻击篡改同步协议,将云账号密钥注入攻击者控制的存储节点,实现凭证的隐蔽外泄。 | |
| T1005 | 从本地系统获取数据 | 从本地系统获取数据是指攻击者通过访问目标系统的文件系统、数据库或配置存储,收集敏感信息以供后续攻击使用的技术。传统检测手段侧重于监控异常文件访问模式(如大量敏感目录遍历)、可疑进程创建事件(如非授权使用命令行工具)以及非常规数据操作行为(如批量注册表导出)。防御措施包括实施严格的进程白名单、监控命令行活动日志、部署文件完整性监控(FIM)系统等。 | |
| .001 | 内存驻留数据提取 | 内存驻留数据提取(Memory-Resident Data Extraction)是一种通过全程在内存中完成数据采集与处理的隐蔽技术。攻击者利用无文件攻击技术,通过进程注入或内存加载恶意模块的方式,直接在目标系统内存中检索敏感数据,避免在磁盘上留下任何文件痕迹。该技术通过挂钩系统API或利用合法进程的内存空间,实时截取正在处理的业务数据(如数据库缓存、应用程序临时文件),实现数据采集过程的全内存化操作,规避传统基于磁盘文件监控的检测机制。 | |
| .002 | 合法系统工具链式调用 | 合法系统工具链式调用(Legitimate Tool Chain Invocation)是一种通过组合使用操作系统内置工具完成数据收集的隐蔽技术。攻击者利用PowerShell、WMIC、certutil等系统管理工具的功能组合,构建无需部署恶意软件的数据采集链。通过将敏感文件读取、数据编码、临时存储等操作拆解为标准命令序列,并利用工具间的输入输出管道传递数据,使整个采集过程呈现为正常的系统管理行为。 | |
| .003 | 数据分片隐匿传输 | 数据分片隐匿传输(Data Fragmentation and Stealthy Exfiltration)是一种通过将敏感数据拆分为微片段并混入正常网络流量的隐蔽传输技术。攻击者利用协议合规的通信通道(如HTTP分段下载、DNS TXT记录查询),将数据片段封装为合法业务交互的组成部分。通过控制分片大小、传输间隔和路由路径,使数据泄露流量在协议合规性、流量规模和时序特征上与正常业务流量高度相似。 | |
| .004 | 时间延迟渐进式收集 | 时间延迟渐进式收集(Time-Delayed Progressive Collection)是一种通过延长数据采集周期降低检测概率的隐蔽技术。攻击者将传统的高强度批量数据窃取行为,拆解为多个低强度、长间隔的微量采集任务。通过匹配目标系统的业务周期(如季度报表生成时段)或运维窗口(如夜间备份时段),在合法操作的时间缝隙中执行数据收集,使单次行为特征低于检测阈值。 | |
| .005 | 文件属性伪装与元数据伪造 | 文件属性伪装与元数据伪造(File Attribute Spoofing and Metadata Forgery)是一种通过篡改文件系统元数据隐藏敏感数据存在的技术。攻击者利用NTFS交换数据流(ADS)、文件扩展名伪装、时间戳篡改等手段,使窃取的数据文件在常规检查中呈现为合法系统文件。通过将敏感数据存储在系统保留区域(如$MFT未分配空间)或伪装成缓存文件,规避基于文件属性特征的检测。 | |
| T1039 | 从网络共享驱动器获取数据 | 从网络共享驱动器获取数据是指攻击者通过访问企业内网文件共享服务,非法提取敏感信息的数据窃取技术。攻击者通常利用合法凭证或协议漏洞,通过SMB、NFS等标准协议访问共享目录,结合命令行工具或API接口批量下载目标文件。传统防御手段主要依赖文件访问日志审计、异常权限变更监控以及网络流量内容检测等技术,通过分析账户行为异常、数据流出量突变等特征识别潜在威胁。 | |
| T1602 | 从配置存储库获取数据 | 从配置存储库获取数据是指攻击者通过访问网络设备、服务器等系统的配置存储库(如SNMP MIB、设备配置文件、云服务元数据接口),收集系统架构、安全策略、设备参数等敏感信息的技术。该技术常利用SNMP、SSH、HTTP/S等协议进行数据提取,防御方可通过监控非常规协议端口访问、异常配置查询频次以及未授权凭证使用等行为进行检测。 | |
| .001 | 协议模拟访问 | 协议模拟访问(Protocol Emulation Access)是一种通过模仿合法管理协议通信模式实施隐蔽数据窃取的技术。攻击者通过精确复现SNMP、HTTP/S、SSH等协议的标准交互流程,将恶意配置查询请求嵌入正常的设备管理流量中。该技术利用网络运维中普遍存在的自动化配置同步机制,通过构造符合RFC规范的协议数据单元(PDU),使配置提取行为在协议层与合法操作完全同构,规避基于协议异常分析的检测机制。 | |
| .002 | 加密配置通道 | 加密配置通道(Encrypted Configuration Channel)是一种利用加密协议隧道隐藏配置数据窃取行为的技术。攻击者通过强制启用SNMPv3、HTTPS或SSH等加密协议与配置存储库建立安全通信链路,将敏感配置数据的传输过程完全封装在加密会话中。该技术不仅保护数据传输的机密性,更重要的是通过加密载荷模糊化关键操作指令(如SNMP GetRequest参数、SSH远程命令),使得网络层检测设备无法通过深度包解析识别恶意意图。 | |
| .003 | 低频定时爬取 | 低频定时爬取(Low-Frequency Scheduled Crawling)是通过延长数据采集周期、智能匹配运维节奏实现隐蔽配置窃取的技术。攻击者通过长期监测目标配置存储库的访问模式,将恶意查询任务拆解为低频率、小批量的数据请求,并严格遵循目标系统的维护时间窗口(如每月补丁周期、每日备份时段)执行操作。该技术将传统高强度的批量数据窃取转化为细粒度、长周期的持续渗透,显著降低单次操作的异常性指标。 | |
| .004 | 凭证伪装渗透 | 凭证伪装渗透(Credential Camouflage Infiltration)是通过盗用或伪造合法身份凭证实现配置存储库隐蔽访问的技术。攻击者通过钓鱼攻击、内存窃取或弱口令爆破获取管理员账户权限后,在配置查询过程中完整模拟该账户的典型操作模式(如常用指令集、访问时间规律、设备白名单)。该技术不仅规避身份认证机制的告警,还通过行为克隆使恶意活动与历史合法操作记录保持行为一致性。 | |
| T1090 | 代理 | 代理技术是攻击者通过中间系统转发网络流量以隐藏真实源头或规避网络限制的战术手段,常用于命令控制、数据渗漏等场景。传统代理技术依赖VPN、SOCKS等标准协议,可通过检测非常用端口通信、分析协议合规性、识别节点地理位置异常等方法进行防御。现代防御体系通常结合流量指纹分析、TLS证书验证和节点信誉评估等机制识别恶意代理行为。 | |
| .001 | 多层暗网代理链 | 多层暗网代理链(Multi-Layer Darknet Proxy Chain)是指攻击者通过构建多层加密匿名网络架构,将通信流量在Tor、I2P等暗网节点间进行多次跳转的隐匿技术。该技术通过至少三个层级的中继节点对流量实施洋葱路由加密,每个节点仅知晓相邻节点的信息,并采用动态路径切换机制避免固定路由模式。技术实现需结合定制化加密协议与流量整形算法,确保各层级间的会话保持与传输效率,同时抵御流量指纹识别。 | |
| .002 | 合法云服务反向代理滥用 | 合法云服务反向代理滥用(Legitimate Cloud Service Reverse Proxy Abuse)指攻击者利用公有云平台提供的反向代理服务(如Cloudflare Workers、AWS CloudFront)作为恶意流量中转层。通过注册合法云服务账户并配置反向代理规则,将C2服务器隐藏在云服务提供的官方域名和IP背后,使得所有通信流量均通过云服务商的网络基础设施进行中转。技术实现需解决证书管理、协议适配和日志擦除等问题,确保云服务安全审计机制无法检测异常。 | |
| .003 | 协议隧道化动态代理 | 协议隧道化动态代理(Protocol-Tunneled Dynamic Proxy)是通过在标准应用层协议内构建加密隧道,实现代理流量深度伪装的技术。该技术将C2通信封装在HTTP/3、WebSocket或MQTT等协议的有效载荷中,并动态切换隧道协议类型以匹配目标网络环境特征。隧道构建采用前向纠错与自适应码率调整技术,确保在高丢包网络环境下维持稳定连接,同时通过协议指纹模拟工具实现与合法客户端的行为一致性。 | |
| T1537 | 传输数据至云账户 | 传输数据至云账户是指攻击者利用云服务提供商的原生功能,将窃取的数据转移至其控制的云账户。该技术通过滥用云平台的数据共享API、备份服务及跨账户传输机制,规避传统基于网络边界监控的数据渗出检测。防御措施主要包括监控账户间的异常数据共享行为、分析云日志中的可疑API调用(如AWS CloudTrail的ModifySnapshotAttribute事件)以及审查临时访问凭证的签发记录。 | |
| .001 | 多云账户数据分片聚合 | 多云账户数据分片聚合技术通过将待渗出数据分割为多个加密片段,分别传输至不同云服务商的受控账户,最后在云端进行重组。攻击者利用企业多云架构中存在的合法跨云通信通道(如AWS Direct Connect与Azure ExpressRoute的混合连接),将数据片段伪装成跨云负载均衡流量或分布式存储同步流量。每个片段传输过程均遵循对应云平台的数据传输规范,且片段尺寸经过精心设计以匹配目标账户的正常业务流量模型。 | |
| T1036 | 伪装 | Adversaries may attempt to manipulate features of their artifacts to make them appear legitimate or benign to users and/or security tools. Masquerading occurs when the name or location of an object, legitimate or malicious, is manipulated or abused for the sake of evading defenses and observation. This may include manipulating file metadata, tricking users into misidentifying the file type, and giving legitimate task or service names. | |
| .001 | 合法服务名仿冒 | 合法服务名仿冒(Legitimate Service Name Spoofing)是攻击者通过精确复制或近似模仿操作系统核心进程、可信应用服务名称的方式实现恶意程序隐匿的技术手段。该技术利用系统进程白名单机制和用户认知惯性,将恶意可执行文件命名为与系统关键服务(如svchost.exe、lsass.exe)高度相似的名称(如svch0st.exe、Isass.exe),或直接劫持合法服务加载路径,使恶意进程在进程列表、日志记录等环节呈现为可信实体,规避基于进程名称匹配的安全检测。 | |
| .002 | PE元数据镜像篡改 | PE元数据镜像篡改(PE Metadata Mirror Tampering)是一种针对可执行文件格式特征的深度伪装技术。攻击者通过修改可执行文件的PE(Portable Executable)结构头部信息,包括InternalName、OriginalFilename、ProductName等字段,使其与合法软件的元数据特征完全一致。该技术不仅改变文件在资源管理器中的显示属性,还能欺骗部分安全产品的文件信誉评估系统,使恶意文件在静态检测环节被误判为可信对象。 | |
| .003 | 文件扩展名混淆 | 文件扩展名混淆(File Extension Obfuscation)是通过操纵文件命名规则误导用户及安全系统对文件类型的认知,从而实现恶意载荷隐蔽投递的技术手段。攻击者利用操作系统对文件扩展名的解析机制缺陷,采用空格填充、特殊Unicode字符(如右至左覆盖符U+202E)、多重扩展名叠加等方式构造非常规文件名,例如将"malware.exe"伪装为"document.pdf.exe"或"invoice.txtgpj.exe",诱导用户误判文件类型并执行恶意代码。 | |
| .004 | 系统工具动态重命名 | 系统工具动态重命名(Dynamic Renaming of System Utilities)是攻击者通过实时修改系统自带管理工具(如PsExec、Regsvr32)的文件名,规避安全产品对已知恶意命令行工具检测的技术手段。该技术利用白名单机制对系统工具路径的信任,通过重命名使其在进程创建日志中呈现为未知可执行文件,同时保留原有功能用于横向移动或权限提升。 | |
| .005 | 虚假数字签名构造 | 虚假数字签名构造(Counterfeit Digital Signature Fabrication)是攻击者通过伪造或盗用合法证书为恶意文件添加可信数字签名的技术手段。该技术不仅包括直接窃取企业证书私钥进行签名,还涉及构造具有合法颁发机构链但实体信息虚假的证书(如注册空壳公司获取EV代码签名证书),使恶意文件在数字签名验证环节显示为"已验证发布者",从而绕过应用程序白名单和邮件附件过滤机制。 | |
| T1656 | 伪装 | 伪装是攻击者通过伪造身份或权限,冒充可信实体以实施欺骗行为的战术手段。其核心目标是通过构建虚假信任关系,诱导受害者执行敏感操作(如转账、凭证提供或权限授予)。传统防御手段主要依赖邮件安全协议(SPF/DKIM/DMARC)验证、域名相似度分析、社交平台身份认证机制等,通过技术验证与人工审核相结合的方式识别异常身份特征。 | |
| T1606 | 伪造Web凭证 | 伪造Web凭证是指攻击者通过密码学手段或协议漏洞生成虚假身份凭证,用以绕过Web应用及云服务的身份验证机制。与传统凭证窃取不同,该技术通过构造新的合法凭证而非窃取现有凭证,可规避多因素认证等防护措施。防御方通常通过监测异常身份申领行为(如非常规时段令牌请求)、分析凭证使用模式(如跨地域异常访问)以及审查加密签名完整性等手段进行检测与防御。 | |
| .001 | 动态令牌云服务伪造 | 动态令牌云服务伪造(Dynamic Token Cloud Service Forgery)是一种利用云平台原生API生成临时安全凭证的隐蔽身份伪造技术。攻击者通过合法云服务接口(如AWS AssumeRole、Azure AD App Registration)创建具有限时有效期的访问令牌,利用云服务商颁发的官方凭证机制绕过传统身份验证检测。该技术通过模拟云平台正常业务场景下的临时凭证生成流程,将恶意身份构造行为嵌入合法的API调用链中,使得生成的令牌具备完整的加密签名与授权策略,可在不触发异常告警的情况下实现权限提升。 | |
| .002 | 加密签名Cookie生成 | 加密签名Cookie生成(Encrypted Signature Cookie Generation)是一种通过逆向工程Web应用会话管理机制构造合法加密Cookie的凭证伪造技术。攻击者通过分析目标Web应用的会话加密算法、密钥材料及数据结构,自主生成符合服务器验证规则的加密会话凭证。该技术通常需要获取目标系统的加密密钥或破解其签名算法,进而构造可绕过服务端校验的伪造Cookie,实现无需用户交互的持久化会话维持。 | |
| .003 | 跨域联合身份伪造 | 跨域联合身份伪造(Cross-Domain Federated Identity Forgery)是一种利用身份联合信任关系生成跨系统访问凭证的高级攻击技术。攻击者通过伪造SAML断言、OAuth令牌或OpenID Connect身份声明,在多个互信域间构造合法的单点登录凭证。该技术深度利用企业身份提供商(IdP)与服务提供商(SP)之间的信任链,通过密码学手段生成可跨域传递的认证断言,实现从低权限域向高价值域的权限跃迁。 | |
| T1207 | 伪造域控制器 | 伪造域控制器是攻击者通过注册或重用非授权域控制器,操纵Active Directory数据的高级攻击技术。该技术利用Active Directory的多主机复制机制,通过模拟合法域控制器行为注入恶意数据变更,可绕过常规安全监控实现权限提升、凭证窃取等目的。防御措施包括监控异常复制流量(如非DC主机的DRS接口调用)、审计AD架构配置分区变更(如nTDSDSA对象创建)、分析Kerberos SPN异常绑定等,同时需建立AD对象变更基线以识别异常元数据操作。 | |
| T1550 | 使用备用认证材料 | 使用备用认证材料指攻击者利用密码哈希、Kerberos票据等非明文凭证进行身份验证,绕过常规访问控制实施横向移动。该技术通过复用合法认证流程,规避基于密码输入的检测机制,对身份管理系统构成严重威胁。防御措施需聚焦异常登录模式识别(如非常规时段访问、跨安全域令牌使用)、增强认证协议保护(限制票据转发、实施严格会话绑定)以及强化凭证存储安全(限制LSASS内存读取)。 | |
| .001 | 黄金票据伪造 | 黄金票据伪造(Golden Ticket Fabrication)是针对Kerberos认证协议设计的高级持久化技术。攻击者通过窃取域控制器密钥分发服务账户(KRBTGT)的NTLM哈希,伪造具备任意权限的Kerberos票据(TGT),突破Kerberos协议的时间戳与域控验证机制。伪造的黄金票据可绕过域内所有资源的访问控制策略,且不受常规票据生命周期限制,实现跨网络分区的隐蔽横向移动。该技术的核心在于突破Kerberos协议的信任链,利用协议设计缺陷构造无法被常规手段检测的合法票据。 | |
| .002 | Web会话凭证动态寄生 | Web会话凭证动态寄生(Web Session Credential Dynamic Parasitism)是一种针对现代Web应用的认证劫持技术。攻击者通过窃取浏览器存储的会话Cookie、OAuth令牌或JWT,将其注入到受控节点的网络流量中,模拟合法用户的持续会话状态。该技术通过复用已授权会话的加密特征,绕过多因素认证机制,实现应用层权限的隐蔽维持与提升。 | |
| .003 | 设备指纹自适应令牌生成 | 设备指纹自适应令牌生成(Device Fingerprint Adaptive Token Generation)是针对现代设备绑定认证机制的绕过技术。攻击者通过逆向分析目标系统的设备指纹生成算法(如硬件哈希、TPM度量值),构造可动态适配的虚拟设备配置文件,生成与合法设备特征匹配的认证令牌。该技术可绕过基于设备可信度的增强认证机制,实现高危操作的隐蔽授权。 | |
| T1195 | 供应链破坏 | 供应链破坏指攻击者通过篡改产品开发、分发或交付环节中的任意节点,在合法软件/硬件中植入恶意功能的行为。其利用供应链各参与方之间的信任关系,使受污染产品通过验证机制流向最终用户。传统防御主要依赖代码签名验证、哈希完整性校验及物理设备安全检查,通过检测异常文件特征或供应链异常事件进行防护。 | |
| .001 | 开源依赖投毒 | 开源依赖投毒(Open Source Dependency Poisoning)是通过篡改开源软件库中的代码或依赖关系,将恶意功能植入下游应用的攻击技术。攻击者通常选择具有广泛依赖基础的开源组件(如NPM、PyPI包),通过合法账号提交包含后门的代码更新,或创建名称相近的仿冒库诱导开发者误引用。恶意代码在构建阶段被自动集成到目标软件中,形成从开发到交付的全链路污染。 | |
| .002 | 软件更新劫持 | 软件更新劫持(Software Update Hijacking)是通过控制软件供应商的更新分发渠道,将恶意代码植入数字签名合法的软件补丁中的攻击技术。攻击者通过入侵软件厂商的构建服务器或劫持CDN节点,在更新包传输过程中替换数字签名有效的安装文件。由于更新流程本身具有可信性,被篡改的安装程序能够绕过终端安全产品的验证机制。 | |
| .003 | 硬件固件预植入 | 硬件固件预植入(Hardware Firmware Pre-Installation)是在硬件设备生产环节将恶意代码写入固件的供应链攻击技术。攻击者通过收买制造商内部人员或入侵工厂测试系统,在设备出厂前将定制化恶意固件烧录至存储芯片。此类固件级后门通常具备操作系统下层的持久化驻留能力,可绕过传统基于软件层的安全检测。 | |
| T1199 | 信任关系 | 信任关系滥用是指攻击者通过入侵或操纵目标企业信任的第三方实体(如IT服务商、云合作伙伴),利用其合法访问权限实施网络渗透的技术。许多组织在业务合作过程中,会授予外部第三方访问权限,如IT服务供应商、安全管理公司、基础设施承包商等。这些第三方访问通常是为了便于对企业系统或云环境进行维护管理,因此,这些信任关系可能没有受到与内部系统同等严格的安全审查,从而成为攻击者入侵的薄弱环节。攻击者通过攻击或劫持这些第三方提供者的访问权限,获得对目标网络或云环境的控制权。 | |
| T1598 | 信息钓鱼 | 信息钓鱼是攻击者通过伪造可信实体诱导目标主动提供敏感信息的社交工程攻击技术,其传统形式包括伪造登录页面、钓鱼邮件等,依赖内容仿冒与身份伪装实现攻击目的。防御方通常采用邮件头分析、URL信誉检测、附件沙箱检测等手段进行防护,重点识别发件人伪造、恶意链接等显性特征。 | |
| .001 | 端到端加密钓鱼通道 | 端到端加密钓鱼通道(End-to-End Encrypted Phishing Channel)是通过构建全链路加密通信环境实施信息窃取的进阶钓鱼技术。攻击者利用HTTPS协议、PGP加密邮件或即时通讯工具的内置加密功能,将钓鱼页面部署在合法加密通道中,使防御方无法通过流量内容检测识别恶意意图。该技术通过加密传输层与应用层数据的双重保护,有效规避传统基于明文内容分析的检测机制,同时利用用户对加密通信的信任降低警惕性。 | |
| .002 | 动态域名生成算法钓鱼 | 动态域名生成算法钓鱼(Dynamic Domain Generation Algorithm Phishing)是一种基于算法驱动域名动态变更的钓鱼攻击技术。攻击者通过预定义域名生成算法(DGA),按时间、事件等参数批量生成钓鱼域名,并配合自动化证书签发系统快速部署HTTPS钓鱼站点。该技术通过高频次域名切换规避基于静态URL黑名单的防御机制,同时利用Let's Encrypt等免费证书服务增强钓鱼页面的可信度,形成"高可信、高动态"的新型钓鱼攻击范式。 | |
| .003 | 上下文感知钓鱼内容生成 | 上下文感知钓鱼内容生成(Context-Aware Phishing Content Generation)是融合人工智能与开源情报(OSINT)的定向钓鱼技术。攻击者通过爬取目标人员在社交媒体、企业网站等公开渠道的数字足迹,利用自然语言处理(NLP)模型生成高度个性化的钓鱼内容。该技术突破传统钓鱼模板的局限性,通过语义适配、风格模仿和上下文关联构建精准社会工程陷阱,显著提升钓鱼攻击的欺骗性与隐蔽性。 | |
| .004 | 隐蔽式数据回传机制 | 隐蔽式数据回传机制(Covert Data Exfiltration Mechanism)是通过合法云服务中转窃取信息的钓鱼数据收集技术。攻击者将钓鱼页面收集的凭证等信息加密后,通过Google Drive API、Slack Webhook或微信企业版机器人等合规通道回传,而非直接连接恶意服务器。该技术利用企业网络对主流云服务的白名单策略,将数据窃取行为伪装成正常的云服务交互,有效规避网络层异常外连检测。 | |
| T1578 | 修改云计算基础设施 | 修改云计算基础设施指攻击者通过创建、删除或篡改云环境中的计算资源(如虚拟机实例、存储快照、容器集群)来规避安全检测并维持持久访问。传统防御手段依赖集中式日志审计、异常操作序列检测以及资源变更审批流程,通过监控短时间内大量资源操作或非常规用户行为来识别潜在攻击。云服务商通常建议采用变更标签标记、多因素认证强化和最小权限原则来降低风险。 | |
| .001 | 临时资源池动态重构 | 临时资源池动态重构(Ephemeral Resource Pool Dynamic Reconstruction)是攻击者利用云计算弹性特性实施的隐蔽基础设施操控技术。该技术通过创建短期存活的云资源(如临时虚拟机实例、容器集群),在执行恶意操作后立即销毁相关资源,规避传统日志审计系统的追踪。攻击者通过自动化脚本动态构建资源池,将攻击载荷拆解为多个离散任务分发至不同实例执行,并利用云平台自动伸缩机制维持资源池规模,使得恶意操作痕迹分散在大量临时实例的生命周期中,实现攻击行为的碎片化隐匿。 | |
| .002 | 快照链式隐匿操作 | 快照链式隐匿操作(Snapshot Chain Obfuscation Manipulation)是一种针对云存储系统的隐蔽数据篡改技术。攻击者通过创建多层嵌套的磁盘快照,在中间层快照中注入恶意配置或数据,最终生成表面合法的终端快照版本。该技术利用云平台快照版本管理机制,通过多次增量修改制造复杂的依赖链,将关键攻击痕迹隐藏在历史快照版本中,同时保持最新快照的合规性外观,以此规避基于最新快照完整性校验的防御机制。 | |
| .003 | 云服务API合法调用伪装 | 云服务API合法调用伪装(Legitimate Cloud API Call Camouflage)是通过模拟正常管理行为实施隐蔽基础设施修改的高级攻击技术。攻击者深入研究目标云平台的API调用模式,将恶意操作指令嵌入符合API速率限制、参数格式和认证凭证的合法请求流中。该技术特别注重维持API调用的上下文一致性,例如在修改安全组规则前先执行合规的资源查询操作,使得恶意请求在时序和逻辑上与正常运维行为无缝衔接,规避基于异常API调用序列的检测模型。 | |
| .004 | 跨区域基础设施镜像漂移 | 跨区域基础设施镜像漂移(Cross-Region Infrastructure Image Migration)是利用云平台多区域特性实施的隐蔽攻击持久化技术。攻击者将篡改后的恶意系统镜像在多个地理区域间进行复制和版本迭代,通过区域间的配置差异制造防御盲区。该技术通过动态切换攻击载荷的执行区域,利用不同区域的安全策略差异(如日志保留周期、监控规则)和网络延迟特性,使得完整攻击链的取证分析需要跨多个司法管辖区的日志数据,显著提高防御方的溯源难度。 | |
| T1666 | 修改云资源层次结构 | 修改云资源层次结构是攻击者为规避云环境安全控制而实施的权限维持技术,通过调整资源组织关系(如账户、订阅、管理组)解除安全策略约束或转移资源控制权。防御方通常采用服务控制策略(SCP)实施权限最小化、监控管理API调用日志、以及配置变更审计等手段进行防护。多因素认证和资源层次结构冻结机制也被用于防止未授权修改。 | |
| .001 | 影子组织账户创建 | 影子组织账户创建(Shadow Organization Account Creation)是攻击者在云基础设施中构建隐蔽控制节点的关键手段。该技术利用云服务商的组织管理接口(如AWS Organizations或Azure Management Groups),通过合法API调用创建新的子账户或订阅,并继承主账户的支付凭证与权限体系。攻击者通过精细控制新账户的资源配额与活动频率,使其在云服务商的计费审计与安全监控中呈现正常业务账户特征,从而规避基于异常账户创建的检测机制。 | |
| .002 | 订阅劫持转移 | 订阅劫持转移(Subscription Hijacking Transfer)是一种通过篡改云服务订阅归属实现资源隐蔽控制的攻击技术。攻击者利用云平台订阅管理漏洞或特权凭证,将目标企业的付费订阅(如Azure Pay-As-You-Go订阅)迁移至攻击者控制的租户环境。该技术通过改变订阅的计费主体与管理边界,使得后续资源操作完全脱离原租户的日志审计体系,同时保持订阅资源的正常运作状态,形成"资源在位、控制权转移"的隐蔽接管模式。 | |
| .003 | 策略隔离逃逸 | 策略隔离逃逸(Policy Isolation Escape)是针对云资源层次结构安全策略的规避技术。攻击者通过修改资源组织单元(如AWS Organizational Units或Azure Management Groups)的隶属关系,使目标资源脱离原有策略管控范围。典型手法包括将受监控的云账户移出安全策略实施组,或创建新的策略豁免节点,从而在维持资源可用性的同时解除安全控制措施(如服务控制策略或合规性检查)。 | |
| T1112 | 修改注册表 | 修改注册表是攻击者通过增删改Windows注册表项实现系统配置篡改、持久化驻留或行为控制的常见技术。作为Windows系统的核心数据库,注册表存储着系统配置、用户设置及应用程序参数等关键信息。传统防御手段主要通过注册表审计日志分析、关键路径监控(如Run键、服务项)以及时间线异常检测等方式识别恶意修改行为。微软建议启用注册表审核策略(事件ID 4657)并监控可疑服务创建行为,但攻击者通过多种隐匿技术可有效规避常规检测。 | |
| T1601 | 修改系统镜像 | 修改系统镜像指攻击者通过篡改嵌入式设备的操作系统镜像文件,持久化植入恶意功能或削弱设备安全机制的入侵行为。传统防御主要依赖固件完整性校验、数字签名验证、运行时内存保护等技术,通过比对官方镜像哈希值、验证更新包签名、监控内存异常修改等手段进行防护。典型缓解措施包括建立可信固件库、实施双因子更新认证、部署内存完整性验证系统等。 | |
| .001 | 固件级隐蔽植入 | 固件级隐蔽植入(Firmware-Level Stealth Implantation)是针对嵌入式设备操作系统进行深度持久化控制的攻击技术。攻击者通过逆向工程解析目标设备的固件结构,将恶意代码植入固件镜像的未校验区域或利用固件漏洞扩展功能模块,使得篡改后的系统镜像在启动加载时仍能通过常规完整性校验。该技术通常利用设备制造商未公开的固件扩展接口,或通过覆盖冗余数据区实现隐蔽存储,确保恶意载荷在设备重启后仍能保持激活状态。 | |
| .002 | 内存驻留镜像篡改 | 内存驻留镜像篡改(Memory-Resident Image Tampering)是一种仅在设备运行内存中实施操作系统篡改的瞬时攻击技术。攻击者利用设备运行时内存管理机制的缺陷,通过直接修改内存中的系统镜像副本实现即时控制,避免对存储介质的持久化修改。该技术通过保持存储介质原始镜像的完整性,规避了基于固件校验的静态检测机制,同时在设备重启后自动消除攻击痕迹。 | |
| .003 | 合法更新流程劫持 | 合法更新流程劫持(Legitimate Update Process Hijacking)是通过仿冒或篡改设备制造商官方更新机制实施的系统镜像篡改技术。攻击者构建恶意更新服务器或劫持官方更新通道,将篡改后的系统镜像伪装成合法升级包推送给目标设备。该技术利用设备固有的信任链机制,使恶意镜像通过数字签名验证,实现在设备所有者无感知情况下完成系统镜像替换。 | |
| .004 | 动态校验和绕过 | 动态校验和绕过(Dynamic Checksum Bypass)是针对嵌入式设备镜像校验机制设计的实时规避技术。攻击者在修改系统镜像后,通过植入内存中的校验和修正模块,在设备执行完整性检查时动态生成合法的校验值。该技术确保被篡改镜像在静态存储和动态校验两个维度均呈现合法特征,形成完美的镜像隐蔽效果。 | |
| T1556 | 修改身份验证过程 | 修改身份验证过程是攻击者通过篡改系统认证组件或流程,实现非法访问权限获取或凭证窃取的技术。该技术通常针对操作系统的核心安全组件(如Windows LSASS、Linux PAM框架)进行代码注入或配置篡改,以绕过双因素认证、窃取明文密码或生成伪造令牌。防御措施包括监控认证相关进程的内存操作、审计系统插件完整性,以及检测异常身份验证日志模式。 | |
| .001 | 认证函数Hook注入 | 认证函数Hook注入(Authentication Function Hooking)是通过篡改操作系统核心认证组件的函数调用链实现身份验证绕过的技术。攻击者通过注入恶意代码劫持LSASS、PAM模块或SecurityAgentPlugins中的关键函数(如NtCreateToken、pam_authenticate),在认证流程中植入逻辑后门。该技术可绕过双因素认证机制,直接伪造令牌或修改认证结果判定,使非法会话获得合法凭证特征。其隐蔽性体现在恶意代码驻留在系统进程内存中,不产生持久化文件或注册表痕迹。 | |
| .002 | 动态密码过滤器劫持 | 动态密码过滤器劫持(Dynamic Password Filter Hijacking)是针对Windows身份验证架构设计的隐蔽持久化技术。攻击者通过注册恶意DLL为LSA通知包组件,在密码修改或验证过程中截获明文凭证。该技术利用系统设计缺陷,将密码过滤器伪装成合法身份验证组件,在密码策略强制执行阶段实施中间人攻击,同时通过动态加载机制规避静态防御检测。 | |
| .003 | 内存凭证捕获绕过 | 内存凭证捕获绕过(In-Memory Credential Capture Bypass)是通过篡改系统内存中凭证存储结构实现认证欺骗的技术。攻击者直接修改LSASS进程内存中的票据授予票据(TGT)或服务票据(ST),或操纵Kerberos协议协商过程,生成具有合法特征但未经正常认证流程的访问凭据。该技术可绕过基于日志审计的检测机制,在无需持久化后门的情况下实现特权维持。 | |
| .004 | 跨平台认证插件伪装 | 跨平台认证插件伪装(Cross-Platform Authentication Plugin Spoofing)是针对异构网络环境设计的认证机制污染技术。攻击者通过仿冒Linux PAM模块、macOS SecurityAgentPlugins或第三方身份提供程序(IdP)组件,在跨域认证流程中植入恶意逻辑。该技术利用系统对认证插件的信任链,将后门代码嵌入标准化认证接口,实现多平台统一的隐蔽访问控制绕过。 | |
| T1129 | 共享模块 |
共享模块技术指攻击者通过操作系统提供的动态链接机制加载恶意代码模块,利用系统原生功能实现攻击载荷执行。该技术通过LoadLibrary、dlopen等标准API加载本地或远程模块,可规避部分进程行为监控。防御方通常采取限制模块加载路径、监控非常用模块加载行为,以及分析模块数字签名异常等缓解措施,重点检测非系统目录加载、非常规协议加载等异常行为。
|
|
| .001 | 内存驻留无文件加载 |
内存驻留无文件加载(Fileless In-Memory Loading)是一种通过进程内存直接加载恶意模块的隐蔽攻击技术。该技术利用操作系统的动态链接机制,将恶意共享模块直接注入目标进程内存空间执行,避免在磁盘生成持久化文件。攻击者通过API调用(如Windows的LoadLibrary或Linux的dlopen)结合进程注入技术,将加密或混淆的恶意模块载入合法进程内存中运行,规避传统基于文件特征扫描的检测机制。其核心在于通过内存操作与合法进程绑定,构造无实体文件的模块加载链。
|
|
| .002 | 合法系统模块劫持 | 合法系统模块劫持(Legitimate System Module Hijacking)是指攻击者通过篡改系统模块加载顺序或替换合法模块实现恶意代码执行的隐蔽技术。该技术利用操作系统动态链接库搜索机制缺陷,在合法应用程序加载系统模块(如Windows系统DLL或Linux共享对象)时,通过路径优先级劫持或模块替换植入恶意功能。例如通过伪造高优先级目录下的同名DLL文件,或篡改模块依赖关系实现侧加载攻击,使得系统在不知情的情况下执行被篡改的模块代码。 | |
| T1659 | 内容注入 | 内容注入是攻击者通过操纵网络通信流量向目标系统植入恶意内容的攻击技术,通常通过中间人攻击、协议劫持或上游信道渗透实现。传统防御手段主要依赖TLS流量解密检查、协议一致性验证以及数字签名校验等措施,通过检测异常协议行为或未授权内容修改来识别攻击。但随着网络协议复杂化和云服务架构的普及,传统基于规则匹配的检测方法面临严峻挑战。 | |
| .001 | 协议隧道隐蔽注入 | 协议隧道隐蔽注入(Protocol Tunnel Covert Injection)是一种通过合法协议封装实现恶意内容深度隐匿的注入技术。攻击者利用标准通信协议(如HTTP/2、QUIC)的扩展特性,将恶意载荷嵌入协议规范允许的扩展字段或冗余数据区,借助协议自身的加密与流控机制构建隐蔽传输通道。该技术特别适用于对抗深度包检测系统,通过协议层的合规性伪装实现恶意指令的隐蔽投送,同时利用协议复用机制实现攻击流量与合法业务流的深度耦合。 | |
| .002 | 动态载荷分片拼接 | 动态载荷分片拼接(Dynamic Payload Fragmentation and Reassembly)是一种基于上下文感知的智能内容注入技术。该技术通过实时分析目标通信流的上下文特征,将恶意载荷动态拆解为符合当前会话语义的微片段,并利用协议允许的重传机制或冗余字段进行分布式注入。攻击者通过机器学习模型预测目标系统的响应模式,在多个合法数据包中植入载荷分片,依赖终端系统的自动重组机制完成攻击代码的隐形传输,实现恶意内容在时空维度的碎片化隐匿。 | |
| .003 | 合法服务镜像注入 | 合法服务镜像注入(Legitimate Service Mirror Injection)是一种通过劫持CDN节点或云服务边缘计算资源实施的隐蔽内容注入技术。攻击者通过渗透内容分发网络的缓存服务器或边缘计算节点,在合法服务的响应流中注入恶意内容,利用服务提供商的数字签名和SSL证书为攻击流量赋予可信背书。该技术通过将恶意负载与高信誉度服务绑定,构建出具有供应链攻击特性的注入通道,使得防御方难以通过来源可信度判断内容合法性。 | |
| T1534 | 内部鱼叉式钓鱼 | 内部鱼叉式钓鱼是攻击者利用已控制的内部账户实施定向欺骗的高级社会工程攻击,通过伪造内部通信获取敏感信息或横向移动。与传统钓鱼不同,其利用组织内部信任关系,结合精准的情报收集和场景还原,大幅提升攻击成功率。防御措施主要包括实施内部邮件日志分析、部署多因素认证、以及开展安全意识培训等。 | |
| .001 | 组织架构仿生钓鱼 | 组织架构仿生钓鱼(Organizational Structure Bionic Phishing)是一种深度利用目标机构内部权力关系与业务流程的定向攻击技术。攻击者通过窃取组织架构图、邮件往来记录等情报,精确模拟管理层级关系和业务流程,构造具有高度场景适配性的钓鱼内容。该技术不仅伪造发件人身份,更通过还原业务场景中的文件命名规则、审批流程特征和沟通话术,使钓鱼邮件与正常业务通信在语义层形成同源性,极大提升欺骗成功率。 | |
| .002 | 跨平台会话劫持攻击 | 跨平台会话劫持攻击(Cross-Platform Session Hijacking)是针对企业协同办公生态设计的复合型钓鱼技术。攻击者通过劫持合法用户的内部通信账号(如Microsoft Teams、Slack),在保持原有会话上下文的基础上注入恶意元素。典型手法包括篡改共享文档中的超链接、在持续对话中插入钓鱼URL,或伪造协作任务分发恶意附件。该技术充分利用跨平台信任链,使攻击行为深度融入目标组织的数字化工作流。 | |
| T1212 | 凭据访问漏洞利用 | 凭据访问漏洞利用是指攻击者通过利用软件漏洞或协议缺陷,非法获取系统凭证或绕过身份验证机制的技术手段。典型攻击方式包括Kerberos票证伪造、认证协议重放攻击、内存凭证提取等,目标是通过获取有效凭证实现横向移动和权限提升。防御方通常采用漏洞补丁管理、多因素认证部署、内存保护机制(如Credential Guard)以及网络流量深度分析等手段进行防护。 | |
| T1543 | 创建或修改系统进程 | 创建或修改系统进程是攻击者通过操作操作系统级服务、守护进程或代理程序实现持久化驻留和权限提升的关键技术。攻击者可能安装新服务或篡改现有服务配置,使其在系统启动时或定期执行恶意负载。传统防御主要依赖监控服务配置变更(如Windows注册表Services子键)、检测异常进程树结构、分析服务二进制文件特征,以及审查服务相关命令行调用日志等手段。 | |
| .001 | 合法进程代码寄生注入 | 合法进程代码寄生注入(Legitimate Process Code Parasitism Injection)是一种通过将恶意代码嵌入系统可信进程内存空间实现隐蔽驻留的技术。攻击者利用进程空洞注入、反射式DLL加载或APC队列注入等方式,在不创建独立进程的前提下,将恶意模块寄生在系统核心服务(如svchost.exe、systemd)或常用应用进程中。该技术通过复用合法进程的数字签名、资源调用链和通信行为,使恶意行为与宿主进程形成深度耦合,规避基于进程树分析和签名验证的检测机制。 | |
| .002 | 动态服务配置伪装 | 动态服务配置伪装(Dynamic Service Configuration Camouflage)是一种通过实时修改服务配置参数实现进程隐蔽的技术。攻击者在创建或修改系统服务时,采用动态生成服务名称、描述信息、二进制路径等元数据,使其与合法服务特征高度相似。例如,通过机器学习模型分析目标环境中常用服务命名规律,生成诸如"Windows_Update_Helper"等具有迷惑性的服务名,并将恶意载荷存储在系统目录的深层次嵌套路径中,同时伪造版本信息、数字签名等属性,构建具有表面合法性的恶意服务实体。 | |
| .003 | 无文件化内存驻留服务 | 无文件化内存驻留服务(Fileless Memory-Resident Service)是一种完全在内存中创建和运行恶意系统服务的技术。攻击者利用Windows服务控制管理器的高级功能或Linux的in-memory执行框架,通过反射加载技术将恶意代码直接注入系统服务宿主进程的内存空间,不依赖磁盘文件持久化。该技术通过劫持服务线程执行流或创建虚拟服务条目,使恶意服务具备完整的启动、停止、状态报告等标准服务行为特征,同时规避传统基于文件监控的检测手段。 | |
| T1136 | 创建账户 | 创建账户是攻击者为维持持久化访问而在目标系统创建恶意账户的技术,涉及本地系统、域环境或云平台的账户生成。传统检测手段依赖监控账户创建命令(如net user)、审计事件日志(如Windows事件ID 4720)以及定期审查账户列表,云环境则通过CSPM监控异常权限分配。防御措施包括启用用户账户控制(UAC)、配置最小权限策略和实施多因素认证。 | |
| .001 | 影子账户克隆 | 影子账户克隆(Shadow Account Cloning)是一种通过复制合法账户属性创建隐蔽恶意账户的技术。攻击者通过提取目标系统中高权限用户或服务账户的SID、组成员关系、登录时间模式等特征,生成具有相同安全描述符但不同凭证的克隆账户。该技术利用身份管理系统对账户属性的信任机制,使恶意账户在权限审计、日志记录等环节呈现与合法账户一致的行为特征,规避基于账户属性异常值的检测。 | |
| .002 | 云服务最小权限账户 | 云服务最小权限账户(Cloud Least-Privilege Account)是针对云原生环境设计的隐蔽账户创建技术。攻击者通过云服务提供商API创建仅具备特定服务访问权限的账户,并严格遵循最小权限原则配置IAM策略。此类账户通常仅绑定日志读取、监控数据导出等低风险权限,避免触发云安全态势管理(CSPM)系统的高危操作告警,同时利用云平台自动化任务的合规性特征掩盖恶意行为。 | |
| .003 | 域信任滥用账户 | 域信任滥用账户(Domain Trust Abuse Account)是利用跨域信任关系创建隐蔽账户的高级技术。攻击者在已控子域或受信外部域中创建具备跨域访问权限的账户,通过信任链传递机制在目标域内实施操作。该账户在源域中显示为合法实体,但其在目标域的活动不会触发本地账户创建检测机制,有效规避基于单一域内账户变更的监控。 | |
| .004 | 服务账户伪装 | 服务账户伪装(Service Account Masquerading)是通过模仿系统服务账户属性实现隐蔽驻留的技术。攻击者创建名称、描述信息与合法服务账户高度相似的恶意账户(如"SQL_Backup_Svc"),并配置相同的服务主体名称(SPN)和登录权限。此类账户通常被授予本地系统权限,但其活动会混杂在大量合法的服务账户操作中,难以通过常规审计手段识别。 | |
| T1190 | 利用公开应用程序漏洞 | 利用公开应用程序漏洞(T1190)是攻击者通过互联网-facing系统的软件缺陷获取初始访问权限的关键技术,涉及对Web服务、数据库、网络设备等的漏洞利用。传统防御依赖漏洞特征检测(如CVE匹配)、协议异常识别(如SQL注入模式)以及请求频率监控等手段,通过Web应用防火墙、入侵检测系统实施防护。 | |
| T1600 | 削弱加密 | 削弱加密是指攻击者通过技术手段降低目标系统加密强度或绕过加密保护机制,为后续数据窃取或篡改创造条件的网络攻击技术。许多设备依赖硬件加速来进行加密和解密操作,这些硬件加速器能够显著提高加密操作的效率和安全性。攻击者可以通过禁用加密硬件,使得加密过程退化为软件加密,降低加密的强度和安全性,或者完全关闭加密功能,从而使数据的传输不再得到保护。此外,加密算法的强度通常与密钥的长度和复杂性相关,攻击者可以通过减少密钥空间,限制密钥的长度或选择更容易破解的算法,使得数据的加密变得更加脆弱,提升了攻击者进行破解或窃听的可能性。 | |
| T1115 | 剪贴板数据 | 剪贴板数据窃取是指攻击者通过监控系统剪贴板内容获取敏感信息的技术手段。攻击者利用操作系统提供的剪贴板访问接口(如Windows的clip.exe或macOS的pbpaste),在用户复制粘贴操作过程中窃取凭证、加密密钥等高价值数据。传统防御手段主要通过监控剪贴板访问行为异常(如非用户主动触发的读取操作)或检测可疑进程的API调用模式进行防护。 | |
| .001 | 内存驻留型剪贴板监听 | 内存驻留型剪贴板监听(Memory-Resident Clipboard Monitoring)是一种通过直接挂钩系统内存操作实现的无文件化数据窃取技术。该技术通过劫持操作系统剪贴板管理模块的API调用,在内存层面实时捕获剪贴板内容变更事件,全程不产生磁盘文件或注册表修改痕迹。攻击者利用进程注入或内核驱动挂钩技术,将监控代码植入合法系统进程地址空间,通过内存映射方式直接读取剪贴板数据缓冲区,有效规避传统基于文件行为检测的安全机制。 | |
| .002 | 内容特征筛选型数据捕获 | 内容特征筛选型数据捕获(Content-Filtered Data Capture)是一种基于语义分析的智能化剪贴板监控技术。该技术通过预设目标数据特征(如加密货币地址格式、特定字段标识符等),对剪贴板内容进行实时过滤,仅当检测到符合预定规则的高价值信息时才触发数据外传,从而大幅降低异常数据传输频次。攻击者结合正则表达式匹配、自然语言处理等技术构建动态过滤引擎,有效提升攻击行为的精准性与隐蔽性。 | |
| .003 | 伪造进程上下文剪贴板访问 | 伪造进程上下文剪贴板访问(Spoofed Process Context Clipboard Access)是一种通过模拟合法应用程序行为实施剪贴板监控的技术。该技术通过逆向分析目标系统常用软件(如办公套件、设计工具)的剪贴板访问模式,精确复现其API调用序列与内存操作特征,使恶意剪贴板读取行为在进程行为画像、系统调用链等维度与正常应用操作具有高度相似性。攻击者利用动态链接库劫持或COM对象伪装技术,将恶意代码嵌入具有剪贴板访问权限的合法进程上下文。 | |
| .004 | 加密隧道化剪贴板数据传输 | 加密隧道化剪贴板数据传输(Encrypted Tunneled Clipboard Exfiltration)是一种将窃取的剪贴板数据通过加密信道隐匿传输的技术。该技术通过建立双向加密通信隧道,将剪贴板内容分割为多个加密数据块,并嵌入常见应用层协议(如HTTPS、DNS TXT记录)进行传输。攻击者采用前向安全密钥交换协议与动态混淆算法,确保每次传输的加密参数与流量特征均具有唯一性,有效对抗深度包检测与流量指纹分析。 | |
| T1137 | 办公应用启动 | 办公应用启动(T1137)是攻击者利用Microsoft Office组件的合法功能实现持久化的技术,通过修改模板宏、注册表项或云端配置等方式,在Office进程启动时加载恶意代码。防御措施包括监控异常进程树、检测注册表关键路径变更、分析Office文档元数据特征,以及使用专用工具扫描恶意规则和表单配置。 | |
| .001 | 宏代码动态解密加载 | 宏代码动态解密加载(Dynamic Macro Code Decryption Loading)是一种利用Office文档内置解密机制实现隐蔽持久化的技术。攻击者将恶意代码进行多层加密后嵌入文档模板,在文档打开时通过合法宏函数触发解密流程,动态加载内存驻留模块。该技术通过分离存储阶段与执行阶段的代码形态,规避静态特征检测,同时利用Office内置的VBA解释器作为代码执行载体,保持进程链合法性。 | |
| .002 | 注册表键值伪装注入 |
注册表键值伪装注入(Registry Key Camouflage Injection)是一种通过仿冒合法Office组件注册表项实现持久化的高级技术。攻击者分析目标系统Office软件的标准注册表结构,在HKCU\Software\Microsoft\Office路径下创建与官方配置项命名规范相符的恶意键值,将恶意代码执行指令嵌入COM加载项或插件配置参数。该技术通过模仿微软数字签名验证机制,构建具有合法元数据特征的注册表项,规避基于注册表异常检测的安全机制。
|
|
| .003 | 云端配置同步滥用 | 云端配置同步滥用(Cloud Configuration Sync Abuse)是一种利用Office 365云端服务实现跨设备持久化的新型攻击技术。攻击者通过入侵用户Office账户,将恶意配置(如Outlook规则、OneDrive同步指令)写入云端设置存储区,利用微软的跨终端同步机制实现恶意代码的分布式部署。该技术突破传统本地持久化的空间限制,通过云服务的合法数据通道实现攻击载荷的隐蔽传播与执行。 | |
| .004 | 进程空心化注入 | 进程空心化注入(Process Hollowing Injection)是一种通过劫持Office组件子进程实现无文件驻留的高级技术。攻击者利用Office应用程序(如WINWORD.EXE)启动子进程时的内存分配机制,在进程初始化阶段替换原始代码段,注入恶意负载并维持合法进程表象。该技术通过完全内存化操作规避文件系统监控,并利用Office进程的信任状绕过应用程序白名单限制。 | |
| T1573 | 加密通道 | 加密通道是指攻击者使用密码学手段对通信内容进行加密,以保护命令控制(C2)流量免受窃听或分析的网络对抗技术。传统加密通道通常采用固定加密算法与静态密钥,通过与目标系统建立加密会话实现数据隐蔽传输。防御方可通过SSL/TLS解密、流量特征分析、异常协议检测等手段识别潜在恶意加密通信,例如检测不符合协议规范的加密握手过程、识别非常用端口上的加密流量或分析通信模式的时序异常。 | |
| .001 | 动态密钥轮换加密通道 | 动态密钥轮换加密通道(Dynamic Key Rotation Encrypted Channel)是一种通过周期性变更加密密钥与算法参数来增强通信隐蔽性的技术。攻击者在建立加密通道时,采用基于时间或事件触发的密钥更新机制,每次会话或特定时间间隔自动生成新的加密密钥,并同步更新加密算法的工作模式。该技术不仅规避了静态密钥被逆向破解的风险,还能通过密钥参数的变化干扰流量指纹分析,使得加密流量无法通过固定特征进行模式匹配,显著提升通信链路的抗分析能力。 | |
| .002 | 协议模拟加密隧道 | 协议模拟加密隧道(Protocol-Mimicking Encrypted Tunnel)是一种将恶意加密通信伪装成合法协议流量的高级隐蔽技术。攻击者通过逆向分析主流应用层协议(如HTTP/2、QUIC、MQTT)的加密特征,构建具备相同握手过程、数据封装格式及心跳机制的加密隧道。该技术不仅实现传输层加密,还在应用层协议交互层面完全模仿目标协议的通信行为,使得加密流量在协议解析层面呈现合法特征,从而规避基于协议合规性检查的检测机制。 | |
| .003 | 分布式代理链加密传输 | 分布式代理链加密传输(Distributed Proxy Chain Encrypted Transmission)是一种通过多层加密代理节点构建动态传输路径的隐蔽通信技术。攻击者利用云服务、CDN节点或入侵的物联网设备构建多级代理网络,每级节点间采用独立加密协议进行数据传输,并在传输过程中动态切换路由路径。该技术通过空间分散与加密分层策略,使得单一节点的流量捕获无法还原完整通信链路,同时利用合法中间节点稀释恶意流量的关联特征。 | |
| T1568 | 动态解析 | 动态解析指攻击者通过算法化手段动态调整C2通信参数(如域名、IP、端口),以规避基于静态特征的检测机制。传统防御手段主要依赖检测域名生成算法特征、分析DNS请求异常模式或识别新注册域名,通过流量行为分析与威胁情报匹配实施阻断。但随着攻击技术的演进,动态解析已发展为具备高度隐蔽性的通信控制手段。 | |
| .001 | 算法化域名动态生成 | 算法化域名动态生成(Algorithmic Domain Generation)是一种通过预定义算法动态生成C2通信域名的高级隐蔽通信技术。攻击者与受控恶意软件共享相同的随机数生成算法和种子值,按时间窗口或事件触发机制批量生成临时域名,建立短暂有效的命令控制通道。该技术通过高频次域名变更打破传统固定域名/IP的静态特征,使防御方难以通过黑名单或信誉库实施有效阻断,典型应用于DGA(域名生成算法)驱动的僵尸网络架构。 | |
| .002 | CDN节点伪装解析 | CDN节点伪装解析(CDN Node Camouflage Resolution)是一种利用内容分发网络基础设施实现C2通信隐匿的技术。攻击者将恶意域名解析请求伪装成CDN服务节点的合法内容请求,通过劫持CDN的边缘服务器作为流量中转节点,将C2指令隐藏在正常的CDN缓存更新或资源分发流量中。该技术充分利用CDN网络天然的分布式特性与高可信度特征,使恶意通信流量与合法业务流量在传输路径、协议特征上完全融合。 | |
| .003 | 协议级元数据混淆解析 | 协议级元数据混淆解析(Protocol Metadata Obfuscation Resolution)是一种通过篡改网络协议元数据字段实现C2通信隐蔽的技术。该技术针对DNS、HTTP/2、QUIC等协议的设计特性,在协议头部或扩展字段中嵌入控制指令,利用协议规范的模糊地带构造合法但非常规的通信数据包。例如在DNS查询的TXT记录中编码指令,或利用HTTP/2的流复用机制分割恶意载荷,使得C2通信在协议解析层面具备形式合规性。 | |
| .004 | 区块链锚定动态解析 | 区块链锚定动态解析(Blockchain-Anchored Dynamic Resolution)是一种利用区块链网络实现C2节点动态寻址的隐蔽通信技术。攻击者将C2服务器的地址信息编码为区块链交易数据,恶意软件通过读取特定区块链(如比特币、以太坊)的公开交易记录获取最新通信参数。该技术利用区块链网络的去中心化特性与数据不可篡改性,构建抗审查的命令控制通道,同时通过区块链数据的全球同步机制实现攻击流量的自然分布。 | |
| T1574 | 劫持执行流 | 劫持执行流是攻击者通过操纵操作系统程序执行机制,将恶意代码植入合法进程执行路径的攻击技术,常用于绕过应用白名单、实现持久化或权限提升。传统防御手段主要监控文件系统变更、DLL加载异常和服务配置修改,通过哈希校验、进程行为分析和注册表审计等手段检测异常。 | |
| .001 | 白文件动态内存注入 | 白文件动态内存注入(Legitimate File Dynamic Memory Injection)是一种通过合法进程内存空间执行恶意代码的高级劫持技术。攻击者选择具有数字签名或高信誉的应用程序作为宿主进程,利用进程漏洞或内存操作API将恶意负载注入其运行时的内存空间,通过劫持线程上下文或函数指针重定向执行流。该技术不修改磁盘文件完整性,完全在内存中完成代码植入,规避了传统文件完整性校验机制,同时利用宿主进程的合法身份隐藏恶意行为。 | |
| .002 | 多级可信服务链劫持 | 多级可信服务链劫持(Multi-Stage Trusted Service Chain Hijacking)是通过篡改服务依赖关系实现执行流重定向的隐蔽攻击技术。攻击者针对Windows服务控制管理器(SCM)的链式加载机制,在合法系统服务(如Windows Update、安全中心服务)的依赖项中插入恶意服务模块,构建多级可信执行链路。通过修改服务注册表键值中的DependOnService或DependOnGroup字段,使恶意服务获得系统信任链的继承权限,并在父服务启动时被自动加载执行。 | |
| .003 | 运行时环境变量污染 | 运行时环境变量污染(Runtime Environment Variable Poisoning)是通过篡改进程执行环境实现路径劫持的技术变种。攻击者针对动态链接库(DLL)搜索顺序、可执行文件路径解析等环境变量(如PATH、PATHEXT),植入恶意路径条目或修改路径解析优先级,诱使目标进程加载攻击者控制的恶意库文件或可执行程序。该技术特别适用于容器化环境或持续集成系统,通过污染构建环境变量实现供应链攻击。 | |
| T1572 | 协议隧道 | 协议隧道技术指攻击者将恶意网络通信封装在合法协议中,以规避安全检测并突破网络访问控制的攻击手段。传统协议隧道通常利用SSH、DNS等协议实现数据封装,防御方可通过深度包检测(DPI)、协议一致性校验及异常流量分析等手段进行识别。ATT&CK建议监控非常用端口的协议使用、分析网络流量的语法结构合规性,以及检测客户端与服务端数据量失衡等异常模式。 | |
| .001 | 多协议嵌套隧道 | 多协议嵌套隧道(Multi-Protocol Nested Tunneling)是一种通过分层封装协议实现深度隐蔽通信的技术。攻击者将恶意流量依次封装于多个标准网络协议层中,例如在HTTP协议内嵌套SSH隧道,再在SSH隧道中承载RDP协议数据。这种多层次协议包装形成洋葱式结构,使每个协议解析层仅能观测到下一层合法协议头信息,无法透视最终载荷内容。技术实现需要精确控制各层协议的字段填充与交互时序,确保嵌套结构符合各协议规范。 | |
| .002 | 云存储服务寄生隧道 | 云存储服务寄生隧道(Cloud Storage Service Parasitic Tunneling)是通过劫持公有云存储平台的数据同步机制构建隐蔽通信链路的技术。攻击者将C2指令或数据渗出内容编码为云存储对象(如AWS S3文件、Azure Blob块),利用云平台原生API进行数据交换。通过严格遵循目标平台的请求频率限制和数据编码规范,将恶意流量伪装成正常的云存储操作,同时利用云服务商TLS加密链路实现传输层保护。 | |
| .003 | DNS隐蔽隧道动态负载均衡 | DNS隐蔽隧道动态负载均衡(DNS Covert Tunnel with Dynamic Load Balancing)是通过DNS协议实现隐蔽通信且具备流量自适应调节能力的隧道技术。攻击者将数据编码为DNS查询请求(TXT、CNAME记录类型),利用多级权威DNS服务器和递归解析器构建分布式通信网络。通过动态调整查询频率、负载分片策略及域名切换算法,使隧道流量符合目标网络的DNS行为基线,同时利用DNS over HTTPS(DoH)增强传输层隐蔽性。 | |
| .004 | 合法应用协议元数据隐写隧道 | 合法应用协议元数据隐写隧道(Legitimate Application Protocol Metadata Steganography Tunneling)是通过篡改标准应用协议元数据字段传输隐蔽数据的技术。攻击者选择特定应用协议(如HTTP头部的X-Forwarded-For、视频流的RTCP SDES项),将指令或数据编码至协议规范允许的扩展字段中。通过保持协议主体内容合法性,仅修改非关键元数据实现隐蔽通信,同时利用协议本身的容错机制确保传输可靠性。 | |
| T1620 | 反射性代码加载 | 反射性代码加载是攻击者将恶意代码直接写入进程内存并执行的技术,规避了传统基于磁盘文件检测的防御机制。该技术通过内存操作API(如VirtualAlloc、WriteProcessMemory)实现无文件化攻击,利用合法进程的上下文环境掩盖恶意行为。防御措施主要包括监控异常内存分配行为、检测未签名模块加载事件,以及分析进程行为是否偏离正常模式(如记事本程序发起网络连接)。 | |
| .001 | 内存驻留加密载荷加载 | 内存驻留加密载荷加载(In-Memory Encrypted Payload Loading)是一种通过内存操作实现无文件化攻击的隐蔽代码加载技术。攻击者将加密后的恶意代码直接注入目标进程内存空间,仅在运行时进行动态解密和执行,规避传统基于磁盘文件扫描的检测机制。该技术利用进程内存的易失性特征,结合密码学手段对代码进行多层加密,使静态分析工具无法提取有效载荷特征,同时通过内存操作API(如VirtualAlloc、WriteProcessMemory)实现代码的隐蔽部署。 | |
| .002 | 动态API解析规避 | 动态API解析规避(Dynamic API Resolution Evasion)是一种通过运行时动态获取系统函数地址来隐藏恶意行为的代码加载技术。该技术避免在代码中硬编码API函数名称或地址,转而通过哈希值比对、内存遍历导出表等方式动态解析所需函数,从而消除导入地址表(IAT)中的可疑条目,破坏静态分析工具对恶意行为的识别能力。其核心在于将API调用特征从代码层转移到运行时行为层,增加动态分析的难度。 | |
| .003 | 进程空洞注入 | 进程空洞注入(Process Hollowing Injection)是一种通过替换合法进程内存内容实现隐蔽代码执行的技术。攻击者首先创建处于挂起状态的合法进程(如svchost.exe),清空其主模块内存空间后注入恶意代码,修改入口点指向载荷执行地址,最终恢复进程运行。该技术通过合法进程的数字签名和正常行为特征掩盖恶意活动,使得进程列表中的表象与正常应用无异。 | |
| .004 | 反射型DLL劫持 | 反射型DLL劫持(Reflective DLL Hijacking)是一种不依赖系统加载器而自主实现DLL映射与执行的技术。攻击者将自定义DLL直接写入目标进程内存,通过反射加载器模拟系统加载流程(解析重定位表、修复导入地址表、执行DllMain),规避对磁盘DLL文件的依赖。该技术特别擅长利用合法应用程序的DLL搜索顺序缺陷,将恶意代码注入到白名单进程的内存空间。 | |
| T1140 | 反混淆/解码文件或信息 | 反混淆/解码文件或信息(T1140)是攻击者对加密或混淆数据进行还原处理的关键技术环节,旨在绕过安全检测机制执行恶意载荷。传统防御手段主要依赖静态特征检测、可疑进程监控和命令行参数分析,例如检测certutil异常使用、监控非常规文件格式解码等。缓解措施包括应用程序白名单、命令行审计以及内存保护技术的部署。 | |
| T1127 | 可信开发者工具代理执行 | 可信开发者工具代理执行是指攻击者滥用软件开发、调试和逆向工程相关的合法工具(如MSBuild、WinDbg、DNX等)作为代码执行载体,通过其内置的脚本引擎或扩展接口间接运行恶意负载的技术。此类工具通常具有合法数字签名且被系统默认信任,使得攻击载荷能够绕过应用白名单机制。防御方可通过监控非常用开发工具的运行环境、分析工具调用参数异常性、建立开发者行为基线等手段进行检测,重点关注非开发终端上的工具使用情况及工具链配置文件的完整性保护。 | |
| .001 | 代码混淆代理执行 | 代码混淆代理执行(Obfuscated Proxy Execution)是一种利用开发工具内置脚本引擎执行加密负载的隐蔽攻击技术。攻击者通过将恶意代码封装为开发工具(如MSBuild、InstallUtil)支持的合法脚本格式(XML或C#),借助工具自带的编译/解释功能动态解密并执行恶意指令。该技术利用开发工具对复杂脚本的天然支持特性,将攻击载荷分解为多层级加密数据块,仅在内存中完成解密与重组,避免在磁盘或网络传输中暴露完整恶意代码。 | |
| .002 | 签名工具链劫持 | 签名工具链劫持(Signed Toolchain Hijacking)是通过篡改软件开发工具链配置实现持久化代码注入的隐蔽攻击技术。攻击者针对编译器(如GCC)、构建系统(如CMake)或调试器(如WinDbg)的插件扩展机制,将恶意模块植入工具链的预处理、编译或链接阶段,使生成的二进制文件在构建过程中自动携带攻击代码。该技术利用开发工具链的合法数字签名和自动化构建特性,使恶意代码的植入过程被包裹在正常的软件开发流程中,形成"供应链污染即服务"的攻击范式。 | |
| .003 | 动态内存驻留执行 | 动态内存驻留执行(Dynamic In-Memory Residency Execution)是滥用调试器和逆向工程工具实现无文件攻击的高级技术。攻击者利用WinDbg、OllyDbg等调试工具的动态代码注入功能,通过调试接口(如DbgEng)将加密的恶意模块直接加载至目标进程内存空间,并借助工具的反汇编引擎自动修复重定位信息,实现进程内存的隐蔽驻留。该技术完全规避传统文件落地检测,利用调试工具对内存操作的合法授权,使恶意行为获得系统级信任。 | |
| T1037 | 启动或登录初始化脚本 | 启动或登录初始化脚本是攻击者通过篡改系统启动或用户登录时自动执行的脚本实现持久化的技术,通常利用组策略、计划任务或Shell配置文件等机制加载恶意代码。防御方可通过监控系统关键脚本目录的异常修改、分析脚本执行上下文权限变化、检测非常规进程创建行为等手段进行防护,重点关注非管理员时段的脚本变更及非常用程序的初始化加载。 | |
| .001 | 合法脚本注入 | 合法脚本注入(Legitimate Script Injection)是通过篡改系统预设的初始化脚本文件植入恶意代码的隐蔽持久化技术。攻击者选择操作系统默认加载的启动脚本(如Windows组策略脚本、Linux rc.local等),在不改变原有脚本功能的前提下插入恶意代码片段,利用系统可信执行流程隐藏攻击载荷。该技术的关键在于保持原始脚本的哈希校验、数字签名及执行上下文,确保安全软件无法通过静态特征检测发现异常。 | |
| .002 | 动态脚本加载 | 动态脚本加载(Dynamic Script Loading)是一种通过远程资源按需获取攻击载荷的隐蔽初始化技术。攻击者在初始化脚本中仅保留轻量级加载器,通过HTTPS、DNS隧道等加密协议从远程服务器动态获取实际执行的恶意脚本内容。该技术通过分离持久化框架与功能模块,实现攻击链路的模块化与临时化,有效减少本地磁盘残留痕迹。 | |
| .003 | 环境感知触发 | 环境感知触发(Environment-Aware Activation)是通过多维环境校验控制恶意代码执行的智能持久化技术。攻击者在初始化脚本中植入环境检测模块,只有当特定硬件特征(如处理器型号)、网络配置(如域控制器IP)或时间条件(如工作时间段)满足预设阈值时,才会激活恶意功能。该技术通过建立攻击行为与目标环境的强关联性,确保恶意代码仅在适宜场景下运行,大幅降低暴露风险。 | |
| .004 | 凭证混淆存储 | 凭证混淆存储(Credential Obfuscation Storage)是针对初始化脚本中认证信息保护的专项匿迹技术。攻击者采用多层加密与分散存储策略,将窃取的域凭证、API密钥等敏感信息隐藏在注册表项、文件元数据或日志条目中,避免在脚本中明文保存关键凭据。该技术通过破坏凭证存储结构与访问模式的关联性,增加防御方进行凭证取证与滥用检测的难度。 | |
| T1547 | 启动或登录自动启动执行 | 启动或登录自动启动执行是攻击者通过操作系统提供的自动执行机制实现持久化驻留的技术,涉及修改注册表、服务配置、计划任务等系统组件。防御方通常通过监控自启动项变更、分析进程创建行为、校验文件签名等方式进行检测,重点关注非常规位置的注册表键值、异常服务属性和未签名驱动加载等特征。 | |
| .001 | 注册表混淆存储 | 注册表混淆存储(Obfuscated Registry Storage)是一种通过加密和混淆技术将持久化配置信息隐匿在Windows注册表中的高级匿迹手法。攻击者利用多层加密算法对恶意载荷路径、启动参数等关键数据进行处理,将其存储于非常规注册表路径或合法键值的扩展属性中。该技术结合了数据变形与存储位置伪装,有效规避基于注册表键值监控的传统检测手段。 | |
| .002 | 合法服务伪装 | 合法服务伪装(Legitimate Service Masquerading)是通过模仿系统服务特征实现持久化驻留的匿迹技术。攻击者逆向分析目标系统服务属性,创建具有相同显示名称、描述信息和依赖关系的恶意服务,或直接劫持已停用系统服务的配置参数。该技术充分利用Windows服务控制管理器(SCM)的信任机制,使恶意服务在服务列表和进程树中呈现合法特征。 | |
| .003 | 动态载荷注入 | 动态载荷注入(Dynamic Payload Injection)是一种基于内存操作的无文件持久化技术。攻击者通过修改系统启动脚本或劫持合法进程初始化流程,在系统启动阶段将加密载荷动态注入到受信任进程内存空间执行。该技术不依赖磁盘文件驻留,通过内存驻留和进程寄生实现持久化控制,有效规避基于文件监控的检测机制。 | |
| .004 | 定时任务隐匿 | 定时任务隐匿(Stealthy Scheduled Task)是通过篡改任务属性与触发逻辑实现隐蔽执行的匿迹技术。攻击者创建具有合法任务名称和伪装描述的计划任务,通过随机化触发条件、关联系统事件日志或设置多级触发依赖,将恶意任务深度嵌入系统运维流程。该技术利用任务调度器的高级功能实现执行时机和上下文环境的动态适配。 | |
| .005 | 隐蔽驱动加载 | 隐蔽驱动加载(Covert Driver Loading)是通过篡改内核对象和利用合法签名实现驱动级持久化的匿迹技术。攻击者伪造WHQL签名或窃取合法厂商证书对恶意驱动进行签名,通过注册未公开的硬件设备类GUID或寄生在系统驱动依赖链中加载。该技术突破用户态监控的检测边界,在内核层面建立持久化控制通道。 | |
| T1059 | 命令与脚本解释器 | 命令与脚本解释器滥用是指攻击者利用系统内置或常见的脚本环境执行恶意代码,其通过混淆代码逻辑、劫持合法进程、规避安全监控等手段实施攻击。传统防御手段侧重于监控异常进程创建、检测已知恶意脚本特征、限制非授权解释器执行等,通过日志审计与行为分析识别可疑的脚本活动。 | |
| .001 | 内存驻留无文件执行 | 内存驻留无文件执行(Fileless In-Memory Execution)是一种通过完全在内存中加载和执行恶意代码的隐蔽攻击技术。该技术利用系统内置解释器(如PowerShell、Python)的运行时环境,直接将加密或编码的脚本载荷注入内存执行,避免在磁盘留存可检测的恶意文件。攻击者通过进程空心化、内存映射文件或反射式加载等技术,将恶意指令转化为解释器可识别的字节流,实现零接触文件系统的攻击闭环。 | |
| .002 | 合法系统工具链式调用 | 合法系统工具链式调用(Legitimate Toolchain Chained Invocation)指攻击者按特定顺序组合调用操作系统内置的多个合法工具(如certutil、msbuild、wmic),通过工具间的输入输出传递恶意载荷。该技术将单个攻击动作拆解为多个合规工具的标准操作,利用工具间的功能互补性完成恶意目标,同时规避基于单一工具异常使用的检测规则。 | |
| .003 | 动态代码混淆与反射加载 | 动态代码混淆与反射加载(Dynamic Code Obfuscation with Reflective Loading)是一种通过实时变换代码特征并绕过模块加载监控的技术。攻击者在脚本解释器运行时动态生成混淆代码(如随机变量名替换、控制流平坦化),并通过反射机制将恶意模块直接加载到内存空间,避免传统导入表挂钩检测。该技术结合了代码形态动态变异和内存加载规避的双重隐匿策略。 | |
| .004 | 低频时序触发型脚本执行 | 低频时序触发型脚本执行(Low-Frequency Time-Triggered Script Execution)通过将恶意脚本的激活周期与系统合法任务计划同步,实现隐蔽的持久化控制。攻击者将恶意代码片段嵌入计划任务、登录脚本或定时服务,设置与目标系统运维节奏相符的执行间隔(如每月补丁周期、季度审计时段),使恶意活动淹没在正常管理行为中。 | |
| .005 | 跨进程注入式解释器劫持 | 跨进程注入式解释器劫持(Cross-Process Interpreter Hijacking)通过将恶意脚本解释器实例注入到可信进程内存空间,实现执行环境的深度隐匿。该技术利用进程注入技术(如APC注入、线程劫持)将PowerShell、Python等解释器运行时加载至浏览器、办公软件等高频使用进程,并在此环境中执行恶意脚本,使得所有操作在宿主进程的合法上下文中完成。 | |
| T1008 | 回退信道 | 回退信道指攻击者为确保命令控制(C2)链路的持久性,在主通信渠道失效或受限时启用的备用通信路径。与传统C2通道相比,回退信道需具备更强的隐蔽性和抗干扰能力,通常采用协议多样化、加密强化和传输机制冗余设计。防御方可通过监测非常规协议使用、分析加密流量元数据特征,以及检测客户端异常数据上传行为等手段进行对抗。 | |
| T1495 | 固件篡改 | 固件篡改是指攻击者通过修改设备固件破坏系统功能或阻止设备启动的攻击技术,常导致硬件永久性损坏。传统防御手段聚焦于固件完整性校验(如UEFI Secure Boot)、更新包签名验证、以及BIOS写保护机制,通过监控固件存储区域异常写入行为进行检测。 | |
| T1612 | 在主机上构建镜像 | 在主机上构建镜像是指攻击者通过直接调用容器引擎API在目标主机上创建定制化镜像,规避从外部仓库拉取恶意镜像的检测风险。攻击者通常在构建过程中注入恶意组件,利用基础镜像的合法性掩护攻击行为。防御措施包括监控异常镜像构建请求、检测构建指令中的可疑命令,以及分析容器运行时的非常规网络连接。 | |
| .001 | 动态分层构建镜像 | 动态分层构建镜像(Dynamic Layered Image Building)是一种通过分阶段构建容器镜像实现恶意载荷隐蔽植入的技术。攻击者将恶意操作分解为多个合法构建步骤,在基础镜像的常规软件安装层之间插入恶意组件,利用Dockerfile的层缓存机制逐步完成攻击载荷部署。该技术通过将恶意行为分散到多个构建阶段,使单次镜像构建请求不触发完整性校验告警,同时利用容器构建过程的合法性掩盖攻击意图。 | |
| .002 | 合法基础镜像劫持 | 合法基础镜像劫持(Legitimate Base Image Hijacking)是指攻击者利用受信的基础镜像作为载体,在构建过程中注入恶意代码的技术。该技术通过选择公共仓库中高信誉的官方镜像(如nginx、redis)作为基础层,利用容器构建过程的层叠加特性,在后续构建步骤中植入后门程序或修改关键配置文件,使得最终生成的镜像既包含原始合法功能又具备隐蔽攻击能力。 | |
| .003 | 构建过程指令混淆 | 构建过程指令混淆(Build Instruction Obfuscation)是通过对Dockerfile中的恶意指令进行编码转换、环境变量嵌套等操作,逃避安全审查的技术。攻击者利用shell命令的多态性特征,将敏感操作(如下载恶意软件、提权配置)转换为复杂的表达式或拆分为多个无害指令,使得静态分析难以识别攻击意图。 | |
| .004 | 本地镜像缓存复用 | 本地镜像缓存复用(Local Image Cache Reutilization)是攻击者利用主机已有的镜像层缓存,减少构建过程中的外部依赖下载,从而降低异常网络流量暴露风险的技术。通过复用本地存储的中间镜像层,攻击者可以最小化与外部仓库的交互,避免触发网络监控系统的异常下载告警。 | |
| T1482 | 域信任发现 | 域信任发现是攻击者在Windows多域/林环境中枚举域间信任关系以寻找横向移动路径的关键技术,涉及通过DSEnumerateDomainTrusts() API、nltest工具或LDAP查询等方式获取信任域列表。传统检测主要监控进程行为(如nltest /domain_trusts调用)、API调用序列(如GetAllTrustRelationships()方法)及LDAP查询特征。防御方可通过审计日志分析、RPC流量监控等手段识别异常域信任枚举行为。 | |
| T1484 | 域或租户策略修改 | 域或租户策略修改是指攻击者通过篡改集中化身份管理体系的核心配置,实现权限提升、持久化控制或防御规避的攻击技术。典型手段包括修改组策略对象、调整域信任关系、变更身份联合设置等,可能影响域内所有实体(用户、设备、服务)。防御措施侧重于监控关键策略变更事件(如Windows事件ID 5136、5141)、审计特权账户操作日志、实施配置变更审批流程,以及检测非常规管理工具的使用。 | |
| .001 | 临时策略回滚 | 临时策略回滚(Ephemeral Policy Rollback)是一种通过即时恢复策略配置实现操作隐蔽的技术。攻击者在获得域控或云租户管理权限后,对目标策略(如组策略对象、域信任关系或身份联合配置)进行短暂修改并立即还原原始状态,使得策略异常仅存在于极短时间窗口。该技术通过时间维度压缩攻击痕迹的存在周期,利用系统审计日志的聚合延迟特性规避实时监控,在维持攻击效果的同时最小化策略变更的可观测性。 | |
| .002 | 合法管理接口滥用 | 合法管理接口滥用(Legitimate Management Interface Abuse)指攻击者通过劫持合规管理工具或标准API接口实施策略篡改的技术。该技术利用系统内置的管理组件(如Azure AD PowerShell模块、Microsoft Graph API)执行恶意策略变更,将攻击行为伪装成正常管理操作。通过严格遵循目标平台的接口调用规范和权限验证流程,攻击者生成的恶意请求在协议层、身份验证层均符合平台安全策略,有效规避基于异常工具检测或非常规API调用的防御机制。 | |
| .003 | 隐蔽式凭证注入策略变更 | 隐蔽式凭证注入策略变更(Covert Credential Injection in Policy Modification)是通过篡改身份验证策略参数实现持久化访问的技术。攻击者修改域或租户的身份联合配置(如SAML令牌签名证书、OAuth客户端密钥),将攻击者控制的凭证信息嵌入系统核心认证流程。该技术通过策略层级的凭证注入,使得攻击者能够生成被目标系统信任的合法身份令牌,同时保持策略配置表面完整性,规避基于配置审计的检测手段。 | |
| T1584 | 基础设施妥协 | 基础设施妥协指攻击者通过非法控制第三方网络资源构建攻击基础设施,包括服务器、域名、云服务等,用以支持网络攻击的各个阶段。传统防御手段通过监控域名注册信息异常、扫描暴露服务特征(如特定端口响应)以及分析SSL/TLS证书指纹等方式进行检测。缓解措施包括实施DNSSEC验证、监控证书透明化日志以及分析C2通信模式等。 | |
| .001 | 合法云服务寄生 | 合法云服务寄生(Legitimate Cloud Service Parasitism)是指攻击者通过入侵或滥用主流云服务提供商的用户账户,在合规云环境中部署恶意基础设施的技术手段。该技术利用云平台提供的标准化服务(如对象存储、CDN节点、Serverless函数)构建攻击资源池,将恶意负载嵌入云服务正常业务流程,使攻击流量具备合法云服务特征标签。攻击者通过API密钥窃取、凭证爆破或供应链污染等方式获取云服务控制权,在目标云环境中建立命令控制服务器、钓鱼站点或数据中转节点,利用云服务商的高信誉度规避安全检测。 | |
| .002 | 可信域名劫持与DNS污染 | 可信域名劫持与DNS污染(Trusted Domain Hijacking and DNS Poisoning)是通过非法获取高信誉域名的控制权,篡改其DNS解析记录构建攻击基础设施的技术。攻击者利用域名注册商漏洞、社会工程攻击或HTTPS证书私钥窃取等手段,将目标域名解析至恶意服务器集群,使防御系统因信任该域名的历史信誉而降低安全检测强度。被劫持的域名往往具备高权威性(如政府机构或知名企业域名),攻击者借此搭建钓鱼平台、C2服务器或恶意CDN节点,形成具有合法数字身份的进攻跳板。 | |
| .003 | 僵尸网络动态调度基础设施 | 僵尸网络动态调度基础设施(Botnet-based Dynamic Infrastructure Scheduling)是指利用已控制的物联网设备、服务器集群构建弹性化攻击资源池,通过智能调度算法实现基础设施的动态切换。该技术将传统静态C2架构转变为分布式动态网络,每个被控节点既是攻击执行单元又是中继节点,可根据防御态势实时调整基础设施拓扑结构。攻击者通过P2P协议或区块链技术实现节点自治通信,利用设备指纹伪装技术使被控节点呈现合法业务特征,构建具备自愈能力的弹性攻击网络。 | |
| .004 | 数字证书滥用型基础设施伪装 | 数字证书滥用型基础设施伪装(Digital Certificate Abuse for Infrastructure Camouflage)是通过窃取或伪造SSL/TLS证书,为恶意服务器赋予合法数字身份的技术手段。攻击者利用证书颁发机构(CA)的验证漏洞、中间人攻击或私钥泄露事件,为控制的恶意域名或IP地址获取可信证书,使得HTTPS加密流量呈现出完整可信的证书链验证特征。该技术不仅用于加密通信,更重要的是通过证书信任链构建基础设施的合法身份背书,规避基于证书异常检测的安全机制。 | |
| T1120 | 外围设备发现 | 外围设备发现是攻击者通过枚举计算机连接的物理设备(如USB存储、智能卡读卡器、打印机等)来获取系统环境信息的技术手段,通常用于识别潜在数据泄露渠道或特权设备。攻击者可能调用系统API、检查设备管理器条目或解析即插即用事件日志来收集设备信息,为后续横向移动或数据窃取提供情报支撑。防御措施包括监控设备管理API调用、分析进程树中的异常命令行参数,以及检测非常规外设连接事件。 | |
| .001 | 合法系统工具滥用扫描 | 合法系统工具滥用扫描(Legitimate System Tool Abuse Scanning)是一种利用操作系统内置管理工具实施隐蔽设备发现的攻击手法。攻击者通过调用Windows Management Instrumentation(WMI)、PowerShell或Linux系统命令等合法管理接口,执行设备枚举操作。由于此类工具具有系统级白名单信任特性,其设备查询行为可规避传统安全软件对未知进程的检测机制,同时利用系统工具的正常功能逻辑混淆恶意意图,实现设备发现的"合法化"操作。 | |
| .002 | 设备指纹模糊化探测 | 设备指纹模糊化探测(Device Fingerprint Obfuscation Probing)是一种通过间接方式获取外围设备信息的隐蔽侦察技术。该技术不直接调用设备枚举API,而是通过分析设备驱动加载记录、电源管理事件日志或系统服务变更历史等间接数据源,推导出已连接外设的型号、接口类型等关键参数。攻击者通过截取设备热插拔事件产生的系统消息、解析USB控制器寄存器状态变化,或监控即插即用服务日志,构建设备指纹信息,避免触发基于设备管理API调用的检测规则。 | |
| .003 | 加密通道外联设备发现 | 加密通道外联设备发现(Encrypted Channel Exfiltration Device Discovery)是一种将设备信息收集与加密传输相结合的高级隐蔽攻击技术。攻击者在完成本地设备枚举后,采用TLS加密通信、DNS隧道或HTTPS隐蔽信道等手段,将外设配置数据封装在合法协议载荷中进行外传。该技术通过协议层加密和流量特征伪装,有效规避基于网络流量内容分析的检测系统,同时利用加密通道的端到端保护特性切断设备指纹与攻击者的直接关联。 | |
| T1133 | 外部远程服务 | 外部远程服务指攻击者通过VPN、Citrix等外部可访问的远程接入服务建立初始访问或持久化通道的技术。该技术依赖有效账户凭证或暴露的未授权接口,常作为后续攻击的跳板。传统防御手段包括监控认证日志中的异常时间/地点访问、分析远程会话中的非常规操作序列,以及限制未授权服务的暴露面。 | |
| T1111 | 多因素身份验证拦截 | 多因素身份验证拦截是攻击者通过技术手段窃取或绕过二次认证凭证的攻击技术,主要针对智能卡、软硬件令牌、短信验证码等MFA机制。传统防御手段依赖检测异常认证请求、分析键盘记录行为或监控短信网关异常,但难以应对新型隐蔽攻击。建议通过硬件令牌行为指纹分析、输入路径完整性验证、电信信令审计等多维度检测机制进行防护。 | |
| .001 | 硬件令牌代理劫持 | 硬件令牌代理劫持(Hardware Token Proxy Hijacking)是针对物理安全设备(如智能卡、U盾)的隐蔽攻击技术。攻击者在已控终端植入代理模块,通过劫持系统与硬件令牌的通信接口,实时转发认证请求与响应数据。该技术利用合法用户插入令牌的物理操作窗口期,在内存中构建虚拟认证通道,同步窃取PIN码与动态口令,并建立持久化的认证会话隧道,使攻击者可在不持有实体令牌的情况下进行远程身份冒用。 | |
| .002 | 键盘记录隐蔽传输 | 键盘记录隐蔽传输(Stealthy Keylogging Transmission)是针对软令牌认证体系的定向窃密技术。攻击者通过修改系统输入处理链(如键盘驱动层或API Hook),精确捕获用户输入的动态验证码,并通过多层加密与流量混淆机制实现数据外传。该技术重点突破传统键盘记录检测机制,采用基于上下文感知的触发式记录策略,仅在检测到特定认证界面(如MFA验证弹窗)时激活窃密模块,最大限度降低行为暴露风险。 | |
| .003 | SIM卡服务劫持中继 | SIM卡服务劫持中继(SIM Hijacking Relay)是针对短信验证码体系的中间人攻击技术。攻击者通过社工攻击或电信运营商系统渗透,劫持目标手机号码的短信接收权限,构建云端短信网关中继平台。该技术可实时拦截包含MFA验证码的短信,并自动解析提取动态口令,同步至攻击者控制的认证代理节点,实现无缝身份冒用。攻击过程中,目标用户的手机信号可能被静默重定向至伪基站,或通过SS7协议漏洞实施短信流量劫持。 | |
| .004 | 中间人动态认证接口伪装 | 中间人动态认证接口伪装(MITM Dynamic Auth Interface Spoofing)是针对认证交互流程的实时欺诈技术。攻击者在网络层实施ARP欺骗或DNS劫持,将用户重定向至伪造的MFA认证页面,诱导用户输入动态验证码。该页面通过反向代理与目标认证服务器建立加密隧道,实时转发用户凭证并拦截会话令牌。技术核心在于动态生成高度仿真的认证界面,并维持双向通信的协议完整性,使受害者无法察觉中间人攻击的存在。 | |
| T1621 | 多因素身份验证请求生成 | 多因素身份验证请求生成是攻击者通过滥用MFA机制向目标用户发送大量验证请求,利用用户疲劳或误操作获取账户访问权限的新型攻击技术。与传统凭证窃取不同,该技术直接作用于认证流程的交互环节,通过社交工程与自动化工具结合实现验证绕过。防御方通常通过监测异常请求频率、地理位置突变及设备指纹异常等特征进行检测,并采取请求速率限制、风险评分模型等措施进行缓解。 | |
| .001 | 分布式代理节点请求洪泛 | 分布式代理节点请求洪泛(Distributed Proxy Node Request Flooding)是一种通过分布式网络架构实施大规模MFA请求攻击的匿迹技术。攻击者利用全球分布的代理服务器或僵尸网络节点,将MFA验证请求分发至不同地理位置的节点发起,通过多源IP轮换机制规避基于单一源地址的频次检测。该技术通过动态调整请求间隔和协议参数,使每个节点的请求频率保持在目标系统容忍阈值内,同时利用HTTPS加密通道隐藏请求内容特征,形成具有合法业务流量表象的分布式验证压力。 | |
| .002 | 地理邻近验证请求欺骗 | 地理邻近验证请求欺骗(Geolocation Proximity Verification Spoofing)是一种通过伪造请求地理属性提升MFA请求可信度的隐蔽攻击技术。攻击者通过关联目标用户的历史登录位置数据,动态选择与受害者常用地理位置相符的代理节点发起验证请求,利用IP地址地理属性与用户行为模式的时空关联性降低系统风险评分。该技术结合社会工程学策略,在请求元数据中注入符合目标用户活动规律的设备指纹、网络环境特征,使MFA推送通知在呈现地理位置信息时更具迷惑性。 | |
| .003 | MFA服务API链路劫持 | MFA服务API链路劫持(MFA Service API Chain Hijacking)是一种通过逆向工程和协议滥用实现验证请求隐匿的技术形态。攻击者通过分析主流MFA服务提供商的开放API接口规范,构造符合业务逻辑的合法请求报文,将恶意验证请求嵌入正常服务调用链路。该技术利用OAuth 2.0等标准授权流程的交互特性,通过中间人攻击或会话令牌窃取获取合法API调用凭证,使恶意请求获得与正常业务请求相同的数字签名和加密特征,实现验证请求在服务端的白名单化处理。 | |
| T1104 | 多阶段信道 | 多阶段信道指攻击者通过构建分层次的指挥控制链路来提升通信隐蔽性的技术,其核心特征是将完整的C2流程拆解为多个功能隔离的阶段。传统防御主要依赖网络流量分析(如异常连接模式识别)和终端行为监控(如可疑进程外联检测),通过关联跨协议通信事件或识别加密流量中的元数据异常来发现威胁。典型缓解措施包括部署网络层协议深度分析、实施出口流量白名单管控等。 | |
| .001 | 动态协议切换信道 | 动态协议切换信道(Dynamic Protocol Switching Channels)是一种通过动态变更通信协议层级实现隐蔽指挥控制的技术。攻击者在不同攻击阶段采用不同网络协议(如HTTP、DNS、ICMP等)构建多级通信链路,每级信道仅承担特定功能模块的传输任务。首阶段通常使用低风险协议建立初始连接,后续阶段根据网络环境动态切换协议栈,利用协议间的异构性破坏流量特征连续性。该技术通过协议层的动态适配机制,有效规避基于单一协议特征检测的防御体系。 | |
| .002 | 僵尸网络节点中继信道 |
僵尸网络节点中继信道(Botnet Node Relay Channels)利用已控设备群构建动态中继网络,实现C2通信的拓扑隐匿。攻击者将僵尸节点按地理位置、网络类型、设备特征进行分类,构建多层代理转发体系。首阶段指令通过Tor网络传递至一级中继节点,二级中继节点采用P2P协议在僵尸设备间跳转,最终指令由边缘节点通过合法协议(如HTTP/2)送达目标主机。中继路径根据网络态势动态调整,节点仅知晓相邻跳点信息,形成去中心化的洋葱路由结构。 该技术的匿迹性源于网络拓扑的动态模糊化与节点行为的合法化伪装。通过僵尸网络节点池的规模效应,将单条C2信道分解为数十个短暂存在的微路径,每条路径存活时间不超过阈值周期(通常为15分钟)。中继节点在非活跃时段执行与其设备角色相符的正常网络行为(如IoT设备维持心跳连接、服务器处理业务请求),仅在接收到加密触发指令后才激活中继功能。技术实现需攻克三大难点:大规模节点的协同调度(采用Gossip协议实现去中心化任务分发)、传输延迟的优化控制(设计QoS感知的路由选择算法)以及节点行为的一致性伪装(开发环境感知的流量生成引擎)。这种架构使得C2流量在拓扑层面完全融入正常设备通信矩阵,传统基于IP信誉库或流量突增检测的防御手段难以生效。 |
|
| .003 | 载荷分离式多级触发信道 | 载荷分离式多级触发信道(Payload-Separated Multi-Trigger Channels)是一种将恶意功能模块拆分存储、按需触发的隐蔽通信技术。攻击者将完整攻击载荷拆分为多个功能组件,分别存储在不同地理位置的合法云存储服务中。首阶段信道仅传输经过混淆的触发指令和组件索引信息,后续阶段根据指令动态组合并加载所需模块。各组件采用差异化的加密算法和传输协议,利用内容分发网络(CDN)的缓存机制实现载荷的合法化分发,形成"指令与实施分离"的隐蔽攻击架构。 | |
| T1562 | 妨碍防御 | 妨碍防御指攻击者通过技术手段破坏或削弱目标环境中的安全防护机制,包括禁用预防性防御(如杀毒软件、防火墙)、破坏检测能力(如日志系统、审计功能)以及干扰防御运维流程(如阻断系统更新)。传统检测方法主要通过监控安全服务状态变更、分析日志完整性以及检测防御规则异常来实现,例如追踪安全进程的异常终止、监控关键注册表项修改等。 | |
| .001 | 安全服务动态卸载 | 安全服务动态卸载(Dynamic Security Service Unloading)是一种针对运行时防御机制的隐蔽对抗技术。攻击者通过内存操作或系统API调用,在保持安全服务进程存续表象的前提下,动态卸载其核心防御模块的功能组件。该技术利用安全软件热加载机制的特性,通过移除关键驱动模块或禁用行为监控钩子,使防御系统丧失实时检测能力,同时避免触发服务异常告警。例如通过修改Windows Defender的MPSSVC服务配置,动态卸载反恶意软件扫描接口(AMSI)的检测功能。 | |
| .002 | 日志策略篡改 | 日志策略篡改(Log Policy Manipulation)是通过修改系统审计策略和日志存储机制实现防御削弱的定向攻击技术。攻击者不仅清除现有日志记录,更通过篡改日志收集策略(如Windows事件转发配置、Linux rsyslog规则)、调整日志存储阈值或重定向日志传输路径,系统性破坏安全信息与事件管理(SIEM)系统的数据完整性。典型应用包括修改Windows注册表HKLM\SOFTWARE\Policies\Microsoft\Windows\EventLog项下的保留策略,将安全日志最大尺寸设置为最小值并启用覆盖模式。 | |
| .003 | 防御规则污染 | 防御规则污染(Defense Rule Contamination)是通过注入误导性规则削弱检测能力的深度对抗技术。攻击者利用防御系统的规则更新机制,植入包含逻辑漏洞或排除列表的恶意规则集,诱导防御系统主动忽略特定攻击特征。例如在YARA规则库中插入过度泛化的匹配模式,或在EDR策略中添加攻击进程的白名单哈希值,使得恶意活动被系统误判为合法行为。 | |
| .004 | 可信进程注入 | 可信进程注入(Trusted Process Injection)是通过寄生可信进程实施防御削弱的隐蔽攻击技术。攻击者将恶意代码注入具有防御豁免权限的系统进程(如Windows的lsass.exe、Linux的systemd),利用宿主进程的合法身份绕过安全软件的检测机制,进而操控防御组件的运行状态。典型应用包括注入杀毒软件更新进程来禁用特征库更新,或通过可信服务进程卸载防火墙驱动模块。 | |
| T1203 | 客户端执行漏洞利用 | 客户端执行漏洞利用是指攻击者通过利用客户端应用程序(如浏览器、办公软件)的安全漏洞,诱导用户执行恶意代码的攻击技术。传统防御手段主要依赖漏洞特征检测、进程行为监控和文件信誉评估,通过分析软件异常行为(如堆喷射模式、非常规API调用序列)或检测已知漏洞利用特征(如特定ROP链模式)进行防护。缓解措施包括应用沙箱隔离、内存保护机制(如DEP/ASLR)和启发式行为分析。 | |
| T1613 | 容器与资源发现 |
容器与资源发现是攻击者在云原生环境中识别可用计算资源、服务拓扑及集群配置的关键侦察技术,通常通过Kubernetes API调用、容器日志分析或管理仪表盘查询实现。防御方可通过集中化日志监控、API调用行为分析及服务账户权限管控等手段,检测异常资源枚举行为,例如非授权用户访问/apis/metrics.k8s.io/v1beta1接口或高频次查询节点信息。
|
|
| .001 | 日志污染的资源嗅探 | 日志污染的资源嗅探(Log Contamination-based Resource Sniffing)是一种通过篡改容器运行时日志实现隐蔽资源探测的技术。攻击者在执行容器环境发现操作时,同步注入大量无关日志条目或修改原始日志格式,使得关键操作记录被淹没在噪声数据中。该技术利用容器日志管理系统的存储与检索机制缺陷,通过制造日志熵增干扰安全人员的异常行为分析能力,同时保持对Kubernetes集群或Docker Swarm节点拓扑的持续侦察。 | |
| .002 | API请求伪装 |
API请求伪装(API Request Camouflage)是通过模拟合法管理流量实施容器资源探测的隐蔽技术。攻击者通过劫持具有只读权限的服务账户凭证,将/api/v1/nodes或/apis/apps/v1/deployments等Kubernetes API调用嵌入正常的集群管理流量中,使资源枚举请求与运维操作在协议特征层面无法区分。该技术充分利用云原生环境中API通信的密集性与多样性,通过时序分布伪装和参数标准化处理规避基于API调用序列的异常检测。
|
|
| .003 | 容器内隐蔽探测 |
容器内隐蔽探测(In-container Stealth Probing)指攻击者在已控容器内部署轻量级探测工具,通过容器间通信网络实施资源发现的隐匿技术。该方法利用容器默认网络策略的宽松性,通过Service Mesh边车代理或Overlay网络隧道,将etcd存储查询、节点信息采集等敏感操作封装为服务网格内部通信流量,绕过基于主机层监控的安全检测机制。
|
|
| .004 | 动态凭证轮换 |
动态凭证轮换(Dynamic Credential Rotation)是通过持续变更身份凭证实现持久化资源发现的隐匿技术。攻击者利用云服务商提供的短期访问令牌机制(如AWS STS或Azure Managed Identity),在每次执行kubectl describe services等发现命令前,通过OAuth 2.0设备代码流获取新访问凭证,确保单次操作凭证的有效期短于防御系统的响应处置周期。
|
|
| T1609 | 容器管理命令 | 容器管理命令指攻击者通过容器编排系统的管理接口(如Docker daemon、Kubernetes API)在容器内执行恶意指令的技术手段。该技术通常利用合法管理工具(kubectl exec、docker exec)或篡改容器配置实现代码执行,为后续横向移动、持久化等攻击阶段建立据点。防御措施主要依赖容器运行时的进程监控、API调用审计日志分析,以及镜像完整性校验机制。 | |
| .001 | 容器生命周期寄生执行 | 容器生命周期寄生执行(Container Lifecycle Parasitic Execution)是一种利用容器编排系统固有操作流程实施隐蔽攻击的技术。攻击者通过篡改容器启动参数或钩子脚本,在容器创建(docker run)、更新(kubectl apply)等管理操作中嵌入恶意指令,使攻击行为与正常容器运维流程深度融合。该技术特别针对容器平台对自动化操作的信任机制,将恶意负载注入容器初始化阶段,利用镜像拉取、环境变量配置等合法流程完成攻击载荷的部署与激活。 | |
| .002 | 动态容器注入与痕迹消除 | 动态容器注入与痕迹消除(Dynamic Container Injection with Artefact Removal)是一种基于容器热插拔特性的高级攻击技术。攻击者通过kubectl exec或docker exec等管理接口向运行中的容器注入临时进程,在内存中执行恶意代码后立即清除操作痕迹。该技术充分利用容器文件系统写时复制(Copy-on-Write)特性,通过避免持久化文件落盘来规避静态检测,同时借助容器管理工具的标准API接口将攻击流量伪装成合法运维操作。 | |
| .003 | 合法镜像篡改后门植入 | 合法镜像篡改后门植入(Legitimate Image Tampering for Backdoor Implantation)是通过污染容器镜像仓库实施的供应链攻击技术。攻击者通过入侵镜像构建流水线或劫持公共镜像仓库,在基础镜像(如ubuntu:latest)或依赖组件中植入恶意代码,利用容器平台的自动拉取机制实现攻击载荷的分布式部署。该技术特别针对DevOps环境中对公共镜像的信任依赖,通过合法数字签名和版本号伪装确保恶意镜像通过完整性校验。 | |
| .004 | 服务端API伪装通信 | 服务端API伪装通信(Server-Side API Camouflage Communication)是针对容器编排平台控制平面设计的隐蔽信道技术。攻击者通过逆向工程Kubernetes API Server或Docker守护进程的通信协议,构造符合gRPC/HTTP2规范的恶意请求,将攻击指令嵌入证书更新、配置热加载等管理操作中。该技术通过模仿控制平面组件的合法交互模式,绕过基于网络流量特征(如特定API端点访问频率)的异常检测机制。 | |
| T1201 | 密码策略发现 | 密码策略发现是攻击者通过系统命令、API接口或日志分析等手段,获取目标组织密码复杂度要求、锁定阈值等安全策略的侦察行为。传统检测方法主要监控敏感命令执行(如net accounts /domain)、异常API调用频次以及非常规工具使用,通过关联账户权限和访问模式识别恶意活动。防御措施包括实施最小权限原则、强化API调用审计、建立用户行为基线等。 | |
| T1113 | 屏幕捕获 | 屏幕捕获是攻击者通过截取目标系统显示界面获取敏感信息的常见技术手段,通常利用操作系统原生API(如Windows GDI32或macOS CoreGraphics)或第三方截屏工具实现。防御方可通过监控可疑进程的图形接口调用、检测异常图像文件生成,以及分析窗口焦点突变等行为特征进行识别。在取证层面,内存转储分析和剪贴板历史监控也被用于发现无文件截屏攻击的痕迹。 | |
| .001 | 无文件内存驻留捕获 | 无文件内存驻留捕获(Fileless Memory-Resident Capture)是一种通过完全规避磁盘I/O操作实现隐蔽屏幕截取的技术。攻击者利用内存驻留技术,将屏幕图像数据直接存储在进程内存中,通过Hook系统图形设备接口(GDI)或DirectX API实时捕获显示内容,并采用内存映射方式处理图像数据。该技术避免生成任何磁盘文件,规避基于文件创建监控的检测机制,同时利用合法系统进程(如explorer.exe)的内存空间作为暂存区,实现屏幕数据的非持久化处理。 | |
| .002 | 屏幕图像隐写传输 | 屏幕图像隐写传输(Steganographic Screen Data Exfiltration)是一种将截屏数据嵌入合法通信协议实现隐蔽回传的技术。攻击者在获取屏幕图像后,通过自适应隐写算法将像素数据编码至正常网络流量的载体文件(如网页图片、文档附件),利用HTTPS等加密通道传输。该技术通过双重隐匿机制——内容层的隐写嵌入与传输层的加密保护,使防御方既无法从网络流量中直接提取截屏数据,也难以识别载体文件的异常特征。 | |
| .003 | 合法进程劫持截屏 | 合法进程劫持截屏(Legitimate Process Hijacking for Capture)是一种通过劫持系统内置截屏功能实现隐蔽操作的攻击技术。攻击者通过DLL注入或COM劫持技术,接管操作系统原生截屏组件(如Windows Snipping Tool或macOS Grab的底层服务),利用合法进程的API调用链执行恶意截屏操作。该技术使截屏行为在进程树、API调用栈等维度均呈现为正常系统活动,规避基于进程行为分析的检测机制。 | |
| T1071 | 应用层协议 | 应用层协议滥用是指攻击者利用合法网络协议进行恶意通信,通过模仿正常业务流量规避检测的技术手段。攻击者通常选择目标网络广泛使用的协议(如HTTP、DNS、SMB)作为传输载体,将命令控制、数据渗漏等恶意行为隐藏在标准协议交互中。传统防御手段主要通过分析协议合规性(如RFC标准符合性测试)、检测非常规端口使用、识别异常会话模式等方法进行对抗,例如检查HTTP头字段完整性或DNS查询频率异常。 | |
| .001 | 协议模拟与流量伪装 | 协议模拟与流量伪装(Protocol Simulation and Traffic Camouflage)是指攻击者精确复现目标网络环境中主流应用层协议(如HTTP/HTTPS、DNS、SMTP)的通信特征,将恶意流量完全融入正常业务交互的技术。该技术通过解析目标网络的协议使用习惯,构造符合协议标准的请求头、载荷格式及交互时序,使恶意通信在协议语法层与语义层均呈现合法特征。攻击者可能利用标准化协议扩展字段(如HTTP Cookie头、DNS TXT记录)或协议容错机制(如TCP重传规则)嵌入控制指令,实现恶意流量的深度隐蔽。 | |
| .002 | 动态多协议协同传输 | 动态多协议协同传输(Dynamic Multi-Protocol Collaborative Transmission)是一种通过多协议交替使用和功能解耦实现隐蔽通信的技术。攻击者将控制指令、数据回传、状态同步等不同功能模块分配给不同的应用层协议执行,并根据网络环境动态切换协议组合。例如,使用DNS协议传输心跳信号,利用HTTP协议下发指令,通过SMTP附件回传数据。各协议间通过加密时间戳或隐写术实现时序同步,构建去中心化的复合通信矩阵。 | |
| .003 | 加密协议隧道嵌套 | 加密协议隧道嵌套(Encrypted Protocol Tunnel Nesting)是指将恶意通信嵌套在多重加密协议栈中,利用协议分层结构实现数据深度隐藏的技术。攻击者通常在标准加密协议(如TLS 1.3)内部封装私有加密信道,形成"协议套娃"结构。例如,在HTTPS流量中嵌套基于AES-GCM加密的自定义二进制协议,或在SSH隧道内运行Tor通信链路。该技术通过多层加密和协议封装,使得流量在每一层解析都呈现合规特征,只有最终解密层才能暴露真实意图。 | |
| .004 | 协议分片时序控制传输 | 协议分片时序控制传输(Protocol Fragmentation with Temporal Control)是一种通过数据分片和时序混淆实现隐蔽传输的技术。攻击者将完整指令或数据负载分割为多个微片段,按照预设时间策略通过不同协议或会话通道发送。例如,将恶意DLL文件分片隐藏在多个HTTP响应体的图片文件碎片中,或利用DNS查询的TXT记录分片传输加密密钥。分片策略结合时间延迟、乱序传输和冗余校验,使得单个数据片段无法呈现完整恶意特征。 | |
| T1010 | 应用窗口发现 | 应用窗口发现是攻击者通过枚举系统打开的应用程序窗口来识别用户活动状态和安全防护态势的侦察技术。攻击者通常利用系统内置命令(如PowerShell的Get-Process)、原生API调用(如EnumWindows)或GUI自动化工具获取窗口标题、类名等信息,用于后续攻击链的情报支撑。防御方可通过监控敏感API调用序列、检测非常规进程的窗口操作行为,以及分析用户交互模式异常来识别潜在攻击。 | |
| .001 | API混淆调用窗口枚举 | API混淆调用窗口枚举(Obfuscated API Call Window Enumeration)是一种通过动态调用和参数伪装技术实现隐蔽窗口发现的方法。攻击者通过合法系统API(如User32.dll的EnumWindows函数)执行窗口遍历,但采用运行时动态加载、参数加密传输、返回值分段解析等手段,规避基于静态API调用特征的检测。该技术通过将窗口发现操作分解为多个合法系统调用链,使安全工具难以识别完整的窗口枚举行为。 | |
| .002 | 进程注入式窗口嗅探 | 进程注入式窗口嗅探(Process Injection-based Window Sniffing)是指将窗口发现代码注入到合法进程(如explorer.exe、chrome.exe)的内存空间,利用宿主进程的合法上下文执行窗口遍历操作。该技术通过劫持可信进程的资源访问权限,绕过基于进程信誉的检测机制,同时利用进程间通信机制隐蔽回传窗口信息,实现深度驻留的持续监控能力。 | |
| .003 | GUI自动化伪装窗口遍历 | GUI自动化伪装窗口遍历(GUI Automation Camouflage Window Traversal)是通过模拟用户界面交互行为实现隐蔽窗口发现的攻击技术。攻击者利用UI自动化框架(如Windows UI Automation、Selenium)生成符合人类操作模式的鼠标移动、窗口聚焦等事件,在获取窗口信息的同时伪装成合法用户活动。该技术通过模仿真实用户的GUI交互节奏和操作路径,规避基于自动化行为特征的检测机制。 | |
| .004 | 间接窗口信息嗅探链 | 间接窗口信息嗅探链(Indirect Window Information Sniffing Chain)是通过多阶段非直接方式推导窗口信息的隐蔽侦察技术。攻击者不直接调用窗口枚举API,而是通过分析进程内存结构、窗口消息队列、GDI对象句柄表等系统资源,逆向推导出当前活动窗口信息。该技术利用系统内部数据结构的内在关联性,构建间接信息获取通道,规避基于API调用监控的防御机制。 | |
| T1585 | 建立账户 | 建立账户是攻击者为实施后续攻击行动创建虚假身份或劫持合法账户的战术手段,通常用于网络钓鱼、命令控制、资源部署等攻击阶段。攻击者通过伪造个人/企业资质在目标信任的平台上注册账户,构建攻击基础设施或社交工程触达渠道。传统防御手段主要通过分析注册信息真实性(如证件验证)、监测异常批量注册行为、核查账户活动一致性等手段进行检测。 | |
| .001 | 跨平台身份关联账户构建 | 跨平台身份关联账户构建(Cross-Platform Identity Correlation Account Construction)是一种通过多维度身份要素协同伪造实现账户合法化的高级匿迹技术。攻击者通过系统化收集公开个人信息(如社交媒体动态、企业黄页数据、学术机构名录),构建具有完整身份画像的虚拟人物实体,并在不同网络平台(如云服务、社交媒体、行业论坛)同步创建相互佐证的关联账户。该技术利用数字身份验证机制的漏洞,通过跨平台数据一致性验证强化账户可信度,使防御方难以通过单一平台的异常检测发现伪造身份。 | |
| .002 | 服务滥用型寄生账户创建 | 服务滥用型寄生账户创建(Service Abuse-Based Parasitic Account Creation)是一种利用合法商业服务机制隐匿恶意账户注册行为的技术。攻击者通过逆向分析目标平台的新用户注册策略(如免费试用、开发者API申请、企业认证流程),设计符合服务条款约束的账户注册模式,将恶意账户寄生在平台的正常用户增长流量中。该技术特别针对云服务商、协作办公平台的推广政策,通过伪装成初创企业或学术研究机构,批量创建具备完整企业资质的账户集群。 | |
| .003 | 自动化身份画像维护 | 自动化身份画像维护(Automated Identity Profile Maintenance)是通过持续更新伪造账户的社交属性与行为数据,使其在目标生态系统中保持自然演化特征的匿迹技术。该技术采用智能算法模拟人类用户的数字足迹生成模式,定期在关联平台发布符合身份背景的内容(如技术博客、行业评论、项目动态),并与真实用户建立渐进式社交连接,构建多维度的身份可信度证据链。 | |
| .004 | 地理行为特征解耦账户注册 | 地理行为特征解耦账户注册(Geobehavioral Decoupled Account Registration)是通过分离账户注册行为的时空特征与使用场景,规避基于地理位置关联分析的检测机制。攻击者利用全球分布式代理网络动态切换注册入口节点,结合目标服务区域用户的典型行为特征(如语言偏好、支付方式、作息时间),为每个恶意账户构建符合其宣称地理属性的完整数字指纹。 | |
| T1587 | 开发能力 | 开发能力指攻击者自主构建恶意工具和基础设施的过程,涵盖恶意软件开发、漏洞利用构造、伪造证书创建等环节。与传统武器采购不同,自主开发可避免商业恶意软件的特征暴露,并实现攻击工具的高度定制化。防御方面主要通过逆向工程分析代码特征、追踪数字证书指纹、监控可疑编译行为等手段进行检测,重点关注恶意软件与已知攻击组织的代码相似性、证书签发异常等特征。 | |
| .001 | 模块化恶意软件开发 | 模块化恶意软件开发(Modular Malware Development)是一种通过构建可插拔、动态加载的恶意代码架构实现攻击能力隐蔽化的技术手段。攻击者将恶意功能拆解为独立的功能模块,核心框架仅保留基础通信与控制功能,在执行阶段按需加载攻击载荷。这种架构设计使得静态分析难以获取完整功能画像,同时支持运行时动态更新恶意模块,显著降低被传统特征检测技术识别的风险。关键技术包括模块间隔离通信机制、加密配置加载协议以及基于环境感知的模块激活策略。 | |
| .002 | 开源工具链污染 | 开源工具链污染(Open-Source Toolchain Contamination)指攻击者通过篡改软件开发工具链(如编译器、依赖库、构建脚本),在合法软件开发生态中植入恶意代码的技术。攻击者选择高流行度的开源组件作为载体,在版本更新包中插入恶意代码逻辑,利用下游开发者的自动依赖更新机制实现恶意代码的供应链传播。该技术的关键在于保持宿主工具链的功能完整性,使恶意行为仅在特定编译条件或运行时环境中激活,形成"开发即污染"的隐蔽攻击模式。 | |
| .003 | 数字证书自签隐匿 | 数字证书自签隐匿(Self-Signed Certificate Obfuscation)是通过构建私有证书体系实现恶意代码可信认证的隐蔽开发技术。攻击者搭建内部CA基础设施,为恶意软件签发带有合法组织信息的数字证书,利用证书信任链漏洞实现代码签名验证绕过。关键技术包括伪造企业实体信息、构造中间CA证书链、以及定期轮换证书密钥,使得签名证书在表面验证层面呈现合法特征,同时避免与已知恶意证书指纹库匹配。 | |
| .004 | 开发环境虚拟化隐匿 | 开发环境虚拟化隐匿(Virtualized Development Environment Concealment)指攻击者利用虚拟化技术构建隔离的恶意代码开发环境,切断开发行为与物理设备的关联特征。通过嵌套虚拟化架构、内存驻留开发工具、以及网络流量隧道化等技术,实现开发活动的全链路隐匿。关键特征包括使用临时性云开发环境、基于TOR网络的协作通信、以及开发痕迹自动擦除机制,使得攻击能力开发过程难以被传统取证手段溯源。 | |
| T1187 | 强制身份验证 | 强制身份验证是攻击者通过诱导用户自动发起认证请求以窃取凭证的中间人攻击技术,通常利用SMB/WebDAV协议特性实现NTLM哈希截获。防御方可通过监控异常外联SMB流量、分析.LNK/SCF文件元数据以及检测非常用端口的WebDAV活动进行防护,同时限制未经审核的外部资源链接访问权限。 | |
| T1560 | 归档收集数据 | 归档收集数据是攻击者在渗透过程中对窃取信息进行压缩加密处理的技术,旨在降低数据泄露风险并规避检测。攻击者通常使用系统自带工具(如tar、zip)或第三方库对数据进行归档处理,防御方可通过对压缩工具进程的监控、异常命令行参数检测,以及网络流量中加密文件特征的识别来进行防护。现有检测手段主要依赖文件头特征分析、熵值检测和传输行为异常识别等技术。 | |
| .001 | 多层嵌套压缩加密 | 多层嵌套压缩加密(Multi-layer Nested Compression Encryption)是一种通过复合压缩算法与加密协议构建数据保护层的技术。攻击者在数据外传前,采用多层级联的压缩工具(如7-Zip、WinRAR)与加密算法(AES-256、ChaCha20),对窃取数据进行迭代处理。每层压缩加密采用不同算法参数,形成洋葱式防护结构,有效增加数据恢复难度。该技术通过算法组合的复杂性对抗取证分析,同时利用压缩降低数据体积以规避流量异常检测。 | |
| .002 | 隐写式数据封装 | 隐写式数据封装(Steganographic Data Containerization)是一种将窃密数据嵌入到载体文件中的高级隐匿技术。攻击者利用数字媒体文件(如图像、音频、视频)的冗余空间,通过LSB(最低有效位)替换、DCT系数调整等算法,将压缩加密后的数据隐藏其中。该技术创造性地将数据归档过程与隐写操作融合,使窃密数据以视觉/听觉不可感知的形式存在于合法文件中,同时保留载体文件的格式完整性与功能可用性。 | |
| .003 | 分片式时空分离归档 | 分片式时空分离归档(Fragmented Spatiotemporal Archiving)是一种通过时空维度解构数据归档过程的技术。攻击者将待外传数据分割为多个加密分片,通过不同传输渠道(如HTTP、DNS、SMTP)分批次发送,并设置动态时间间隔控制传输节奏。每个分片采用独立加密密钥与压缩算法,且附加校验信息确保重组完整性。该技术突破传统集中式归档模式,通过时空维度分散化降低单次传输风险。 | |
| .004 | 合法文件格式伪装 | 合法文件格式伪装(Legitimate File Format Spoofing)是通过仿冒常见办公文档或系统文件的格式特征实现数据隐匿的技术。攻击者将压缩加密后的数据嵌入经过结构仿真的文件容器(如DOCX、PDF),并构建完整的文件元数据体系。通过精确复制目标格式的文件头、目录结构、校验信息等特征,使恶意归档文件在文件类型检测、内容预览等环节呈现为正常文档,实则包含加密窃密数据。 | |
| T1480 | 执行保护 | 执行保护是攻击者为确保恶意代码仅在特定目标环境中激活而采取的条件约束机制,通过验证预设环境特征(如域控关系、硬件配置、网络拓扑等)来规避非目标系统的意外执行。传统防御手段主要依赖检测异常的环境探测行为或识别固定的条件判断逻辑,通过监控进程创建、注册表查询等系统调用模式来发现可疑活动。缓解措施包括加强系统环境监控、实施严格的最小权限原则,以及部署行为分析系统检测非常规的条件验证操作。 | |
| .001 | 动态环境指纹验证 | 动态环境指纹验证(Dynamic Environment Fingerprint Verification)是一种基于目标系统实时状态进行执行条件判定的高级防护机制。该技术通过动态获取目标环境的多维度特征(包括硬件配置、网络拓扑、进程树关系等),构建动态指纹校验模型,确保恶意代码仅在特定环境组合下激活。与传统静态环境检测不同,其采用动态特征提取算法,每次执行时实时采集最新环境参数,通过哈希混淆、模糊匹配等方式实现条件校验,避免防御方通过逆向工程提取固定检测规则。 | |
| .002 | 运行时条件注入 | 运行时条件注入(Runtime Condition Injection)是通过在恶意代码执行过程中动态加载环境校验模块,实现执行保护机制隐蔽化的技术手段。该技术将核心环境检测逻辑与载荷执行模块解耦,仅在运行时通过内存加载或远程服务交互获取当前环境校验规则,确保静态分析无法获取完整执行条件。攻击者采用分阶段加载策略,初始植入程序仅包含基础通信模块,待确认目标环境符合预设条件后,再动态获取完整攻击载荷,有效降低非目标系统中的暴露风险。 | |
| .003 | 多层级联环境鉴权 | 多层级联环境鉴权(Multi-level Cascaded Environment Authentication)是通过建立多层递进式验证体系实现高隐蔽性执行保护的技术方案。该技术设计三级环境验证机制,分别针对硬件层、系统层和应用层特征进行递进式校验,每层验证通过后才会加载下一阶段的检测模块。各层级验证逻辑采用独立加密算法和通信信道,且验证失败的层级会自动触发环境清理程序,消除已执行的操作痕迹,形成完整的反取证保护链。 | |
| .004 | 用户代理过滤与自适应载荷分发 | 用户代理过滤与自适应载荷分发(User-Agent Filtering and Adaptive Payload Distribution)是通过精细化识别目标环境特征实现精准攻击的匿迹技术。该技术深度分析请求端的用户代理信息,结合设备指纹、浏览器特征和网络环境等多维度数据,构建自适应载荷分发策略。对于不符合预定特征的用户代理,攻击链自动终止或返回无害内容,有效缩小攻击暴露面,同时确保攻击载荷与目标环境的完美适配。 | |
| T1594 | 搜索受害者拥有的网站 | 搜索受害者拥有的网站是指攻击者通过访问和分析目标组织公开的Web资产获取情报的侦察手段,通常涉及网站结构分析、敏感信息抓取和隐藏内容探测。攻击者可能利用自动化工具扫描sitemap.xml、robots.txt等文件发现隐蔽目录,或通过解析网页元数据提取人员架构、业务关系等情报。传统防御措施主要依赖监控异常访问模式(如高频次请求、非常规时段访问)和分析HTTP头字段(如异常User-Agent)来识别潜在恶意爬取行为。 | |
| .001 | 合法爬虫行为模拟 | 合法爬虫行为模拟(Legitimate Crawler Behavior Emulation)是通过精确复制主流搜索引擎爬虫的网络行为特征,实现对目标网站情报的隐蔽收集技术。攻击者通过分析Googlebot、Bingbot等合法爬虫的请求频率、访问路径、User-Agent标识等行为特征,构建具备相同数字指纹的自动化工具,在遵守目标网站robots.txt协议约束的前提下,对公开页面和授权访问内容实施定向信息采集。该技术使得恶意爬取行为在流量特征层面与商业搜索引擎行为完全一致,规避基于爬虫特征识别的传统防御机制。 | |
| .002 | 分布式低频数据采集 | 分布式低频数据采集(Distributed Low-Frequency Data Harvesting)是一种通过全球分布式节点实施长周期、低强度信息收集的隐蔽侦察技术。攻击者利用云服务提供商、代理网络或已控物联网设备构建分布式爬虫节点池,将针对目标网站的数据采集任务拆解为多个低频率、小规模的合法访问请求,通过时空维度分散化策略规避集中式爬取行为的检测。每个节点仅执行有限的页面抓取任务(如每日访问5-10个页面),并通过智能调度系统协调全局任务进度,在维持信息收集连续性的同时将单节点行为特征降至检测阈值以下。 | |
| .003 | 动态身份伪装 | 动态身份伪装(Dynamic Identity Camouflage)是通过持续切换虚拟身份并分阶段收集信息片段,最终合成完整情报的高级隐匿技术。攻击者预先创建数百个虚假用户账号,每个账号绑定独立的网络身份(包括IP地址、设备指纹、社交媒体档案等),通过轮换机制使用不同账号分时段访问目标网站。每次会话仅收集有限信息片段(如单个部门的联系方式),最终通过数据聚合引擎将碎片化信息重组为完整情报图谱,避免因集中访问敏感数据触发异常告警。 | |
| T1596 | 搜索开放技术数据库 | 搜索开放技术数据库是指攻击者利用互联网公开的注册信息、证书透明日志、网络扫描数据集等资源,收集目标组织数字资产信息的技术手段。此类活动通常通过WHOIS查询、SSL证书数据库检索、云资产元数据收集等方式实施,为后续攻击提供情报支撑。防御方可通过监控自身资产在公开平台的暴露情况、部署数字足迹监控系统,以及参与证书透明日志监控计划等手段降低风险,但由于攻击行为常发生在目标防御边界之外,传统检测手段效果有限。 | |
| .001 | 合法账户伪装查询 | 合法账户伪装查询(Legitimate Account Camouflage Query)是指攻击者通过注册或盗用合规身份,利用公开技术数据库提供的合法查询接口实施定向情报收集。该技术通过模仿正常用户行为模式,在商业数据库(如Shodan、Censys)或机构注册系统(如WHOIS、CA/Browser论坛)中执行敏感数据检索,使恶意查询活动完全融入平台业务逻辑。攻击者通过伪造研究机构、安全公司等可信身份获取高级API权限,利用平台预设的查询配额与速率限制,构建出符合业务规范的持续性情报收集通道。 | |
| .002 | 分布式多源数据采集 | 分布式多源数据采集(Distributed Multi-Source Data Harvesting)是通过构建全球化查询节点网络,将集中式数据检索任务分散至多个地理分布的代理节点执行的技术。攻击者利用云服务、代理池或已控设备群,在全球不同司法管辖区发起数据请求,使得单次查询行为在目标数据库日志中呈现多源离散特征。每个节点仅执行局部查询任务,通过动态IP轮换和检索内容差异化配置,规避基于查询源集中度的异常检测机制。 | |
| .003 | 时间离散化数据采集 | 时间离散化数据采集(Temporal Discretized Data Collection)是通过延长情报收集周期实现隐蔽侦察的技术。攻击者将传统集中式数据检索任务分解为跨越多日甚至数月的低频次查询,利用目标数据库的增量更新机制,通过持续监测特定数据字段的细微变化获取敏感信息。该技术通过控制单次查询的信息熵值,使检索行为融入平台日常访问流量,规避基于时间窗口的异常检测。 | |
| .004 | 第三方API寄生检索 | 第三方API寄生检索(Third-party API Parasitic Retrieval)是指攻击者通过劫持合法应用程序或服务的API调用链路,将恶意查询指令嵌入正常业务请求的技术。该技术利用社交媒体平台、数据分析工具或物联网设备厂商提供的开放API接口,将针对目标系统的敏感信息检索需求伪装成合法应用的常规数据交互。例如,通过篡改移动应用的数据上报模块,在设备性能统计信息中附加对目标域名的证书查询请求。 | |
| T1593 | 搜索开放网站/域 | 搜索开放网站/域指攻击者通过公开网络资源获取目标组织情报的侦察手段,涉及社交媒体、企业信息平台、技术论坛等数据源的系统性采集。传统防御主要依赖网站端的异常访问检测与关键词过滤,但受限于公开数据的合法访问特性及海量正常用户流量,难以有效识别具有明确攻击导向的信息收集行为。防御重点往往转向攻击链后续阶段,如钓鱼攻击或初始访问行为监测。 | |
| .001 | 分布式账户协同搜索 | 分布式账户协同搜索(Distributed Account Collaborative Search)是一种利用多地域、多平台的网络身份进行协同式信息采集的隐蔽侦察技术。攻击者通过预先创建的数百个虚假社交媒体、企业信息平台及技术论坛账户,将目标信息搜索任务拆解为离散的原子化查询请求,利用分布式账户体系规避单一账号行为异常检测。每个账户仅执行有限次数的合规搜索操作,通过自然语言处理技术自动生成符合用户画像的查询语句,使搜索行为融入平台正常用户活动周期,实现目标情报的隐蔽聚合。 | |
| .002 | 合法爬虫行为模拟 | 合法爬虫行为模拟(Legitimate Web Crawler Emulation)是通过完全复现主流搜索引擎爬虫的网络行为特征,对公开网站实施隐蔽信息采集的技术手段。该技术深度解析Googlebot、Bingbot等合规爬虫的请求头标识、访问频率、页面遍历逻辑及缓存机制,构建具备协议层完全兼容性的仿冒爬虫工具。攻击者利用该工具对目标网站实施定向扫描时,其流量在Web服务器日志中呈现为合法搜索引擎的索引行为,从而规避基于爬虫特征识别的安全防护机制。 | |
| .003 | 长周期时域分散搜索 | 长周期时域分散搜索(Long-cycle Temporal Dispersion Search)是通过将定向信息收集任务分解为跨月甚至跨年实施的离散化操作,利用时间维度稀释攻击特征的持久性侦察技术。该技术结合目标组织的业务周期特点(如财报发布、人员变动等),在多个关键时间节点实施低强度信息采集,通过长期数据累积构建完整情报视图,规避基于短时行为突发的检测机制。 | |
| T1597 | 搜索闭源 | 搜索闭源指攻击者通过非公开渠道获取目标组织敏感信息的情报收集行为,涉及暗网市场交易、商业数据库订阅、私有漏洞库查询等活动。与传统开源情报收集不同,闭源搜索具有信息价值密度高、获取渠道隐蔽的特点,常为高级持续性威胁提供关键攻击要素。防御方通常难以直接监测此类行为,需通过监控暗网数据泄露、分析第三方平台异常查询日志等手段进行间接防御。 | |
| .001 | 暗网交易市场匿名购买 | 暗网交易市场匿名购买(Darknet Marketplace Anonymous Procurement)是攻击者通过Tor等匿名网络访问暗网交易平台,利用加密货币支付和混币技术购买目标组织敏感信息的高级侦察技术。该技术依托暗网市场的匿名交易体系,采用多层加密通信和区块链资金混淆技术,使交易双方身份、交易内容和资金流向在技术层面完全脱钩。攻击者通过访问专业化暗网情报集市(如Exploit[.]in或RussianMarket),使用Monero等隐私加密货币购买目标企业的VPN凭证、泄露数据库或内部通讯录,构建针对性的攻击知识库。 | |
| .002 | 合法情报服务身份伪装 | 合法情报服务身份伪装(Legitimate Intelligence Service Identity Camouflage)指攻击者通过伪造合规身份接入商业情报平台的技术。通过构建虚拟企业资质(如伪造营业执照、行业许可证)、模拟正常用户行为模式(包括查询频率、数据下载量、访问时段等),将恶意情报收集行为隐藏在合法商业数据采购流程中。技术实施需破解目标平台的用户画像模型,确保伪造身份的行为特征与真实企业用户保持统计一致性。 | |
| .003 | 跨平台情报聚合代理 | 跨平台情报聚合代理(Cross-Platform Intelligence Aggregation Proxy)是攻击者利用第三方情报中间商服务,实现多源闭源信息整合的分布式侦察技术。该技术通过租用商业化的情报聚合平台,将针对目标的多维度信息查询任务分解为多个合法数据请求,利用平台的数据融合功能自动生成目标画像。攻击者通过创建多个关联账户,使用语义混淆的查询关键词发起分布式请求,最终通过平台的情报关联引擎自动合成高价值情报,避免直接接触敏感数据源。 | |
| T1003 | 操作系统凭证转储 | 操作系统凭证转储是攻击者通过内存读取、注册表解析或网络协议交互等手段获取系统登录凭证的攻击技术,通常作为横向移动和权限提升的关键环节。传统防御手段聚焦于监控敏感进程(如lsass.exe)的内存访问行为、检测注册表异常操作以及分析可疑的网络身份验证请求。典型缓解措施包括启用LSASS保护模式、监控SAM文件访问日志、部署内存完整性验证机制等。 | |
| .001 | 内存驻留凭证提取 | 内存驻留凭证提取(In-Memory Credential Extraction)是一种通过直接操作操作系统内存空间获取敏感凭证的隐蔽技术。该技术利用进程注入、内存解析等手段,在不触发磁盘写入操作的情况下,从LSASS、SSH-agent等安全进程的内存空间中提取明文密码或加密凭据。通过精细化控制内存访问权限和操作时序,避免触发进程异常行为检测,同时采用内存混淆技术破坏凭证数据的可识别性。 | |
| .002 | 反射型DLL注入式凭证捕获 | 反射型DLL注入式凭证捕获(Reflective DLL Injection Credential Harvesting)是一种规避传统进程监控的高级凭证窃取技术。该技术通过自加载反射型DLL模块,在不依赖系统加载器的情况下直接将恶意代码注入目标进程内存空间,通过Hook身份验证相关API函数实时捕获输入凭证。其核心在于利用内存反射加载机制规避杀毒软件对磁盘文件的静态扫描,并通过动态代码加密技术破坏行为特征的可识别性。 | |
| .003 | 注册表隐蔽提取 | 注册表隐蔽提取(Stealthy Registry Extraction)是针对Windows SAM文件保护机制的规避技术。该技术通过直接访问注册表虚拟化层或物理磁盘原始数据,绕过系统对SAM文件的标准访问限制,采用离线解析方式提取本地账户凭证哈希。其创新点在于利用卷影副本服务或原始磁盘解析技术,在不触发文件访问告警的前提下获取加密的凭证存储结构。 | |
| .004 | 合法进程内存寄生转储 | 合法进程内存寄生转储(Legitimate Process Memory Parasitic Dumping)是通过劫持系统管理工具实现凭证隐蔽转储的技术。该技术将恶意代码注入powershell.exe、mmc.exe等具有管理权限的合法进程,利用其固有权限访问凭证存储区域。通过进程空心化技术创建表面合法的子进程,在内存中动态构建凭证提取逻辑,利用父进程的信任链规避安全检测。 | |
| T1592 | 收集受害者主机信息 | 收集受害者主机信息是指攻击者通过多种渠道获取目标系统配置、网络拓扑等数据的情报搜集行为,这些信息为后续攻击阶段的武器构建、漏洞利用提供关键支撑。传统技术手段包括主动扫描、钓鱼攻击、网站渗透等,防御方通常通过监控异常数据请求、分析用户代理字符串、检测恶意Web脚本等方式进行防护。但由于信息收集行为常混杂在正常业务流量中,且可能发生在供应链环节或第三方平台,导致传统检测手段存在高误报率和可见性盲区。 | |
| .001 | 合法云服务API滥用 | 合法云服务API滥用(Legitimate Cloud Service API Abuse)是指攻击者通过合法注册的云服务账户,调用云平台提供的监控、日志查询等标准化接口获取目标主机信息。该技术利用云计算服务商(如AWS CloudWatch、Azure Monitor)的开放API接口,将恶意查询请求伪装成正常运维操作,通过权限伪装和请求参数混淆,实现对目标主机配置、网络拓扑等敏感数据的隐蔽收集。攻击者通常通过窃取或仿冒合法开发者凭证接入云平台,利用API速率限制与查询模式的合规性规避安全检测。 | |
| .002 | 浏览器指纹隐蔽收集 | 浏览器指纹隐蔽收集(Stealthy Browser Fingerprint Collection)是一种通过Web端脚本隐蔽获取用户主机环境信息的技术。该技术利用HTML5标准API(如Canvas渲染、WebRTC、字体枚举)生成精确的浏览器指纹,通过恶意广告、钓鱼页面或受控网站植入采集脚本,将收集的硬件配置、操作系统版本、时区语言等数据与合法业务参数混合回传。攻击者通常采用动态脚本加载、数据分片传输、加密混淆等技术,使指纹收集行为难以被传统WAF或客户端安全软件检测。 | |
| .003 | 第三方供应链数据窃取 | 第三方供应链数据窃取(Third-party Supply Chain Data Exfiltration)是指攻击者通过入侵目标组织的供应商、合作伙伴或服务提供商,间接获取受害者主机信息的技术。该技术聚焦于软件更新服务器、IT运维平台、远程管理工具等供应链节点,利用其与目标主机的信任关系,通过日志窃取、配置同步接口滥用等方式批量获取主机资产数据。攻击者通常采用水坑攻击、漏洞利用等手段渗透第三方系统,在数据收集阶段保持最低权限访问,使异常行为隐藏在供应链的正常业务流量中。 | |
| .004 | 社交工程伪装工具 | 社交工程伪装工具(Social Engineering Camouflaged Tools)是指攻击者开发具有合法功能的应用程序,诱导目标用户主动提交主机环境信息的技术。该技术通过仿冒系统诊断工具、硬件检测软件或游戏优化程序,在用户授权执行的伪装下,收集详细的主机配置、网络参数及安全软件信息。攻击者通常采用代码签名证书伪造、功能模块动态加载、数据加密回传等手段,使恶意收集行为具备表面合法性。 | |
| T1591 | 收集受害者组织信息 | 收集受害者组织信息是攻击者通过公开或半公开渠道系统化获取目标企业运营数据、人员架构及业务关系的侦察行为,通常为后续精准钓鱼、供应链攻击或社会工程提供情报支撑。传统防御主要依赖监控异常数据下载行为、检测敏感信息外传等机制,但由于此类活动多利用合法网络服务且发生在目标网络边界之外,防御方往往缺乏有效监测手段。 | |
| .001 | 企业信息聚合平台寄生采集 | 企业信息聚合平台寄生采集(Legitimate Business Data Platform-based Collection)是指攻击者利用商业信息查询平台(如天眼查、企查查、EDGAR数据库)的公开服务接口,通过合法身份注册获取企业工商信息、股权结构、关联企业等敏感数据的技术手段。该技术通过将定向情报收集需求分解为平台允许的标准化查询请求,借助海量用户正常查询流量掩盖特定目标的深度数据挖掘行为,实现组织架构信息的隐蔽获取。攻击者通常结合多账户轮换、查询参数模糊化等手法,规避平台的反爬虫机制与异常行为检测。 | |
| .002 | 供应链节点伪装探测 | 供应链节点伪装探测(Supply Chain Node Camouflage Probing)是攻击者通过伪造供应商、合作伙伴或监管机构身份,在与目标组织存在业务往来的第三方机构中开展定向信息收集的技术。该技术利用企业间业务协作过程中必要的信息交换机制,通过钓鱼邮件、虚假合同协商或合规审计请求等载体,诱导第三方机构员工泄露目标组织的运营数据、采购清单或技术文档,从而绕过目标本体的直接防御体系。 | |
| .003 | 暗网数据市场匿名订阅 | 暗网数据市场匿名订阅(Darknet Data Marketplace Anonymous Subscription)是通过匿名网络接入暗网数据交易平台,批量获取目标组织泄露的员工凭证、内部通讯录、合同文档等敏感信息的技术。攻击者利用暗网市场的匿名交易机制与加密货币支付体系,通过Tor网络多层加密隧道完成数据采购,避免暴露真实身份与意图。获取的数据通常与其他开源情报交叉验证,构建精准组织画像。 | |
| T1590 | 收集受害者网络信息 | 收集受害者网络信息是指攻击者通过主动或被动手段获取目标组织网络架构、资产配置等关键情报的过程,这些信息为后续攻击链的展开提供基础支撑。传统技术包括主动扫描、公开数据库查询等,防御方通常通过监控异常API调用、分析数据请求模式等手段进行检测,但由于攻击行为常混杂在正常网络活动中,且可能利用第三方平台实施,导致防御存在高误报率和可见性盲区。 | |
| .001 | 隐蔽式DNS数据聚合 | 隐蔽式DNS数据聚合(Covert DNS Data Aggregation)是一种通过合法DNS协议交互实现网络情报隐蔽收集的技术。攻击者通过构造特定DNS查询请求,将目标网络的基础设施信息(如子域名解析记录、邮件服务器配置)分散嵌入常规域名解析流程,利用DNS协议的无状态特性与广泛白名单优势,在获取关键数据的同时规避流量审查。该技术通常结合DNS隧道技术,将请求参数编码至查询字段,通过多级解析服务器中转实现数据回传,使防御方难以区分正常域名解析与恶意情报收集行为。 | |
| .002 | 社交工程驱动的被动收集 | 社交工程驱动的被动收集(Social Engineering-Driven Passive Collection)是一种通过诱导目标人员主动泄露网络信息实现隐蔽侦察的技术。攻击者伪造合法身份(如合作伙伴、审计机构),通过钓鱼邮件、虚假工单系统或伪装技术论坛,诱使目标组织员工泄露网络拓扑图、设备配置信息等敏感数据。该技术将传统主动扫描转化为基于社会工程学的被动接收,利用人类信任关系突破技术防御体系,在避免触发网络安全设备告警的同时获取高价值情报。 | |
| .003 | 云服务API伪装查询 | 云服务API伪装查询(Cloud Service API Masqueraded Query)是一种通过滥用云平台监控接口实现网络信息隐蔽收集的技术。攻击者利用云服务提供商公开的API接口(如AWS Route53、Azure Network Watcher),通过伪造合法用户身份调用网络拓扑发现、资源清单导出等功能,直接获取目标在云环境中的资产配置信息。该技术将恶意侦察行为伪装成云平台常规管理操作,利用云服务商的基础设施可信度规避安全检测。 | |
| T1589 | 收集受害者身份信息 | 收集受害者身份信息是指攻击者通过主动或被动手段获取目标个人或组织敏感身份数据的过程,包括但不限于用户凭证、联系方式、安全配置等信息。传统防御手段主要依赖监控异常认证请求、检测大规模数据爬取行为,以及分析网络流量中的敏感字段模式。通过部署Web应用防火墙(WAF)识别暴力破解特征,或使用数据泄露防护(DLP)系统监控敏感信息外传。 | |
| .001 | 社交工程伪装身份验证交互 | 社交工程伪装身份验证交互(Social Engineering Camouflaged Authentication Interaction)是一种通过构建仿冒业务场景实施信息收集的隐蔽技术。攻击者通过伪造合法服务登录页面、双因素认证(2FA)验证流程或密码重置接口,诱导目标用户在看似合规的交互过程中主动提交身份信息。该技术结合社会心理学与界面欺骗手段,在用户认知层面构建可信交互环境,利用目标人员的安全意识盲区实现敏感信息窃取,同时规避传统基于流量特征的安全检测。 | |
| .002 | 凭证泄露数据伪装合法爬虫 | 凭证泄露数据伪装合法爬虫(Credential Leakage Disguised as Legitimate Crawler)是一种利用合法网络爬虫协议框架实施隐蔽数据采集的技术。攻击者通过构建符合Robots协议规范的网络爬虫,将身份信息收集任务分解为符合目标网站访问策略的离散请求,利用搜索引擎爬虫的流量特征掩盖恶意数据采集行为。该技术特别针对大规模公开数据源(如社交媒体、代码仓库、文档共享平台),通过模拟主流搜索引擎的User-Agent、请求间隔和访问深度参数,使恶意爬虫流量融入正常搜索引擎索引流量中。 | |
| .003 | 跨平台碎片化信息拼图采集 | 跨平台碎片化信息拼图采集(Cross-Platform Fragmented Information Mosaic Collection)是一种通过长期低强度数据收集构建目标身份画像的隐蔽技术。攻击者利用目标对象在不同网络平台(如社交网络、论坛、电商平台)遗留的信息碎片,通过构建语义关联模型和时序分析框架,从非敏感数据中推导出高价值身份信息。该技术采用被动监听与主动诱捕相结合的方式,通过API劫持、浏览器指纹追踪等技术持续收集目标数字足迹,利用机器学习模型自动识别数据间的潜在关联。 | |
| T1030 | 数据传输大小限制 | 数据传输大小限制指攻击者通过控制单次传输数据量来规避检测的技术手段,通常将窃取数据分割为符合网络监控阈值的碎片化单元进行传输。传统检测方法通过分析异常数据流特征(如客户端持续发送固定大小数据包)、检查协议合规性(如非标准分片行为)以及识别非常规网络连接进行防御。防御方需结合流量基线分析、协议深度解析和端点行为监控构建多维检测体系。 | |
| .001 | 分块加密传输 | 分块加密传输(Chunked Encrypted Transfer)是一种通过将数据切割为固定大小的加密数据块进行传输的隐蔽数据外泄技术。攻击者将待窃取数据分割为符合网络设备检测阈值的碎片化单元,每个数据块单独进行端到端加密处理,并通过正常业务交互通道(如HTTPS会话)进行传输。该技术通过双重隐匿机制——数据分块降低单次传输特征、加密处理隐藏内容语义——规避传统基于流量阈值告警和内容特征检测的防御体系,同时保持数据传输的完整性。 | |
| .002 | 协议内分片传输 | 协议内分片传输(Protocol-Embedded Fragmentation)是一种利用标准协议固有特性实现数据隐蔽传输的高级匿迹技术。攻击者深入研究目标网络允许的协议规范(如TCP分段机制、HTTP Range请求),将窃取数据伪装成协议规定的合法分片操作,通过长时间、低速率的分片传输完成数据外泄。该技术通过协议合规性规避内容审查,利用协议容错机制实现数据重组,使得防御系统难以从海量协议分片中识别恶意载荷。 | |
| .003 | 云存储分段上传 | 云存储分段上传(Cloud Storage Multipart Upload)是一种利用云服务API特性实现数据隐蔽外泄的技术。攻击者将窃取数据分割为符合云平台分段上传接口规范的多个片段,通过合法账户凭证调用云服务API接口,将数据片段上传至预先创建的存储容器中。该技术通过云服务流量白名单特性规避网络层检测,利用云平台的数据持久化机制实现碎片化数据的远程重组,形成"化整为零-云端聚合"的隐蔽传输链路。 | |
| T1074 | 数据分段 | 数据分段是攻击者在数据外泄前对窃取信息进行集中暂存处理的战术环节,通常涉及数据聚合、格式转换和临时存储等操作。传统防御手段通过监控异常文件操作(如大量文件被复制到临时目录)、检测压缩加密工具使用痕迹,以及分析存储路径的合规性来识别数据分段行为。防御方重点关注系统回收站、临时文件夹等敏感目录的文件变化,并利用文件指纹比对技术发现可疑数据聚合。 | |
| .001 | 加密分块存储 | 加密分块存储(Encrypted Chunk Storage)是一种将窃取数据分割为加密数据块并分散存储的隐蔽数据处理技术。攻击者在数据收集阶段即采用流式加密算法对数据进行实时分块加密,每个数据块使用独立密钥,并采用不同的文件扩展名伪装成系统日志或缓存文件。该技术通过密码学手段破坏数据完整性特征,使防御方难以通过文件内容分析识别敏感信息。 | |
| .002 | 合法系统目录寄生 | 合法系统目录寄生(Legitimate Directory Parasitism)是指攻击者将暂存数据嵌入系统预设或高频访问的合法目录结构,利用文件系统白名单机制实现隐蔽存储的技术。通过模仿系统更新缓存、应用临时文件等标准目录操作模式,将窃取数据伪装成正常系统进程产生的中间文件,规避基于存储路径异常的检测规则。 | |
| .003 | 分布式云暂存 | 分布式云暂存(Distributed Cloud Staging)是利用多云存储服务构建去中心化数据暂存节点的技术。攻击者将窃取数据分割后上传至多个云服务商的对象存储(如AWS S3、Azure Blob),通过API网关实现数据块的动态调度与重组,利用云服务商之间的网络隔离特性阻断防御方的关联分析。 | |
| .004 | 元数据混淆存储 | 元数据混淆存储(Metadata Obfuscation Storage)是通过篡改文件系统元数据属性实现数据隐蔽暂存的技术。攻击者深度修改文件的创建时间、修改时间、所有者信息等元数据字段,使其与周边合法文件形成统计特征一致性,同时采用NTFS交换数据流(ADS)或Linux扩展属性(xattr)等高级存储特性隐藏数据实体。 | |
| T1486 | 数据加密以实现影响 | 数据加密以实现影响是攻击者通过加密关键数据破坏目标系统可用性的终极攻击手段,常见于勒索软件攻击链的最终阶段。传统检测方法主要依赖识别异常文件修改模式(如大规模文件重命名、加密头特征)、监控系统工具滥用(如vssadmin删除卷影副本)以及检测加密进程行为特征。防御方可通过文件完整性监控、存储快照保护和进程行为分析等手段进行缓解。 | |
| .001 | 动态加密算法轮换 | 动态加密算法轮换(Dynamic Encryption Algorithm Rotation)是一种通过周期性变更加密算法核心参数实现特征混淆的隐蔽加密技术。攻击者在单次攻击过程中采用多种加密算法(如AES、RSA、ChaCha20等)的混合应用,并实时调整密钥长度、初始化向量或填充模式等参数,使得加密过程产生的数据特征无法形成稳定指纹。该技术可有效对抗基于静态算法特征的检测模型,确保每次加密操作在密码学层面呈现差异化特征,同时保持数据破坏的最终效果。 | |
| .002 | 合法进程注入加密 | 合法进程注入加密(Legitimate Process Injection Encryption)是指将加密操作嵌入到系统可信进程(如explorer.exe、svchost.exe)或常用应用软件(如压缩工具、办公软件)内存空间中执行的技术。该技术通过进程空洞注入或DLL劫持等方式,劫持合法程序的加密API调用链,将恶意加密任务伪装成正常应用程序的数据处理行为,从而绕过基于进程白名单或行为基线模型的检测机制。 | |
| .003 | 分阶段加密延迟触发 | 分阶段加密延迟触发(Phased Encryption with Delayed Activation)是一种通过时间维度分散加密操作的新型数据破坏技术。攻击者将加密任务拆分为初始化、准备、触发三个阶段:初期仅对少量非关键文件进行测试性加密,中期通过低强度加密建立行为基线,最终在预设条件(如特定时间、事件触发)下启动全盘加密。这种渐进式策略旨在规避基于突发性大规模文件修改的检测模型,同时通过长期潜伏收集系统防御情报。 | |
| .004 | 云存储API滥用加密 | 云存储API滥用加密(Cloud Storage API Abuse Encryption)是针对云环境设计的隐蔽数据破坏技术。攻击者通过窃取的云服务凭证或利用配置错误的IAM策略,调用云平台原生加密API(如AWS KMS、Azure Storage Service Encryption)对存储对象实施二次加密。该技术将恶意加密操作伪装成合规的数据保护行为,利用云服务商的内置加密功能覆盖原始数据,并通过保留合法API调用日志规避云安全态势管理(CSPM)工具的异常检测。 | |
| T1565 | 数据操控 | 数据操控指攻击者通过插入、删除或篡改数据影响业务决策或隐藏恶意活动的技术手段,其直接威胁数据完整性并可能引发级联破坏。传统防御依赖文件哈希校验、日志审计及传输层完整性验证等手段,通过识别异常数据特征或操作记录发现攻击痕迹。然而,复杂系统的数据处理流程与加密通信机制为攻击者提供了隐匿篡改行为的可乘之机。 | |
| .001 | 隐蔽数据注入 | 隐蔽数据注入(Covert Data Injection)是一种通过模仿合法数据模式实现恶意内容植入的技术。攻击者通过分析目标系统的数据输入规范,构建符合业务逻辑的虚假数据记录,将恶意操作伪装成正常事务处理流程。该技术利用系统对数据完整性的信任机制,在保持数据格式合规性的前提下,将篡改行为融入常规业务操作,例如在金融交易中插入伪造的转账指令,或在工业控制系统中注入隐蔽的参数修改命令。 | |
| .002 | 数据时间线混淆 | 数据时间线混淆(Data Timeline Obfuscation)是通过伪造数据时间戳与操作日志,破坏事件序列关联性的高级隐匿技术。攻击者利用系统日志的时间同步漏洞或审计机制缺陷,对数据操作记录进行跨时区、跨节点的时序重构,制造虚假的时间轨迹。该技术可针对数据库事务日志、文件修改记录及系统审计事件,通过逆向修改时间元数据,使得数据篡改行为在时间维度上呈现"合法历史操作"特征。 | |
| .003 | 加密载荷隐写 | 加密载荷隐写(Encrypted Payload Steganography)是将恶意数据篡改指令嵌入加密通信流的新型攻击手法。攻击者利用传输层安全协议(如TLS)的密文不可读特性,在加密信道中传输经过特殊编码的操控指令,使中间防御设备无法通过流量解密识别攻击意图。该技术特别适用于针对云数据库、分布式存储系统的隐蔽攻击,通过在加密数据包中植入微小的结构扰动,引发后端系统的非预期数据变更。 | |
| .004 | 动态模式变换 | 动态模式变换(Dynamic Pattern Alteration)是一种基于机器学习的数据操控隐匿技术。攻击者通过持续监测目标系统的数据访问模式,动态调整数据篡改策略,使恶意操作特征始终与正常业务波动保持同步。该技术利用对抗生成网络(GAN)模拟合法用户的访问规律,在数据修改频率、操作类型及资源访问路径等维度实现自适应伪装。 | |
| T1001 | 数据混淆 | 数据混淆是攻击者通过修改命令控制流量或恶意代码的结构特征,使其难以被检测和分析的技术手段。其核心目标并非加密保护数据机密性,而是通过协议模拟、隐写嵌入、代码变形等方法降低恶意活动的可识别性。防御方可通过深度协议分析、异常元数据检测、载荷熵值监测等手段进行对抗,重点关注网络流量的协议合规性、数据统计特征异常性以及载荷结构的随机性水平。 | |
| .001 | 协议模拟混淆 | 协议模拟混淆(Protocol Emulation Obfuscation)是通过模仿合法网络协议的结构和行为特征,将恶意通信流量伪装成正常业务交互的隐蔽传输技术。攻击者通过逆向分析目标环境中的主流协议(如HTTP/2、DNS、SMBv3等),构建符合协议规范的报文格式,将C2指令或数据窃取流量嵌入协议保留字段或扩展头部,利用协议容错性实现隐蔽传输。该技术的关键在于精确复现协议状态机与交互时序,确保混淆流量能通过深度包检测设备的合规性验证。 | |
| .002 | 隐写术嵌入混淆 | 隐写术嵌入混淆(Steganographic Embedding Obfuscation)是通过数字隐写技术将恶意数据隐匿在载体文件或网络协议中的高级混淆方法。该技术利用多媒体文件(如图像、音频、视频)或协议元数据(如TCP序列号、ICMP校验和)的冗余空间,通过最低有效位替换、频域变换、矩阵编码等手段嵌入加密指令。相较于传统加密,隐写术不仅隐藏数据内容,更通过载体与信道的自然化实现存在性隐匿,使防御方难以察觉数据篡改行为。 | |
| .003 | 动态载荷变形混淆 | 动态载荷变形混淆(Dynamic Payload Mutation Obfuscation)是通过运行时动态重构恶意载荷的代码结构和数据形态,规避静态特征检测的混淆技术。该技术采用控制流平坦化、寄存器重分配、指令等价替换等方法,在每次通信时生成语法结构唯一但语义等价的载荷内容。结合环境感知技术,能够根据目标系统的语言设置、进程列表等上下文信息动态调整混淆策略,实现载荷的个性化变形。 | |
| T1132 | 数据编码 | 数据编码是攻击者为隐藏恶意通信内容而采用的常见技术,通过标准化或自定义的编码方案(如Base64、MIME)对传输数据进行格式转换,规避基于内容特征的检测。传统防御手段主要依赖协议合规性检查、异常编码模式识别以及数据流特征分析,例如检测HTTP响应中异常长度的Base64字符串或DNS查询中非常规的编码结构。缓解措施包括深度包检测、编码内容语义还原以及协议字段合法性验证等。 | |
| .001 | 多态编码自适应技术 | 多态编码自适应技术(Polymorphic Adaptive Encoding)是一种动态调整编码算法及参数的隐蔽通信方法。攻击者通过预置多种编码算法(如Base64变体、自定义字符映射表、动态密钥异或运算),结合目标环境特征实时选择最佳编码策略。该技术不仅实现数据形态的持续变化,还能根据防御检测策略动态调整编码模式,有效规避基于固定特征规则的检测系统。其核心在于构建编码参数与网络环境感知的闭环反馈机制,确保每次通信的编码特征具备唯一性和时效性。 | |
| .002 | 协议规范兼容编码 | 协议规范兼容编码(Protocol-Compliant Encoding)是一种深度结合网络协议标准的数据隐匿技术。攻击者严格遵循目标协议(如HTTP、DNS、SMTP)的编码规范,将恶意载荷嵌入协议规定的合法数据字段中,利用协议自身的扩展性实现隐蔽传输。例如在HTTP头部的X-Forwarded-For字段使用Base64编码注入命令参数,或利用DNS TXT记录的编码规则传输二进制数据。该技术的关键在于精确掌握协议规范中的灰色地带,构建协议逻辑自洽的编码方案。 | |
| .003 | 分层嵌套编码 | 分层嵌套编码(Layered Nested Encoding)通过多重编码技术的组合应用,构建深度混淆的数据传输通道。该技术将原始数据经过多次不同编码算法处理(如先进行AES加密后再进行Base32编码,最后采用HTML实体转义),每层编码解决特定维度的检测规避需求。各编码层之间通过动态组合策略形成防御穿透能力,使得单一解码环节无法还原完整数据内容,显著增加防御方的分析成本。 | |
| T1485 | 数据销毁 | 数据销毁是指攻击者通过覆盖、删除或其他破坏性手段使目标系统数据不可恢复,旨在破坏业务可用性或掩盖攻击痕迹。传统数据销毁技术通常表现为大规模文件修改、异常磁盘写入或突发性存储资源删除,可通过监控文件系统变更事件、存储I/O模式异常及云平台删除API调用频率进行检测。防御措施包括部署文件完整性监控、实施最小权限访问控制以及建立云操作审计机制。 | |
| .001 | 加密覆盖销毁 | 加密覆盖销毁(Encrypted Overwrite Destruction)是一种通过加密算法对目标数据进行多次覆写的深度销毁技术。攻击者采用符合国际标准的加密算法(如AES-256)生成随机数据流,对目标文件进行多轮覆盖操作,同时将加密密钥与原始数据绑定销毁,确保数据恢复的数学不可行性。该技术通过密码学手段实现数据不可逆损毁,既规避了传统文件删除的可恢复性缺陷,又利用加密过程掩盖数据销毁行为的恶意特征。 | |
| .002 | 合法工具滥用擦除 | 合法工具滥用擦除(Legitimate Tool Abuse Erasure)是指攻击者利用操作系统或第三方软件提供的标准数据清理工具实施隐蔽销毁。通过调用系统内置工具(如Linux的shred、Windows的cipher.exe)或商业数据擦除软件(如Eraser),攻击者将恶意删除行为伪装成合规的数据清理作业。该技术充分利用白名单工具的信任优势,规避基于进程签名的检测机制,同时借助工具的多线程和日志过滤功能实现操作隐匿。 | |
| .003 | 时间延迟分阶段删除 | 时间延迟分阶段删除(Time-Delayed Phased Deletion)是一种通过时间维度分散数据销毁行为的持久性攻击技术。攻击者将大规模数据销毁任务拆解为多个低强度子任务,按照预设时间序列在数周或数月内逐步执行,每次仅删除有限数量的文件或数据库条目。该技术通过延长攻击时间线降低单次操作的异常性,同时利用系统日常维护活动的噪声掩盖销毁行为。 | |
| .004 | 云服务API伪装擦除 | 云服务API伪装擦除(Cloud Service API Camouflage Erasure)是针对云环境设计的隐蔽数据销毁技术。攻击者通过劫持云管理凭据,调用云平台原生API(如AWS S3 DeleteObject、Azure Storage Blob Delete)实施资源删除,同时伪造审计日志使操作表现为合规的资源回收行为。该技术利用云服务自动化特性,将恶意删除融入正常的资源生命周期管理流程。 | |
| T1083 | 文件和目录发现 | 文件和目录发现是攻击者通过枚举目标系统文件结构获取敏感信息的关键技术,通常利用系统内置命令(如dir、ls)或自定义工具遍历文件系统,为后续数据窃取、权限提升等攻击阶段提供情报支持。防御方可通过监控异常命令行参数、分析文件访问模式熵值、审计高频目录遍历日志等手段检测此类行为,重点关注非特权用户访问受限目录、短时间内大量文件元数据查询等异常迹象。 | |
| T1222 | 文件和目录权限修改 | 文件和目录权限修改指攻击者通过变更文件系统对象的访问控制设置,绕过安全策略获取未授权访问权限。该技术常被用于持久化驻留、防御规避或数据篡改等攻击阶段,涉及ACL修改、属主变更、继承属性调整等操作。防御方通常通过审计权限变更日志(如Windows事件ID 4670)、监控系统工具(如icacls、chmod)的使用行为,以及实施文件完整性监控(FIM)等手段进行检测。 | |
| .001 | 隐蔽继承权限注入 | 隐蔽继承权限注入(Covert Inheritance Permission Injection)是一种通过操纵文件系统权限继承机制实现隐蔽权限篡改的技术。攻击者通过修改父目录的访问控制列表(ACL)继承属性,使子对象自动继承恶意权限配置,同时避免直接修改目标文件或目录的显式权限设置。该技术利用文件系统权限继承的合法特性,将恶意权限变更行为分散到目录结构层级中,有效规避基于单文件权限变更检测的防御机制。 | |
| .002 | 时间戳同步权限篡改 | 时间戳同步权限篡改(Timestamp-Synchronized Permission Tampering)是一种将权限修改操作与系统合法活动时间特征相融合的高级隐匿技术。攻击者通过监控目标系统的计划任务、维护窗口或用户活跃周期,在系统正常执行权限变更操作的时间段内(如批量部署软件更新时),同步实施恶意权限调整。该技术的关键在于精确匹配目标环境的时间行为模式,使恶意权限变更事件混杂在大量合法操作中,降低安全日志的异常特征显著性。 | |
| .003 | 最小权限提升路径构造 | 最小权限提升路径构造(Minimal Privilege Escalation Path Fabrication)是一种通过构建多层级权限跃迁链实现隐蔽提权的技术。攻击者不直接修改目标文件的高权限设置,而是通过精心设计的多步骤权限微调,形成从低权限账户到目标资源的合法访问路径。该技术利用访问控制模型中的权限组合特性,通过多个低风险权限变更操作的叠加效应,最终达成完全控制目标资源的目的,同时每个独立操作均符合最小权限原则的合规特征。 | |
| T1648 | 无服务器执行 | 无服务器执行指攻击者滥用云服务商提供的无服务器计算资源执行恶意代码,通常通过函数即服务(FaaS)平台实现攻击载荷部署与运行。许多云服务提供商提供无服务器计算引擎、应用集成服务等,攻击者可以利用这些服务执行任意代码,从而获取对云环境的控制。通过无服务器函数,攻击者能够执行恶意代码(如加密货币挖矿恶意软件)。此外,攻击者可能创建恶意函数实现特权提升等,来进一步扩大对云环境的危害。 | |
| T1654 | 日志枚举 | 日志枚举是攻击者通过收集和分析系统日志数据以获取敏感信息的技术手段,通常用于发现用户账户、安全配置、网络拓扑等关键情报。攻击者可能使用系统内置工具(如wevtutil、journalctl)或云平台API进行日志提取,并将获取的数据用于后续攻击环节。防御此类行为可通过实施精细化日志访问控制、监控异常日志导出操作、启用日志完整性校验等措施,同时应限制低权限账户的日志查询范围并部署用户行为分析(UBA)系统。 | |
| .001 | 日志流隐蔽式抽取 | 日志流隐蔽式抽取(Covert Log Stream Extraction)是一种通过合法系统工具实现日志数据隐蔽收集的技术。攻击者利用操作系统内置的日志管理组件(如Windows事件查看器、Linux journalctl)或云平台日志接口,通过低权限账户执行精细化日志筛选与导出操作。该技术避免使用恶意二进制文件,而是通过合法命令的"非预期组合"实现日志提取,例如将系统日志分割为多段导出、混合正常运维指令执行日志检索任务等,从而规避基于进程行为异常的检测机制。 | |
| .002 | 日志数据聚合混淆 | 日志数据聚合混淆(Log Data Obfuscation via Aggregation)是一种通过混合敏感日志与无关数据实现隐蔽传输的技术。攻击者在导出日志文件时,将目标敏感日志(如安全事件日志、用户认证记录)与大量无关系统日志(如性能监控数据、应用程序调试信息)进行混合打包,形成复合型数据文件。通过数据体量膨胀与内容多样性干扰防御系统的日志泄露检测能力,同时采用多层压缩加密技术掩盖关键数据的元特征,使得传输流量在内容检测层面呈现合法运维数据包的特征。 | |
| .003 | 时序分散日志检索 | 时序分散日志检索(Temporally Dispersed Log Retrieval)是一种通过时间维度稀释日志访问特征的隐蔽操作技术。攻击者将完整的日志收集任务分解为多个低强度、长周期的离散操作,通过设置随机化时间间隔(如每小时执行1次日志查询)和动态化检索条件(如按不同事件ID分批次筛选),使单次日志访问行为在时间序列上无法形成可识别的攻击模式。该技术特别适用于对抗基于时间窗口异常检测的安全系统,例如SIEM平台中的用户行为分析(UBA)模块。 | |
| T1608 | 暂存能力 | 暂存能力指攻击者将恶意工具、漏洞利用包等资源预先部署到受控或第三方基础设施的过程,为后续攻击阶段提供战术支撑。传统防御主要关注恶意域名黑名单、文件哈希检测及网络流量特征识别,通过监控云存储异常访问、分析SSL证书指纹等方式进行防护。但由于攻击基础设施常位于防御方可视范围之外,检测难度较高。 | |
| .001 | 云服务伪装存储 | 云服务伪装存储(Cloud Service Camouflage Storage)是攻击者利用主流云存储服务(如AWS S3、Google Drive)托管恶意载荷的隐蔽部署技术。通过将攻击工具、漏洞利用包等资源伪装成正常业务文件(如文档、图片、日志),并利用云平台合规存储机制构建可信访问通道,实现恶意资源的合法化存储与分发。攻击者通常结合云服务API密钥劫持或合法账户注册,将恶意内容与平台海量正常数据混合存储,规避基于存储位置黑名单的检测机制。 | |
| .002 | 动态域名生成 | 动态域名生成(Dynamic Domain Generation)是一种基于密码学算法实现C2基础设施动态隐藏的暂存技术。该技术通过预定义的时间熵因子与地理定位参数,周期性生成符合顶级域名注册规范的伪随机域名列表,构建具备自毁机制的临时暂存节点网络。攻击者通过同步算法确保恶意载荷分发域名与控守域名在特定时间窗口内动态关联,利用DNS协议的分布式解析特性实现基础设施的拓扑隐匿。 | |
| .003 | 开源平台代码混淆 | 开源平台代码混淆(Open-Source Platform Code Obfuscation)是通过在GitHub、GitLab等开源托管平台发布混淆后恶意代码的隐蔽部署技术。攻击者将恶意功能模块拆解为多个代码片段,采用变量混淆、控制流平坦化等手段进行变形,并伪装成合法项目更新提交至公共代码仓库。通过利用开源社区自动化构建流水线,将混淆代码编译为可信二进制文件,实现攻击工具在软件开发供应链中的隐蔽传播。 | |
| T1110 | 暴力破解 | 暴力破解是攻击者通过系统化猜测凭证获取账户访问权限的攻击技术,可分为在线交互式认证尝试和离线密码哈希解密两种模式。传统防御手段主要依赖监控异常登录失败事件、部署账户锁定策略、分析认证流量特征等方法进行检测。对于离线哈希破解,由于攻击发生在防御体系之外,主要依赖加强密码哈希存储安全、使用强加密算法等措施进行预防。 | |
| .001 | 分布式低频暴力破解 | 分布式低频暴力破解(Distributed Low-Frequency Brute Force)是一种通过多节点协同实施的低速、分散式密码猜测技术。攻击者将传统集中式暴力破解任务拆解为多个子任务,分配给受控的分布式节点集群执行。每个节点以低于检测阈值的速率(如每小时数次)发起认证尝试,同时动态轮换目标账户和密码组合,规避基于单IP高频失败告警的防御机制。该技术通过时空维度稀释攻击特征,使得单个节点的行为模式难以触发安全设备的异常检测规则。 | |
| .002 | 凭证填充攻击 | 凭证填充攻击(Credential Stuffing Attack)是一种利用已泄露的合法凭证组合实施精准暴力破解的技术。攻击者通过整合暗网数据交易市场获取的账号密码数据库,构建高价值凭证字典,针对目标系统进行低频率、高精准度的认证尝试。与随机暴力破解不同,该技术利用真实用户的密码复用习惯,通过有限次数的凭证验证即可实现账户接管,大幅降低触发安全告警的概率,形成"低尝试量、高成功率"的新型攻击范式。 | |
| .003 | 协议模拟暴力破解 | 协议模拟暴力破解(Protocol-Emulated Brute Force)是一种通过深度模仿合法协议交互特征实施的隐蔽密码攻击技术。攻击者通过逆向分析目标系统的认证协议(如OAuth 2.0、SAML),构建符合协议规范的认证请求包,将暴力破解过程伪装成正常的身份验证流程。该技术突破传统基于简单HTTP POST的破解模式,通过协议级特征模拟绕过应用层防护机制,实现攻击流量与合法流量的深度混淆。 | |
| .004 | 密码哈希离线破解 | 密码哈希离线破解(Offline Hash Cracking)是一种通过获取密码哈希数据库后在本地实施解密计算的攻击技术。攻击者利用系统漏洞或网络渗透手段窃取密码哈希文件后,在受控环境中使用GPU集群或专用硬件进行离线暴力破解或字典攻击。该技术完全脱离目标系统的认证接口,规避了在线破解的行为检测机制,同时允许攻击者实施高强度计算而不受目标系统防护策略限制。 | |
| T1048 | 替代协议渗出 | Adversaries may steal data by exfiltrating it over a different protocol than that of the existing command and control channel. The data may also be sent to an alternate network location from the main command and control server. | |
| .001 | 合法云服务API滥用渗出 | 合法云服务API滥用渗出(Legitimate Cloud Service API Abuse Exfiltration)是指攻击者利用公有云平台提供的标准化API接口,将窃取数据伪装成正常业务请求进行隐蔽传输的技术。该技术通过合法身份认证接入云服务(如AWS S3、Microsoft Graph API),将敏感数据嵌入文件上传、日志导出等合规操作流程,利用云服务海量的日常API调用流量掩盖渗出行为。攻击者通常伪造正常用户行为模式,严格遵守API调用频率限制,使数据渗出过程完全融入企业常规云业务交互中,规避传统基于协议异常性或目标黑名单的检测机制。 | |
| .002 | 协议嵌套加密渗出 | 协议嵌套加密渗出(Protocol Encapsulation with Encrypted Exfiltration)是指攻击者将渗出数据封装在常见网络协议的应用层载荷中,并通过加密手段隐藏数据特征的隐蔽传输技术。该技术通常选择DNS、ICMP或HTTP/2等具有高网络容忍度的协议,将窃取信息进行分层加密后嵌入协议规范允许的字段(如DNS TXT记录、HTTP头部扩展字段),利用协议自身的合法性与普遍性规避深度检测。攻击者通过构建协议合规的外层数据包,确保中间网络设备仅执行基础协议解析而不触发内容审查,同时在内层实施AES-GCM等强加密算法保护数据机密性。 | |
| .003 | 低频分片式渗出 | 低频分片式渗出(Low-Frequency Fragmented Exfiltration)是通过将大量窃取数据分割为多个微小片段,并经由不同协议、不同时间窗口进行缓慢渗出的隐蔽传输技术。该技术将传统高带宽的单次渗出行为解构为数百个低速率、长周期的传输事件,每个事件的数据量严格控制在目标网络流量基线波动范围内。攻击者采用自适应分片算法,根据目标网络实时带宽利用率动态调整分片大小与传输间隔,确保渗出流量始终低于异常检测阈值。同时结合多协议交替传输策略,将数据片段通过HTTP POST、SMTP附件、SMB文件写入等多种渠道分散输出,破坏数据完整性的可重构性。 | |
| .004 | 协议模拟与流量伪装 | 协议模拟与流量伪装(Protocol Simulation and Traffic Camouflage)是指攻击者精确模仿特定应用或服务的协议交互模式,使渗出流量在行为特征层面与合法业务流量高度一致的技术。该技术通过逆向工程目标网络中的主流应用协议(如视频流传输、物联网设备遥测),构建具备完整协议状态机的渗出工具,确保每个数据包在时序、载荷结构、错误重试等维度与真实业务流量无统计学差异。例如,将渗出数据编码为视频流中的RTP时间戳偏移量,或嵌入工业控制系统的Modbus寄存器更新指令中,利用协议容错性实现隐蔽传输。 | |
| T1078 | 有效账户 | 有效账户滥用是指攻击者通过窃取或冒用合法用户凭证,在目标系统中实施未授权操作的技术手段。该技术之所以具有高威胁性,源于其利用系统既有的身份验证机制,使得恶意活动在表面层符合安全策略要求。传统检测方法主要依赖异常登录分析(非常规时间/地点登录)、权限变更监控以及账户活动审计,防御措施包括多因素认证强化、账户生命周期管理和权限最小化原则实施。 | |
| .001 | 非活跃账户劫持 | 非活跃账户劫持(Dormant Account Hijacking)是攻击者通过控制长期未使用的合法账户实施隐蔽攻击的技术。该技术聚焦于组织内部处于休眠状态的用户账户(如离职员工账户、临时测试账户),利用其保留的系统权限但缺乏日常审计的特性,实施低可见度的横向移动与权限维持。攻击者通过密码喷洒、默认凭证利用或权限继承漏洞获取账户控制权后,刻意维持账户的低频活动特征,使其登录行为与历史活动模式保持统计学一致性,从而规避基于异常登录检测的安全机制。 | |
| .002 | 权限梯度提升 | 权限梯度提升(Privilege Gradient Escalation)是一种通过模拟正常权限升级路径实现隐蔽提权的技术。攻击者在获取初始账户权限后,不直接进行垂直权限提升,而是按照目标组织的权限管理制度,分阶段申请或触发权限升级流程。例如,通过伪造工单系统请求逐步获取更高级别权限,或利用业务系统的自动化审批漏洞实现权限迭代升级。该技术的关键在于将提权过程拆解为多个符合组织内部管理规范的微操作,使得单个步骤均处于正常权限变更的容忍阈值内。 | |
| T1489 | 服务停止 | 服务停止是攻击者通过终止关键系统服务破坏目标业务连续性的破坏性技术,通常用于阻碍应急响应、加剧系统瘫痪或为数据破坏操作创造条件。传统防御手段通过监控服务控制事件(如SCM日志)、分析进程树异常、检测未授权服务配置变更等方式进行防护,依赖服务操作行为的合法性与合规性审查。 | |
| .001 | 服务维护操作模拟 | 服务维护操作模拟(Service Maintenance Simulation)是一种通过模仿合法系统维护流程实施服务终止的隐蔽攻击技术。攻击者通过复现系统管理员的标准操作序列(如使用计划任务定期重启服务、调用系统内置管理工具等),在预设维护时间窗口内执行服务停止操作,并同步生成虚假维护日志,使恶意行为在时间特征、操作模式、日志记录等方面与正常维护活动保持高度一致。该技术充分利用组织内部运维规律,将攻击行为嵌入日常管理流程中,有效规避基于操作异常性的检测机制。 | |
| .002 | 合法工具滥用 | 合法工具滥用(Legitimate Tool Abuse)是攻击者通过操控系统内置管理工具(如Windows的sc.exe、PowerShell或Linux的systemctl)或远程访问工具执行服务终止操作的隐蔽攻击技术。该技术利用操作系统原生工具的可信执行特征,将恶意服务停止指令嵌入正常的系统管理流程中,规避基于进程白名单或行为特征匹配的检测机制。攻击者通过精确模拟管理员操作模式,在合法工具使用场景中隐藏恶意服务终止行为,使安全监控系统难以区分正常维护与恶意破坏活动。 | |
| .003 | 间歇性服务干扰 | 间歇性服务干扰(Intermittent Service Disruption)是一种通过周期性服务启停制造非持续性故障的隐蔽攻击模式。攻击者以分钟级或小时级时间间隔交替执行服务停止与启动操作,使目标服务呈现"偶发性宕机"特征,同时保持服务状态在多数时间内处于正常运行区间。该技术通过将攻击行为离散化,破坏服务异常检测的时间连续性,使防御方难以将短时服务中断与恶意活动建立关联。 | |
| T1505 | 服务器软件组件 | Adversaries may abuse legitimate extensible development features of servers to establish persistent access to systems. Enterprise server applications may include features that allow developers to write and install software or scripts to extend the functionality of the main application. Adversaries may install malicious components to extend and abuse server applications. | |
| .001 | 合法插件动态加载 |
合法插件动态加载(Legitimate Plugin Dynamic Loading)是指攻击者利用目标服务器支持的合法扩展机制(如WordPress插件系统、Apache模块接口等),将恶意组件伪装成合规功能模块进行加载的技术。该技术通过模仿正常插件的数字签名、版本信息和文件结构,使恶意组件在应用启动时被自动加载至内存执行,同时利用应用白名单机制绕过文件完整性校验。攻击者通过劫持插件更新流程或篡改插件仓库,将后门代码植入高信誉度插件中,实现恶意组件的"阳光化"部署。 该技术的匿迹性源于对服务器生态体系信任关系的深度利用。首先,攻击者通过逆向分析目标应用的插件加载机制,精确复现合法插件的文件特征和加载逻辑,确保恶意组件在数字证书校验、依赖项验证等环节与正常组件完全一致。其次,采用动态加载策略,仅在特定触发条件(如特定HTTP请求头)满足时才激活恶意功能模块,其余时间保持静默状态。技术实现层面需解决三个关键问题:插件代码的兼容性适配(确保与主应用版本的无缝衔接)、组件激活的上下文感知(基于运行时环境动态决策)、以及组件卸载的痕迹清除(利用内存自毁机制避免驻留残留)。最终形成的攻击链具备组件合法性背书、行为动态可控、执行环境融合的特点,使得传统基于文件特征扫描或静态哈希比对的防御手段难以有效检测。 |
|
| .002 | 内存驻留式组件注入 |
内存驻留式组件注入(Memory-Resident Component Injection)是通过直接操纵服务器进程内存空间植入恶意代码的技术。攻击者利用服务器软件的内存管理缺陷(如PHP-FPM共享内存未隔离、Java应用堆溢出漏洞),将加密后的恶意组件直接注入到正在运行的服务进程中,通过Hook关键函数调用(如文件读写、网络通信)实现持久化控制。该技术完全规避磁盘文件写入环节,利用进程合法性的"外壳"保护内存中的恶意代码,同时通过内存加密和代码自混淆技术对抗内存取证分析。 该技术的匿迹机制建立在操作系统内存管理特性与服务器运行时特征的深度结合之上。首先,利用服务器进程固有的动态链接库加载机制,通过远程线程注入或反射式DLL加载技术将恶意模块嵌入合法进程地址空间。其次,采用内存代码动态重定位技术,使注入的组件能够随主进程内存布局变化自动调整执行基址,规避基于内存特征扫描的检测。在通信隐蔽性方面,通过劫持进程原有的网络通信句柄(如Apache的HTTP连接池),将恶意流量伪装成正常业务数据包。技术实施过程中特别注重执行时序控制,仅在服务进程处理特定类型请求(如图片上传、API调用)时才激活恶意代码,最大程度降低内存异常行为暴露概率。 |
|
| .003 | 服务配置镜像劫持 |
服务配置镜像劫持(Service Configuration Image Hijacking)是通过篡改服务器软件组件的加载路径或依赖关系,将恶意组件植入合法执行链的技术。攻击者通过修改服务器应用的配置文件(如Tomcat的catalina.properties)、注册表项(如Windows服务的ImagePath)或动态链接库搜索路径,将原本指向合法组件的加载指令重定向至恶意文件。该技术充分利用服务器运维过程中配置变更的常见性特征,通过保持数字签名完整性和文件时间戳一致性,使被篡改的配置项难以被常规安全检查发现。 该技术的核心匿迹思路在于构建"虚实双链"的执行环境。首先,通过分析目标服务器的组件依赖树,精确识别出高频使用的低权限组件(如日志处理模块、配置解析库)作为劫持目标。其次,创建具有合法数字签名的代理组件,该组件在正常功能执行前后动态加载恶意代码,形成"合法-恶意-合法"的链式调用结构。在对抗检测方面,采用配置项动态还原技术,在恶意组件加载完成后立即恢复原始配置参数,消除篡改痕迹。此外,通过监控服务器配置管理工具的告警阈值(如Ansible的配置审计系统),控制配置变更频率以避免触发异常告警。 |
|
| .004 | 组件功能链式分解 | 组件功能链式分解(Component Function Chain Decomposition)是指将恶意功能分解至多个合法组件并通过逻辑链激活的技术。攻击者通过逆向工程分析目标服务器软件的组件交互机制,将攻击链各阶段功能(如初始访问、命令控制、数据渗出)拆分至不同组件,利用服务器内部消息总线或事件驱动架构实现隐蔽协同。单个组件仅包含最小化功能模块,在独立检测时呈现合法行为特征,仅当特定事件触发时才通过加密信道激活功能链。 | |
| T1535 | 未使用/不受支持的云区域 | 未使用/不受支持的云区域指攻击者利用目标组织未激活或云服务商安全能力不完善的区域部署恶意资源,规避安全监控的技术。传统防御手段主要通过监控所有云区域活动、设置区域资源阈值告警等方式进行应对,依赖云平台提供的统一监控接口和日志审计功能识别异常区域活动。然而,由于多云架构复杂性和跨境合规限制,实际监控覆盖率往往存在显著缺口。 | |
| .001 | 低监测密度区域资源部署 | 低监测密度区域资源隐匿部署(Low-Monitoring-Density Region Stealth Deployment)是攻击者利用云服务商地理区域间安全监测能力差异实施的隐蔽基础设施构建技术。该技术通过系统化分析目标组织的云资源分布特征,选择其业务体系未覆盖且安全监控薄弱的云区域(如南美、非洲等新兴数据中心集群),部署恶意计算实例或存储资源。攻击者通常结合云服务目录API获取目标账户历史操作记录,通过反向工程确定其未激活区域列表,进而建立与合法业务资源拓扑隔离的攻击基础设施,规避基于资源活跃度基线分析的异常检测机制。 | |
| .002 | 跨区域资源协同 | 跨区域资源协同(Cross-Region Resource Orchestration)是一种通过多地理区域云资源联动实现攻击链隐匿的技术。攻击者将恶意负载分解部署在三个以上未使用云区域,构建分布式任务处理架构。各区域实例分别承担C2通信、数据处理、代理跳板等不同功能模块,通过区域间内网通道进行指令传递和数据交换,避免单一区域出现完整的攻击指纹。例如,在AWS未启用的中东区域部署代理服务器,在Azure未监控的南美区域设置数据暂存节点,利用谷歌云冷门区域进行加密通信中转。 | |
| T1552 | 未加密凭证 | 未加密凭证是指攻击者通过获取存储在系统明文文件、注册表、内存或应用程序中的敏感认证信息,进而实施横向移动或权限提升的攻击技术。传统防御主要依赖监控敏感文件访问行为(如.bash_history读取)、检测异常进程命令行参数(包含"password"、"cred"等关键词)、以及分析注册表查询模式。缓解措施包括实施全盘加密、限制凭证存储位置访问权限、加强进程行为监控等。 | |
| .001 | 跨进程凭证碎片化重组 | 跨进程凭证碎片化重组(Cross-Process Credential Fragmentation Reassembly)是一种将完整凭证信息分散存储在多个进程内存空间的新型窃取技术。攻击者通过进程注入技术在多个可信进程(如explorer.exe、svchost.exe)中分别存储凭证的不同片段,仅在需要使用时通过进程间通信协议重组完整凭证,从而避免单一进程内存中出现完整的敏感数据特征。 | |
| .002 | 凭证窃取日志注入 | 凭证窃取日志注入(Credential Theft Log Injection)是一种通过污染系统日志记录实现隐蔽凭证提取的技术。攻击者在对目标系统进行凭证搜索时,通过篡改日志生成机制或注入伪造日志条目,掩盖其访问敏感凭证文件的行为。该技术通常利用系统日志审计规则的漏洞,将凭证读取操作伪装成合法进程行为或正常维护操作,使安全日志无法真实反映攻击痕迹。技术实施需要深度理解目标系统的日志生成机制,并精准控制文件访问时序以实现操作遮蔽。 | |
| .003 | 合法凭证管理工具滥用 | 合法凭证管理工具滥用(Legitimate Credential Manager Abuse)是指攻击者利用操作系统或应用程序内置的凭证管理功能实施敏感信息窃取的技术。该技术通过调用Windows Credential Manager、SSH-Agent、Keychain等系统组件提供的标准API接口,以合法身份执行凭证查询与导出操作,规避安全软件对非授权进程的监控。攻击者通过模仿正常用户的凭证管理行为,在无需部署恶意工具的情况下完成凭证收集任务。 | |
| T1106 | 本机API | 本机API滥用指攻击者直接调用操作系统底层接口实施恶意操作的技术手段,涉及进程创建、内存操作、设备控制等敏感功能。与传统命令行操作相比,API调用具备更高的执行效率和更低的交互可见性。防御方通常通过监控关键API调用序列(如CreateRemoteThread、VirtualAllocEx)、分析进程加载的系统DLL行为(如异常加载ntdll.dll)、以及检测用户态钩子篡改事件等手段进行防护。但由于合法应用程序广泛使用系统API,准确区分正常与恶意调用成为核心挑战。 | |
| .001 | 直接系统调用绕过用户层钩子 | 直接系统调用绕过用户层钩子(Direct Syscall Invocation Bypassing User-mode Hooks)是一种通过内核级系统调用执行恶意操作的隐蔽技术。攻击者通过编写汇编指令直接触发syscall机制,完全绕过用户态API监控框架(如EDR的钩子函数),直接与内核交互完成进程创建、内存操作等敏感行为。该技术利用操作系统内核接口的底层特性,避免在用户态API调用栈中留下可追踪的日志记录,从而规避基于API调用序列分析的检测系统。 | |
| .002 | 动态API地址解析规避静态检测 | 动态API地址解析规避静态检测(Dynamic API Address Resolution Evasion)是一种对抗静态分析的API滥用技术。攻击者通过运行时动态解析API函数地址(而非硬编码导入表条目),结合哈希混淆和延迟绑定机制,规避基于API名称或地址特征的静态检测。该技术利用操作系统的模块加载机制,在内存中动态定位所需API的基址偏移,通过计算哈希值匹配导出函数表,最终构建可直接调用的函数指针。 | |
| .003 | API调用链混淆 | API调用链混淆(API Call Chain Obfuscation)是一种通过多层间接调用和冗余操作掩盖真实攻击意图的技术。攻击者将核心恶意操作拆解为多个合法API函数的组合调用,并在调用链中插入无实际效果的干扰性API调用,构建符合正常程序行为特征的调用序列。例如在创建远程线程前,先调用多个文件操作API制造虚假行为轨迹,或通过循环调用无害系统函数稀释恶意调用密度。 | |
| .004 | 内存注入型API调用劫持 | 内存注入型API调用劫持(Memory Injection-based API Hijacking)是一种通过寄生在合法进程内存空间实施API滥用的高级攻击技术。攻击者将恶意代码注入到受信任进程(如explorer.exe、svchost.exe)的内存空间,劫持目标进程的API调用流程,利用宿主进程的合法身份执行敏感操作。该技术通过内存驻留和进程上下文伪装,使恶意API调用呈现出合法应用程序的行为特征。 | |
| T1068 | 权限提升漏洞利用 | 权限提升漏洞利用指攻击者通过利用软件或系统漏洞获取更高权限级别的访问控制能力,通常涉及内核驱动漏洞利用、进程权限上下文篡改或虚拟化隔离突破等技术。传统防御侧重于检测异常进程行为、监控驱动加载事件以及分析系统调用异常模式,通过行为规则匹配和内存完整性校验等手段进行防护。 | |
| T1069 | 权限组发现 | 权限组发现是攻击者用于识别目标系统用户、组及其权限关系的关键侦察技术,通常通过执行系统命令、查询API接口或解析配置文件等方式实现。传统检测方法主要监控敏感命令(如net group/group)执行、异常进程创建事件,以及PowerShell等管理工具的非常规使用模式。防御措施包括启用详细命令行审计日志、限制普通用户执行权限管理命令、实施严格的API调用监控等。 | |
| .001 | 合法管理工具伪装查询 | 合法管理工具伪装查询(Legitimate Management Tool Camouflage Query)是指攻击者利用操作系统内置管理工具(如PowerShell、net命令、dsquery)或第三方合规管理软件(如ADExplorer、BloodHound)执行权限组发现操作的技术。通过调用系统白名单进程执行权限枚举指令,将恶意查询行为伪装成正常系统管理活动,规避基于进程行为特征的检测机制。该技术的关键在于精确复制合法管理操作的行为模式,包括参数构造方式、执行上下文环境及数据交互特征,使恶意活动在进程树、命令行日志等维度与正常运维行为保持高度相似性。 | |
| .002 | 内存驻留型权限枚举 | 内存驻留型权限枚举(Memory-Resident Privilege Enumeration)是一种完全在内存中执行权限组发现操作的高级攻击技术。该技术通过进程注入或反射加载方式,将权限查询代码直接注入到可信进程(如explorer.exe、svchost.exe)的内存空间,利用目标进程的合法身份与系统权限执行本地或域内权限组扫描。所有查询操作均通过内存交互完成,避免在磁盘留存恶意文件或命令行日志,同时规避基于进程创建行为的检测机制。 | |
| .003 | 时间离散化凭证缓存提取 | 时间离散化凭证缓存提取(Time-Decoupled Credential Cache Extraction)是一种结合凭证窃取与权限发现的组合型匿迹技术。攻击者通过周期性提取系统凭证缓存(如Windows LSASS内存、Linux gpg-agent),从中解析组权限关联信息,而非直接执行显式的权限查询命令。该技术将权限发现任务拆解为多个低强度操作,利用合法身份认证过程中产生的缓存数据间接推导权限拓扑,规避对敏感API或管理接口的直接调用。 | |
| .004 | API钩取式权限信息隐蔽采集 | API钩取式权限信息隐蔽采集(API Hooking-Based Stealthy Privilege Harvesting)是通过篡改系统权限管理API函数实现透明化数据收集的技术。攻击者在内核层或用户层植入定制化钩子,在系统执行常规权限校验时同步捕获组策略数据,将权限发现过程与合法业务操作深度融合。该技术不产生独立的权限查询行为痕迹,而是将数据采集嵌入到系统正常的身份验证、访问控制等业务流程中,实现"无感化"信息收集。 | |
| T1012 | 查询注册表 | 查询注册表是攻击者通过访问Windows注册表数据库获取系统配置、软件信息及安全策略的常见技术。注册表包含系统运行的关键参数,攻击者通常使用reg.exe命令行工具或API接口进行键值查询,为后续权限提升、防御规避等行为提供情报支撑。防御方可通过监控注册表敏感路径访问、分析异常进程的API调用序列以及审计管理工具使用日志等手段进行检测。 | |
| T1525 | 植入内部镜像 | 植入内部镜像是指攻击者通过篡改云环境或容器化基础设施中的标准镜像文件,在镜像内植入恶意代码以实现持久化访问的技术手段。攻击者通常利用云服务管理漏洞或构建流程缺陷,将后门程序嵌入AMI、GCP镜像或Docker镜像中,借助基础设施的自动扩展机制实现恶意代码的规模化部署。传统防御手段主要依赖镜像签名验证、构建过程审计及运行时异常行为监测等手段进行防护,通过校验镜像哈希值、监控仓库写入操作和分析容器运行日志等方式识别异常。 | |
| .001 | 镜像供应链污染注入 | 镜像供应链污染注入(Supply Chain Contamination Injection)是一种通过渗透软件供应链环节植入恶意镜像的高级持久化技术。攻击者通过入侵镜像构建系统(如CI/CD流水线)、篡改基础镜像层或劫持依赖库更新通道,将恶意代码注入镜像生成流程。该技术利用供应链上下游的信任传递机制,使受污染镜像具备数字签名验证等表面合法性,同时通过分层隐匿技术将恶意载荷嵌入镜像文件系统特定位置,在保持镜像功能完整性的前提下构建隐蔽后门。其核心在于将攻击行为前置到镜像构建阶段,使恶意镜像的生成过程完全符合正常业务操作规范。 | |
| .002 | 增量更新劫持植入 | 增量更新劫持植入(Incremental Update Hijacking Implantation)是针对云原生环境设计的动态化镜像篡改技术。该技术通过劫持容器镜像的增量更新机制,在合法更新包中插入恶意模块,利用差分更新验证机制的缺陷实现隐蔽植入。攻击者通过中间人攻击或仓库权限提升,对增量更新层(如Docker镜像的AUFS层)进行二进制补丁注入,构造包含恶意逻辑的差异化更新包,使得更新后的镜像在保留原有功能的同时执行攻击者预设的恶意操作,且更新过程完全符合业务系统的正常维护流程。 | |
| .003 | 镜像元数据深度伪造 | 镜像元数据深度伪造(Deep Metadata Forgery)是通过系统性篡改镜像元数据属性实现恶意镜像合法化的高级隐匿技术。攻击者不仅伪造数字签名、时间戳等基础元数据,还构建完整的虚假构建历史记录、依赖关系树和贡献者信息,使恶意镜像在审计时呈现出与合法镜像完全一致的属性特征。该技术结合密码学伪造与上下文环境模拟,针对镜像仓库的元数据验证机制进行定向绕过,在供应链全环节维持表面合法性。 | |
| T1221 | 模板注入 | 模板注入是攻击者通过篡改文档模板引用实施恶意代码加载的攻击技术,主要利用Microsoft Office、RTF等文档处理软件的模板加载机制。攻击者通过在文档中插入指向远程服务器的模板引用,诱导应用程序在打开文档时自动下载并执行恶意载荷。通过模板注入,攻击者将恶意代码嵌入到模板中,在用户打开包含该模板引用的文档时,恶意负载会被下载并执行。与传统的宏或脚本不同,这种方式不依赖于直接的代码注入,传统防御手段主要依赖静态文档分析检测异常模板引用,以及监控文档处理进程的网络连接行为,因此模板注入能够有效绕过静态检测。攻击者可以通过钓鱼邮件或污染共享内容等方式将包含恶意模板的文档分发给受害者,进一步提高攻击的成功率。 | |
| T1570 | 横向工具传输 | 横向工具传输指攻击者在已控网络内部跨系统分发恶意工具或攻击载荷的行为,通常利用SMB、RDP等合法协议或scp、rsync等系统工具实现。传统检测手段通过监控异常文件传输行为(如非工作时间的大文件传输)、分析协议载荷特征(如SMB协议中的可疑文件扩展名)以及追踪多主机间的相同文件哈希来实现威胁发现。防御方可采用网络分段、协议白名单、文件完整性监控等措施限制横向传输活动。 | |
| .001 | 协议隧道化传输 | 协议隧道化传输(Protocol Tunneling Transfer)是一种利用合法网络协议封装恶意载荷实现隐蔽传输的技术。攻击者将工具或恶意文件分割为协议载荷单元,通过HTTP/HTTPS、DNS、ICMP等标准协议进行封装传输,利用协议标准行为特征掩盖恶意传输意图。该技术通过深度适配目标网络流量特征,使工具传输过程在协议层面呈现为正常业务交互,规避基于协议合规性检查的检测机制。 | |
| .002 | 文件分片混淆传输 | 文件分片混淆传输(Fragmented Obfuscated Transfer)是通过将工具文件分解为多个数据片段,并附加混淆层进行分布式传输的技术。攻击者采用密码学算法对工具文件进行分片加密,将各片段通过不同传输渠道(如邮件附件、即时通信文件、云存储API)投送至目标主机,最终在内存中完成重组与解密。该技术通过破坏文件完整性特征与传输关联性,对抗基于文件哈希、特征码匹配的检测体系。 | |
| .003 | 内存驻留无痕传输 | 内存驻留无痕传输(Memory-Resident Transfer)是一种完全规避磁盘写入操作的隐蔽传输技术。攻击者通过进程注入、远程线程创建等方式,将工具直接加载到目标系统的内存空间中,利用合法进程(如explorer.exe、svchost.exe)的内存区域完成工具代码的传输与执行。该技术通过消除文件落地环节,有效规避传统基于文件监控的检测手段。 | |
| T1080 | 污染共享内容 | 污染共享内容指攻击者通过篡改网络共享存储中的文件实施恶意代码传播,利用用户对共享资源的信任实现横向移动。这些共享位置通常用于团队协作和文件共享,一旦恶意程序、脚本或利用代码被加入其中,攻击者就可以通过共享的文件传播其恶意代码。一旦用户打开这些受污染的共享文件,嵌入的恶意代码便会被执行,从而在远程系统上运行攻击者的代码。此外,攻击者可能利用此技术实现横向移动,将恶意活动扩展到更多的系统中,进一步深入内部网络。传统防御手段主要依赖文件完整性监控、异常进程检测及静态特征扫描,通过分析文件修改模式(如大量覆盖操作)、检测非常规文件类型(如异常.LNK文件)等手段识别攻击。 | |
| T1205 | 流量激活 | 流量激活是攻击者通过特定网络信号触发系统开启隐蔽通信通道或执行恶意功能的持久化技术,其核心在于利用预定义魔法值或数据包序列控制目标系统行为。传统防御手段主要通过监控非常规端口访问序列、检测固定魔法包特征(如Wake-on-LAN的FF:FF:FF:FF:FF:FF前缀)来识别攻击行为,依赖深度包检测技术解析协议异常字段。 | |
| .001 | 多态化端口序列触发 | 多态化端口序列触发(Polymorphic Port Sequence Triggering)是一种基于动态端口敲门机制的隐蔽通道激活技术。攻击者通过预定义包含非连续端口、可变协议类型及动态时序间隔的触发序列,使端口激活信号的发送模式具备时空随机性和协议多样性。该技术突破传统固定端口序列的静态特征,通过算法化生成每次攻击的触发组合,实现端口激活指令的不可预测性。典型应用场景包括绕过网络入侵检测系统对固定端口扫描模式的识别,以及规避基于历史行为分析的防御机制。 | |
| .002 | 协议字段隐匿触发 | 协议字段隐匿触发(Protocol Field Covert Trigger)是一种将激活信号嵌入网络协议标准字段的隐蔽通信技术。攻击者利用TCP/IP协议栈中未充分利用的字段(如IP标识符、TCP时间戳选项、UDP校验和等)或应用层协议(如HTTP头扩展字段、DNS查询参数)承载魔法值,通过特定字段值的组合触发目标系统开启后门通道。该技术将激活信号分解为多个协议交互阶段的数据特征,使得单个数据包在独立分析时不具备恶意属性,仅在特定上下文组合下才会激活攻击行为。 | |
| T1185 | 浏览器会话劫持 | 浏览器会话劫持指攻击者通过技术手段非法获取并操纵用户的浏览器会话状态,进而实施未授权访问或数据窃取。传统攻击方式包括Cookie窃取、SSL剥离、代理注入等,防御方通常通过HTTPS强制实施、证书钉扎、进程行为监控等手段进行防护。由于该技术直接利用浏览器自身功能实现攻击,检测需依赖细粒度的网络流量分析、证书链验证及扩展行为审计。 | |
| .001 | 浏览器扩展隐身劫持 | 浏览器扩展隐身劫持(Stealthy Browser Extension Hijacking)是一种通过篡改合法浏览器扩展功能实现会话控制的隐蔽攻击技术。攻击者利用浏览器扩展的权限体系漏洞,在用户安装的合法扩展中注入恶意代码,劫持HTTP会话令牌、篡改通信内容或实施中间人攻击。该技术通过滥用浏览器扩展的本地存储访问、网络请求拦截等原生API接口,在保持扩展基础功能正常运作的同时,实现会话数据的隐蔽窃取与操作,形成"合法外壳包裹恶意内核"的攻击形态。 | |
| .002 | 进程注入型无痕会话重定向 | 进程注入型无痕会话重定向(Process Injection-based Session Redirection)是一种通过动态注入浏览器进程实现流量劫持的高阶攻击技术。攻击者利用浏览器进程内存管理机制,将恶意载荷注入渲染进程或网络服务进程,劫持WebSocket连接、篡改HTTP请求头或建立隐蔽代理通道。该技术通过内存驻留避免磁盘文件写入,利用浏览器进程的合法身份绕过网络监控,并继承进程的SSL证书和会话状态实现透明化认证绕过。 | |
| .003 | SSL中间人证书伪装劫持 | SSL中间人证书伪装劫持(SSL MITM Certificate Spoofing Hijacking)是一种通过伪造可信SSL证书实施会话劫持的加密层攻击技术。攻击者利用自签名证书或窃取的CA私钥生成伪冒证书,在目标系统中预置为可信根证书,从而建立"合法"的中间人代理。该技术通过SSL/TLS协议层的证书信任链欺诈,实现对HTTPS流量的透明解密与篡改,同时保持浏览器地址栏的HTTPS锁标志正常显示,达到视觉欺骗效果。 | |
| T1217 | 浏览器信息发现 | 浏览器信息发现是攻击者通过提取浏览器存储的用户数据(如书签、历史记录、自动填充凭证)进行情报收集的技术,旨在获取用户行为特征、内部系统访问记录等敏感信息。传统检测手段主要通过监控浏览器进程的异常文件访问行为(如读取Login Data数据库)、检测未经授权的API调用,或分析可疑的远程调试会话。防御方通常结合浏览器沙箱机制、内存保护技术和云同步日志审计进行防护。 | |
| .001 | 浏览器扩展注入发现 | 浏览器扩展注入发现(Browser Extension Injection Discovery)是通过植入或劫持合法浏览器扩展程序实现用户信息隐蔽收集的技术。攻击者利用浏览器扩展的API权限,在用户授权范围内获取书签、浏览历史、表单数据等敏感信息,同时规避传统进程监控的检测。该技术通过扩展商店审核机制漏洞或社会工程传播恶意扩展,将数据窃取功能与扩展声明功能混合实现,使恶意行为具备数字签名验证的合法性外衣。 | |
| .002 | 云同步数据劫持 | 云同步数据劫持(Cloud Sync Data Hijacking)是通过攻击浏览器云服务账户间接获取用户浏览器数据的隐蔽技术。攻击者利用用户浏览器(如Chrome、Firefox)的云端同步功能,通过窃取账户凭证或中间人攻击获取同步至云端的书签、密码库、浏览历史等数据,避免在目标主机留下本地操作痕迹。该技术将攻击面从终端设备转移到云服务接口,利用云平台API的标准化数据访问流程实现信息窃取。 | |
| .003 | 内存残留信息提取 | 内存残留信息提取(Memory Residual Extraction)是通过直接读取浏览器进程内存空间获取敏感信息的无文件攻击技术。该技术利用浏览器内存中暂存的表单数据、会话Cookie、解密后的密码等易失性数据,通过进程注入或调试接口提取未加密的敏感信息,避免触发文件系统监控机制。攻击者通过Hook浏览器内存管理函数或利用合法调试工具(如WinDbg)实现信息提取,规避传统基于文件访问行为的检测。 | |
| .004 | 合法API滥用 | 合法API滥用(Legitimate API Abuse)是通过调用浏览器提供的标准开发者接口实现信息收集的技术。攻击者利用浏览器内置的调试协议(如Chrome DevTools Protocol)或管理接口(如BrowserManagement API),通过模拟合法管理操作获取用户数据。该技术完全遵循浏览器接口调用规范,将恶意请求伪装成用户行为分析或远程调试等正常业务操作。 | |
| T1176 | 浏览器扩展 | 浏览器扩展作为现代浏览器生态的核心组件,为攻击者提供了具有合法数字签名、持久化权限和网络访问能力的理想攻击载体。传统防御主要依赖扩展商店的代码审核、数字签名验证及运行时权限监控,通过静态特征扫描检测已知恶意模块,并利用行为分析识别异常网络通信或权限滥用。然而,随着扩展API功能的不断扩展和供应链复杂性的提升,这些基于规则匹配和已知特征库的防御手段面临严峻挑战。 | |
| .001 | 合法扩展签名篡改 | 合法扩展签名篡改(Legitimate Extension Signature Tampering)是通过逆向工程和代码注入技术对已通过官方审核的浏览器扩展进行恶意改造的隐蔽攻击手法。攻击者选取市场占有率较高的合法扩展(如广告拦截器或生产力工具),在保持原有功能完整性的前提下植入恶意模块,利用原扩展的数字签名和用户信任实现隐蔽驻留。该技术通过篡改扩展自动更新机制,将恶意代码注入升级包并保持数字签名有效性,使得恶意扩展在用户侧实现静默更新,同时规避应用商店的二次审核。 | |
| .002 | 动态载荷云端加载 | 动态载荷云端加载(Dynamic Payload Cloud Loading)是通过浏览器扩展与云端服务协同实现的模块化攻击技术。该扩展本体仅保留最小化通信模块,核心恶意功能以加密载荷形式存储在攻击者控制的云服务器,根据环境态势动态下发执行。扩展在安装后首先进行环境指纹收集(包括安全软件配置、网络策略等),将指纹数据加密回传至C2服务器,云端根据响应策略返回定制化的恶意模块,在内存中解密执行且不落盘存储。 | |
| .003 | 扩展供应链污染植入 | 扩展供应链污染植入(Extension Supply Chain Contamination)是通过渗透浏览器扩展开发工具链或分发渠道实施的隐蔽攻击技术。攻击者针对扩展开发者的构建环境(如Node.js依赖库、CI/CD流水线)植入恶意代码,使得官方发布的扩展安装包在构建过程中自动嵌入后门模块。该技术利用软件开发供应链的信任传递特性,使恶意代码通过数字签名验证进入官方应用商店,形成"源头污染"的攻击效果。 | |
| T1189 | 浏览器攻击 | 浏览器攻击是通过用户访问被篡改网站或恶意广告网络,利用客户端软件漏洞执行恶意代码的攻击技术。攻击者通常注入恶意脚本到合法网站或广告资源中,当用户浏览器加载这些内容时触发漏洞利用链,实现远程代码执行、凭据窃取或横向移动。防御措施包括实施HTTPS流量解密检测、部署Web应用防火墙过滤恶意脚本、监控浏览器进程异常行为,以及维护浏览器与插件的最新版本以修复已知漏洞。 | |
| T1027 | 混淆文件或信息 | 混淆文件或信息是攻击者为规避检测对恶意内容进行加密、编码或结构伪装的技术,涉及从初始访问到持久化攻击的全生命周期。传统防御主要依赖特征检测、熵值分析和沙箱动态行为监控,通过识别非常规文件结构(如异常节区数量)、高频API调用模式等特征实施拦截。典型缓解措施包括深度文件格式解析、进程行为基线建模和内存完整性检查。 | |
| .001 | 加密容器隐藏 | 加密容器隐藏(Encrypted Container Concealment)是将恶意文件嵌入加密压缩包或磁盘镜像的技术形态。攻击者利用AES-256、RSA等加密算法对恶意载荷进行多层加密,并将解密密钥通过独立信道(如隐写术或社交工程)传递,使静态检测无法解析文件内容。该技术通过构建加密外壳,将恶意代码的存储形态与执行形态分离,在维持文件隐蔽性的同时确保运行时可用性。 | |
| .002 | 多态代码混淆 | 多态代码混淆(Polymorphic Code Obfuscation)是通过实时变异代码结构与指令序列实现动态匿迹的技术。每次传播时自动重构代码的语法特征(如变量命名、控制流结构),同时保持核心恶意功能不变。该技术利用抽象语法树转换、寄存器重分配、垃圾指令插入等手段,使得同类恶意样本在不同实例中呈现差异化特征,有效规避基于静态指纹的检测系统。 | |
| .003 | 分片式载荷重组 | 分片式载荷重组(Fragmented Payload Reassembly)是将完整恶意载荷分解为多个无害文件片段,通过特定触发条件实现动态重组的技术。攻击者将代码段、数据段、配置信息分别存储在不同类型文件(如图片元数据、文档注释、日志条目)中,利用预置的逻辑控制器在运行时提取并重组有效载荷。该技术通过破坏恶意内容的完整性特征,规避基于全文件扫描的检测机制。 | |
| .004 | 环境感知动态解密 | 环境感知动态解密(Context-Aware Dynamic Decryption)是仅在特定系统环境下才解密执行恶意代码的高级混淆技术。攻击者预先嵌入多个加密代码段,并设计环境指纹验证逻辑(如硬件ID校验、进程白名单检测),仅在满足预设条件时触发解密流程。该技术将代码可见性与运行时环境强关联,有效对抗沙箱分析和动态调试。 | |
| .005 | 合法格式嵌套 | 合法格式嵌套(Legitimate Format Nesting)是将恶意代码嵌入标准文档格式(如PDF、DOCX)的深层结构实现隐蔽存储的技术。攻击者利用文件格式规范中的未严格校验区域(如PDF的增量更新层、DOCX的CustomXML部件),将加密载荷存储在正常业务文档中,通过触发格式解析漏洞或合法功能(如宏执行)激活恶意代码。 | |
| T1548 | 滥用权限提升控制机制 | 权限提升控制机制滥用是指攻击者利用操作系统原生权限管理机制的缺陷或特性,绕过安全策略获取更高权限级别的攻击行为。现代系统通过用户账户控制(UAC)、sudo机制、权限令牌验证等方式限制非授权提权,防御方通常采用进程行为监控、文件完整性校验、环境变量审计等手段进行检测。例如监控setuid/setgid文件变更、分析进程权限突变事件、检查注册表敏感项修改等。 | |
| .001 | 可信服务配置隐蔽提权 | 可信服务配置隐蔽提权(Trusted Service Configuration Escalation)是一种通过篡改系统服务配置参数实现权限提升的隐蔽攻击技术。攻击者针对具有合法高权限的系统服务(如Windows服务或Linux守护进程),通过修改服务执行路径、加载参数或依赖组件,将恶意代码注入到受信任的服务执行流程中。该技术利用操作系统对系统服务的高权限信任机制,在不触发权限变更告警的前提下完成提权操作,其核心在于保持服务配置的合法性边界内实施恶意载荷注入。 | |
| .002 | 动态库搜索劫持提权 | 动态库搜索劫持提权(DLL Search Order Hijacking Escalation)是通过操纵系统动态库加载机制实现权限升级的隐蔽攻击方法。该技术利用应用程序运行时加载动态链接库(DLL)的搜索顺序漏洞,在合法高权限进程的上下文中执行恶意代码。攻击者通过伪造目标进程预期加载的DLL文件,将其放置在系统搜索路径的优先位置,当目标进程启动时自动加载恶意库并执行提权操作,同时保持进程签名的完整性验证。 | |
| .003 | 环境变量注入提权 | 环境变量注入提权(Environment Variable Injection Escalation)是一种通过篡改进程环境变量实现权限升级的隐蔽攻击技术。攻击者通过修改系统或用户环境变量(如PATH、LD_LIBRARY_PATH),影响高权限进程的运行时行为,诱导其加载恶意组件或执行非预期命令。该技术特别针对依赖环境变量进行配置的自动化任务或系统服务,通过改变资源定位路径实现提权载荷的隐蔽执行。 | |
| .004 | 内存驻留型提权载荷 | 内存驻留型提权载荷(Memory-Resident Escalation Payload)是通过纯内存操作实现权限升级的零痕迹攻击技术。该技术利用进程注入或内存篡改技术,将提权代码直接写入高权限进程的内存空间执行,避免在磁盘或注册表中留下可检测痕迹。攻击者通过API钩取、线程劫持或内存映射文件等手段,在受信进程的上下文中动态执行提权操作,完全绕过基于文件扫描的防御机制。 | |
| T1204 | 用户执行 | 用户执行是指攻击者通过社会工程等手段诱导目标用户主动运行恶意代码的攻击技术,通常作为初始访问或权限提升的重要手段。传统防御措施主要依赖检测异常进程创建、监控敏感命令行参数、分析文档宏行为特征等方法,结合终端防护软件进行实时拦截。然而随着攻击者匿迹技术的演进,单纯依赖静态特征检测或单点行为分析的防御策略面临失效风险。 | |
| .001 | 多阶段诱导式动态载荷执行 | 多阶段诱导式动态载荷执行(Multi-Stage Induced Dynamic Payload Execution)是一种通过分阶段用户交互实现隐蔽代码执行的技术。攻击者将传统单次执行的恶意载荷拆解为多个看似无害的操作步骤,利用用户逐次授权逐步获取执行权限。典型实施过程包括:诱导用户下载非可执行格式文件(如ISO镜像、自解压文档)、通过伪装的配置向导引导用户启用宏功能、在安装合法软件过程中夹带隐蔽组件部署等。每个阶段均设计合理的用户交互界面和操作指引,使防御方难以从单次操作中判定恶意意图。 | |
| .002 | 文档隐写式触发执行 | 文档隐写式触发执行(Document Steganography-Triggered Execution)是通过在常规办公文档中嵌入隐蔽恶意代码的新型攻击技术。攻击者利用高级隐写术将恶意载荷嵌入到文档的元数据、版本信息或冗余编码空间,结合特定操作条件(如文档滚动浏览、打印预览、字体渲染)触发执行。该技术突破传统宏病毒依赖显式用户启用的限制,通过文档渲染过程中的内存漏洞或软件功能缺陷实现零点击触发,显著提升攻击隐蔽性。 | |
| .003 | 环境感知型延迟触发执行 | 环境感知型延迟触发执行(Environment-Aware Delayed Trigger Execution)是一种基于目标系统环境特征动态调整攻击行为的智能攻击技术。攻击者在初始载荷中植入环境探针模块,持续监控用户行为模式、安全软件状态、网络连接特征等多维度参数,仅在满足预设条件时激活恶意代码执行。典型触发条件包括:检测到特定外设连接、识别用户执行高频业务操作、确认杀毒软件进程关闭等,通过将攻击行为融入正常业务场景降低异常性。 | |
| T1114 | 电子邮件收集 | 电子邮件收集是指攻击者通过截取、爬取或转发等手段获取目标邮箱中的敏感信息,通常作为情报收集、社会工程攻击的前置环节。传统检测手段主要依赖分析异常登录行为、监控邮件转发规则变更、检测大规模数据导出操作等防御措施,例如通过审计邮箱自动转发日志、分析IMAP协议命令模式、监控PST文件异常访问等行为特征。 | |
| .001 | 加密通道邮件数据截取 | 加密通道邮件数据截取(Encrypted Channel Email Interception)是通过劫持加密邮件传输链路实现隐蔽数据收集的技术。攻击者利用中间人攻击或协议漏洞,在TLS加密的SMTP/IMAP会话中植入截取模块,在不破坏加密隧道完整性的前提下获取邮件内容。该技术通过保持加密通道表象的合法性,规避传统基于流量明文检测的安全机制,同时结合内存注入、协议栈旁路监听等手法,实现邮件正文、附件的隐蔽获取。 | |
| .002 | 合法邮件客户端协议模拟 | 合法邮件客户端协议模拟(Legitimate Email Client Protocol Emulation)是通过精确复现主流邮件客户端通信特征实现隐蔽收集的技术。攻击者深度解析Outlook、Thunderbird等软件的协议交互模式,在恶意工具中构建包括MIME编码策略、时间戳生成算法、TLS会话恢复机制在内的完整行为特征集,使恶意流量与正常邮件客户端行为在协议层面无法区分。该技术特别注重模拟客户端特有的错误重试策略、心跳包间隔等微观行为特征,规避基于协议指纹的异常检测。 | |
| .003 | 分布式邮件元数据爬取 | 分布式邮件元数据爬取(Distributed Email Metadata Crawling)是利用僵尸网络进行大规模邮件头信息收集的技术。攻击者将爬取任务分解为元数据片段收集(如发件人、主题、时间戳),通过数千个受控节点以低频率(如每节点每日3-5次查询)向目标邮件服务器发起请求。每个节点仅获取邮件列表的部分字段,最终在控制端通过特征关联算法重构完整元数据图谱,避免触发基于单节点高频访问的检测规则。 | |
| .004 | 邮件自动转发规则隐蔽植入 | 邮件自动转发规则隐蔽植入(Stealthy Email Forwarding Rule Implantation)是通过篡改邮件系统配置实现持久化数据收集的技术。攻击者利用OAuth令牌窃取或API漏洞,在目标邮箱中创建隐藏转发规则(如Exchange的Inbox规则或Gmail过滤器),将特定条件邮件自动转发至攻击者控制的外部账户。该技术通过滥用邮件系统合法功能,使数据外流过程完全遵循平台业务流程,规避基于异常外联的检测。 | |
| T1653 | 电源设置 | 电源设置滥用是指攻击者通过修改系统电源管理策略阻止设备进入休眠、关机或重启状态,从而维持持久控制的攻击技术。传统攻击手段涉及使用powercfg等工具直接修改超时参数,或删除关键系统文件阻止正常关机流程。防御方可监控电源配置变更事件、分析异常命令行工具调用,并实施配置基线验证来检测此类攻击。 | |
| .001 | 合法电源管理工具滥用 | 合法电源管理工具滥用(Legitimate Power Management Tool Abuse)是指攻击者利用操作系统内置的电源管理组件(如Windows的powercfg.exe、Linux的systemd-sleep)执行恶意配置变更,以规避安全检测的技术。该技术通过调用系统原生管理接口修改休眠策略、屏幕锁定超时等参数,将恶意操作嵌入正常电源管理流程,利用白名单工具的合法性掩盖攻击意图。攻击者通过参数注入、脚本封装等方式实现持久化控制,同时规避基于进程行为的异常检测。 | |
| .002 | 注册表项深度隐藏 | 注册表项深度隐藏(Registry Key Deep Concealment)是一种针对Windows系统的隐蔽电源配置篡改技术。攻击者通过修改注册表中与电源管理相关的深层键值(如HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Power),结合注册表项权限篡改和元数据混淆,使恶意配置变更难以被常规检测手段发现。该技术利用注册表层次结构的复杂性,将关键参数隐藏在非标准路径或系统保留字段中,同时通过伪造最后修改时间戳、删除变更日志等手段破坏取证分析。 | |
| .003 | 动态策略切换 | 动态策略切换(Dynamic Policy Switching)是一种基于环境感知的智能电源配置攻击技术。攻击者通过实时监测系统状态(如用户活跃度、网络连接情况、安全进程运行状态),动态调整电源策略参数以规避检测。例如在检测到用户输入活动时恢复默认设置,而在系统空闲时段激活恶意配置。该技术通过建立自适应策略引擎,使电源配置变更行为与系统正常操作节奏保持同步,降低异常行为暴露风险。 | |
| .004 | 伪装系统进程操作 | 伪装系统进程操作(System Process Spoofing)是指攻击者通过代码注入或进程劫持技术,使电源配置篡改操作看似由可信系统进程(如svchost.exe、winlogon.exe)发起的技术。该技术利用系统核心进程的权限优势和信任地位,将恶意电源管理操作融入操作系统底层工作流程,规避基于进程树分析的检测机制。攻击者通过API钩挂或异步过程调用(APC)将配置篡改代码注入系统关键进程,并伪造调用栈信息掩盖真实执行路径。 | |
| T1006 | 直接卷访问 |
直接卷访问是攻击者绕过文件系统监控直接读写磁盘卷数据的攻击技术,通过分析文件系统底层结构(如NTFS的MFT)实现数据窃取或篡改。传统防御手段主要监控磁盘句柄打开行为、检测非常规卷操作工具(如NinjaCopy)的使用,以及分析进程命令行参数中的可疑卷管理指令。防御方通常结合文件系统过滤驱动审计和进程行为分析构建防护体系。 为规避传统检测机制,攻击者发展出深度隐匿的直接卷访问技术,通过内存化执行、元数据操纵、合法工具滥用等手法,将恶意卷操作嵌入系统正常存储维护流程,大幅降低操作行为与周边环境的异常性关联。 |
|
| T1200 | 硬件附加 | 硬件附加指攻击者通过物理接入恶意硬件设备实施系统渗透的技术,涉及从外围接口植入到板级组件替换等多种形式。传统防御主要依赖端口禁用、设备白名单和物理审计等手段,通过监控USB/PCIe接口活动、分析硬件指纹特征来识别异常设备。但随着硬件攻击技术的演进,单纯依赖接口监控的防护体系已显现明显短板。 | |
| T1561 | 磁盘擦除 | Adversaries may wipe or corrupt raw disk data on specific systems or in large numbers in a network to interrupt availability to system and network resources. With direct write access to a disk, adversaries may attempt to overwrite portions of disk data. Adversaries may opt to wipe arbitrary portions of disk data and/or wipe disk structures like the master boot record (MBR). A complete wipe of all disk sectors may be attempted. | |
| .001 | 合法磁盘工具链滥用擦除 | 合法磁盘工具链滥用擦除(Legitimate Disk Toolchain Abuse)指攻击者利用操作系统内置或第三方合规磁盘管理工具(如Windows DiskPart、Linux dd命令)实施数据销毁,通过调用系统级API执行底层磁盘操作。该技术通过合法工具的正常功能路径完成破坏性操作,规避安全软件对非授权程序的检测。攻击者通常结合权限提升技术获取磁盘的原始写入权限,并通过工具的标准参数配置实现特定扇区或全盘覆盖,使擦除行为在系统审计日志中呈现为正常管理操作。 | |
| .002 | 时间延迟分阶段擦除 | 时间延迟分阶段擦除(Time-Delayed Phased Wiping)是一种将破坏性操作拆解为多个低强度阶段执行的隐蔽擦除技术。攻击者在初始入侵阶段植入具有条件触发机制的擦除模块,根据预设策略(如特定时间阈值、系统负载状态或外部指令)分批次覆盖磁盘数据。每个阶段仅擦除有限数量的扇区或特定类型文件,使单次操作强度低于文件系统监控阈值,同时通过长周期任务调度将完整破坏过程隐匿在系统正常维护周期内。 | |
| .003 | 隐蔽扇区覆盖与元数据伪造 | 隐蔽扇区覆盖与元数据伪造(Covert Sector Overwriting with Metadata Spoofing)是通过精确控制磁盘写入位置与文件系统元数据,实现数据破坏与痕迹消除协同作用的进阶擦除技术。攻击者不仅覆盖目标数据所在物理扇区,还同步篡改文件分配表、分区表等元数据结构,制造"数据逻辑存在但物理不可读"的假象。该技术通常结合固件级访问能力,直接操纵磁盘控制器的写入指令,绕过操作系统文件系统的完整性校验机制。 | |
| T1070 | 移除指标 | 移除指标技术指攻击者为消除入侵痕迹、阻碍安全检测与取证分析,对系统日志、文件元数据、内存残留等数字证据实施删除或篡改的操作集合。该技术直接影响安全设备的告警完整性,并破坏事件响应过程中的证据链重建能力。防御方通常采用文件完整性监控、日志聚合分析和内存取证工具等手段进行对抗,重点关注异常文件删除事件、日志服务异常中断等情况。 | |
| .001 | 时间戳同步篡改 | 时间戳同步篡改(Timestamp Synchronization Tampering)是一种通过修改系统时间参数实现攻击痕迹隐匿的技术。攻击者针对操作系统、应用程序或日志文件的时间戳机制实施精密操控,将恶意操作的时间标记调整为与合法操作时间序列相吻合的状态,破坏事件链的时间关联性。该技术通过干扰防御方基于时间线的事件重建能力,达到掩盖攻击时序特征的目的,使数字取证难以建立完整的攻击路径模型。 | |
| .002 | 内存残留定向清理 | 内存残留定向清理(Targeted Memory Residue Purge)是针对现代内存取证技术发展出的高阶痕迹消除手段。该技术通过实时监控系统内存状态,精确识别并擦除与攻击行为相关的进程句柄、网络连接记录、加密密钥等易失性数据残留,确保恶意代码执行后不在内存中留下可提取的完整证据链。攻击者采用内核级内存操作技术,在预设触发条件(如进程终止、系统重启)下自动执行清理程序,实现攻击痕迹的"即时蒸发"效果。 | |
| .003 | 日志注入污染 | 日志注入污染(Log Injection Contamination)是通过向日志系统注入大量伪正常条目实现攻击痕迹稀释的技术。攻击者在实施关键操作前后,使用自动化工具批量生成符合业务场景特征的日志事件,将恶意操作记录隐藏在海量噪声数据中。该技术不仅掩盖特定攻击痕迹,还通过构造虚假操作序列误导安全分析人员,增加攻击行为与正常行为的混淆度。 | |
| .004 | 隐蔽擦除链构建 | 隐蔽擦除链构建(Covert Erasure Chain Construction)是通过多层代理节点实施分布式痕迹清除的技术体系。攻击者将擦除指令分解为多个互不关联的微操作,通过受控的跳板节点链式执行,每个节点仅处理特定类型的痕迹清除任务(如网络层日志清理、云平台操作审计删除)。各节点间采用单向通信和任务自毁机制,确保擦除行为无法通过节点关联分析还原完整攻击图谱。 | |
| T1539 | 窃取Web会话Cookie | 窃取Web会话Cookie是攻击者通过非法获取用户浏览器会话凭证,绕过身份验证实施横向移动的关键技术。传统攻击手段包括内存转储、网络嗅探等方式,防御方可采用内存保护机制(如Credential Guard)、HTTPS强制加密、浏览器沙箱隔离等措施进行防护。监控重点集中于异常进程的内存读取行为、非授权证书安装活动以及浏览器扩展的敏感API调用。 | |
| .001 | 低频时序化Cookie窃取 | 低频时序化Cookie窃取(Low-Frequency Temporal Cookie Harvesting)是一种基于用户行为模式的智能化凭证窃取技术。攻击者通过监控浏览器事件(如页面导航、表单提交),仅在用户执行关键操作时触发Cookie窃取例程,使恶意行为与正常用户活动保持时间同步。该技术结合浏览器插件机制,以毫秒级精度在用户点击提交按钮后立即提取当前会话Cookie,通过限制窃取频率和时机匹配,将恶意操作隐匿在合法用户交互的时间序列中。 | |
| .002 | 浏览器扩展伪装 | 浏览器扩展伪装(Browser Extension Camouflage)是通过仿冒合法浏览器扩展实施会话凭证窃取的定向攻击技术。攻击者开发具备基础功能的正规浏览器插件,在通过应用商店审核后,通过静默更新加载恶意模块。该扩展在运行时动态注入内容脚本,通过DOM API截获Document.cookie属性访问请求,在浏览器内核层面实现Cookie的透明转发。技术特点在于完整保留扩展的声明功能,仅在特定触发条件下激活恶意代码,实现长期潜伏与精准窃取。 | |
| T1528 | 窃取应用访问令牌 | 窃取应用访问令牌是指攻击者通过非法手段获取用于身份验证的API令牌,进而实施横向移动和数据窃取的攻击行为。这些访问令牌用于代表用户或服务进行授权的API请求,广泛应用于云和基于容器的应用程序以及软件即服务(SaaS)环境中。窃取应用访问令牌后,攻击者可以利用这些令牌的权限访问数据、执行操作,甚至进行权限提升和进一步的环境破坏。传统防御手段主要依赖令牌生命周期管理(如短期有效期)、权限最小化原则以及异常API调用监控。检测机制通常关注异常地理位置登录、高频次资源访问或非常规权限使用等特征。 | |
| .001 | 多阶段低频令牌渗透 | 多阶段低频令牌渗透(Multi-Stage Low-Frequency Token Infiltration)是通过延长攻击周期和分散操作环节实现隐蔽的持久化令牌控制技术。攻击者将传统集中式令牌窃取过程分解为离散的侦察、权限测试、数据获取等阶段,每个阶段间隔数天至数周,并采用不同网络出口和身份伪装策略,构建低关联性的攻击链。 | |
| T1558 | 窃取或伪造Kerberos票据 | 窃取或伪造Kerberos票据是攻击者破坏Windows域身份认证体系的核心技术,通过获取或生成有效的Kerberos票证(TGT或ST)实现特权升级和横向移动。传统防御主要依赖监控Kerberos事件日志(如4769、4624)、检测非常规加密类型(如RC4-HMAC)、分析票据生命周期异常等。缓解措施包括启用Kerberos服务票证操作审计、限制域间信任范围、部署Credential Guard等。 | |
| .001 | 隐蔽票据伪造 | 隐蔽票据伪造(Covert Ticket Fabrication)是一种通过改进传统票据伪造算法实现隐蔽特权升级的技术。攻击者在黄金票据/白银票据生成过程中引入动态加密参数调整、时间戳混淆、跨域信任链嫁接等机制,使伪造票据的加密特征与域控签发票据具有高度相似性。该技术突破传统伪造票据的静态加密模式,通过模拟域策略变更日志中的加密算法迁移过程,生成符合当前域环境加密基线的新型伪造票据。 | |
| .002 | 跨域票据传递 | 跨域票据传递(Cross-Domain Ticket Relay)是一种利用多域信任关系实施隐蔽横向移动的技术。攻击者通过解析域间信任密钥(Trust Key)和跨域票证(Cross-Realm TGT),构建跨越多个Kerberos域的身份传递链。该技术将传统单域票据传递扩展至多域拓扑环境,通过信任链的层级跳转稀释单次票据使用频率,并利用不同域的日志审计策略差异规避行为关联分析。 | |
| .003 | 动态票据更新 | 动态票据更新(Dynamic Ticket Renewal)是一种通过智能刷新机制维持票据有效性的隐蔽持久化技术。攻击者基于目标域的票据生命周期策略,建立自适应票据续期系统,在票据接近失效阈值时自动发起续期请求。该技术通过模拟正常用户的票据管理行为,将恶意票据的存续时间控制在域策略允许的最大续期范围内,避免触发基于票据超期使用的检测规则。 | |
| T1649 | 窃取或伪造身份认证证书 | 窃取或伪造身份认证证书是指攻击者通过非法手段获取或生成数字证书,用于伪装合法身份实施网络攻击的技术。数字证书通常用于签署和加密消息或文件,也是身份验证的重要材料。攻击者可以通过多种方式窃取这些证书,包括从注册表、文件系统或浏览器内存中提取AD CS证书,利用API直接访问Windows证书存储,或通过社交工程手段诱导用户泄露证书。此外,攻击者还可能通过获取根证书的私钥,创建伪造的"金证书",从而长期伪装成合法实体,绕过多因素认证和其他安全措施。该技术可被用于横向移动、权限提升及持久化等攻击阶段,传统防御主要依赖证书吊销检查、密钥存储保护及证书策略强化等手段,如监控异常证书注册请求、实施证书透明度日志审计等。 | |
| T1491 | 篡改 | 篡改是指攻击者通过修改目标系统可视化内容(如网页、界面元素)来破坏信息完整性的网络攻击行为,通常用于实施恐吓、政治宣传或虚假信息传播。传统防御手段主要通过监控内容哈希值变化、分析Web日志异常操作、部署Web应用防火墙(WAF)规则等方式进行检测,依赖静态特征匹配与操作行为基线分析来识别未授权修改。 | |
| .001 | 动态内容替换 | 动态内容替换(Dynamic Content Replacement)是一种基于上下文感知的隐蔽篡改技术。攻击者通过劫持目标系统的内容分发机制,根据访问者属性(如地理位置、用户代理、访问时间)动态返回篡改内容,而对常规检测系统呈现原始页面。该技术利用反向代理或中间人攻击实现内容层动态切换,针对不同检测主体实施差异化响应,确保篡改行为仅对特定目标群体可见,同时规避自动化监测系统的检测。 | |
| .002 | 合法账户凭证伪装 | 合法账户凭证伪装(Legitimate Account Credential Camouflage)指攻击者通过窃取或仿冒具有内容管理权限的合法用户身份实施篡改操作。该技术利用目标系统既有的权限管理体系,将恶意修改行为伪装成授权用户的正常操作,规避基于异常行为分析的检测机制。攻击者重点针对具有多因素认证绕过漏洞的账户,或通过钓鱼攻击获取高权限会话令牌,使篡改操作在审计日志中呈现为合规的内容更新流程。 | |
| .003 | 加密载荷分段注入 | 加密载荷分段注入(Encrypted Payload Segmented Injection)是一种针对现代Web应用架构设计的隐蔽篡改技术。攻击者将篡改内容进行分块加密处理,通过多个合法请求通道(如API调用、资源加载)分批次注入目标系统,在客户端执行时进行动态重组。该技术利用HTTPS加密流量保护分块内容,使中间防护设备无法通过单次请求解析完整攻击载荷,同时规避内容完整性校验机制。 | |
| .004 | 基于时间触发的延迟篡改 | 基于时间触发的延迟篡改(Time-Triggered Delayed Defacement)是通过在系统潜伏阶段预设篡改逻辑,待特定条件满足后自动执行的隐蔽攻击技术。攻击者利用Web应用的定时任务机制或客户端浏览器缓存特性,将篡改代码以无害形式植入系统,直至预设时间节点或外部指令触发后激活。该技术通过分离攻击植入与效果显现的时间维度,破坏攻击行为的时序关联性,增加防御方溯源取证的难度。 | |
| T1218 | 系统二进制代理执行 | 系统二进制代理执行是攻击者滥用操作系统信任机制,通过合法签名的系统工具间接执行恶意代码的技术手段。该技术利用微软认证二进制文件(如msbuild.exe、installutil.exe)或Linux系统工具(如split、xxd)的固有功能,将恶意操作嵌入标准工作流程,规避基于进程签名验证和行为规则的检测。防御方通常通过监控异常命令行参数、检测非标准模块加载、分析进程行为偏离基线等手段进行对抗,重点识别合法工具非常规使用模式。 | |
| .001 | 内存驻留反射加载 | 内存驻留反射加载(In-Memory Reflective Loading)是一种完全在内存中完成恶意代码加载与执行的深度隐蔽技术。攻击者通过合法系统进程(如powershell.exe、svchost.exe)调用内存操作API,将加密的恶意载荷直接写入进程堆空间,并利用反射加载技术实现自解析、自定位、自执行,全程不产生磁盘文件交互。该技术通过规避传统文件落盘操作,有效对抗基于文件监控的检测机制,并利用系统进程的内存操作白名单特性实现行为隐匿。 | |
| .002 | 多阶段链式代理执行 | 多阶段链式代理执行(Multi-Stage Chained Proxy Execution)是通过串联多个可信系统工具构建复杂执行路径的隐蔽攻击技术。攻击者将恶意操作分解为多个合法功能调用步骤,利用不同系统二进制文件间的输入输出传递机制,逐步完成攻击载荷的加载与执行。例如,通过certutil.exe解码加密载荷,再通过regsvr32.exe执行内存中的COM对象,最终由wmic.exe发起远程连接。这种技术通过分散攻击特征至多个合法进程,降低单进程行为异常性。 | |
| .003 | 合法工具参数混淆 | 合法工具参数混淆(Legitimate Tool Argument Obfuscation)是通过复杂参数构造技术隐藏恶意意图的高级对抗手段。攻击者深入研究系统工具的命令行解析特性,利用环境变量扩展、通配符转义、编码转换等机制,构建符合语法规范但难以直观理解的执行参数。例如,通过分段拼接Base64编码字符串、嵌套多重环境变量引用、或利用Unicode控制字符干扰日志记录,使得安全设备难以有效解析真实执行逻辑。 | |
| T1614 | 系统位置发现 | Adversaries may gather information in an attempt to calculate the geographical location of a victim host. Adversaries may use the information from System Location Discovery during automated discovery to shape follow-on behaviors, including whether or not the adversary fully infects the target and/or attempts specific actions. | |
| .001 | 合法API隐蔽调用 | 合法API隐蔽调用(Legitimate API Stealth Invocation)是一种通过调用操作系统内置函数获取地理信息的隐蔽技术。攻击者利用系统原生API(如Windows的GetLocaleInfoW、GetKeyboardLayoutList等),以合法程序行为为掩护,通过内存加载、动态链接库注入等方式间接触发地理位置信息查询。该技术规避了传统基于进程行为特征的检测机制,使信息收集行为与正常应用程序操作具有相同的API调用序列和内存访问模式,有效隐藏恶意意图。 | |
| .002 | 地理位置间接查询 | 地理位置间接查询(Indirect Geolocation Query)是通过多层代理和第三方服务中转实现IP地理定位的隐蔽技术。攻击者将传统直接访问IP地理数据库(如ip-api.com)的行为转化为间接查询链路:首先通过被控IoT设备或云函数发起代理请求,然后利用商业地图API、CDN服务商提供的边缘节点信息接口,甚至社交媒体位置标签服务等合法渠道,以数据聚合方式推导目标IP地理位置。该技术通过分散查询路径和混淆数据来源,破坏防御系统对地理定位服务的流量特征识别能力。 | |
| T1082 | 系统信息发现 | 系统信息发现是攻击者通过操作系统接口、管理工具或网络协议获取目标系统软硬件配置信息的技术,旨在为后续攻击提供环境适配依据。传统检测方法主要监控异常进程创建(如未知可执行文件调用)、非常用命令执行(如突然出现的wmic命令)以及异常API调用序列(如短时间内密集访问注册表项)。防御措施包括限制普通用户权限、监控系统工具使用日志、实施网络设备命令审计等。 | |
| .001 | 合法系统工具调用 | 合法系统工具调用(Legitimate System Tool Invocation)是攻击者利用操作系统内置管理工具(如systeminfo、wmic、df等)实施系统信息收集的隐蔽技术。该技术通过调用系统白名单程序执行信息枚举操作,规避基于可执行文件哈希值的检测机制。攻击者通常结合批处理脚本或计划任务,将信息收集指令嵌入日常运维操作流程,利用系统工具固有的业务合法性掩盖恶意行为。通过精确控制命令参数与输出处理方式,攻击者能够在不触发安全告警的前提下,获取操作系统版本、硬件配置、磁盘分区等核心系统数据。 | |
| .002 | 分散化信息收集 | 分散化信息收集(Distributed Information Gathering)是攻击者通过低频、长周期的隐蔽操作逐步收集目标系统信息的技术。与传统的一次性批量查询不同,该技术通过将系统侦察任务拆解为多个低强度、间歇性执行的操作,使其行为模式更接近于日常运维活动,从而降低检测风险。攻击者可能利用计划任务、定时脚本、WMI 事件订阅等机制,在不同时间点、不同进程环境下执行查询操作,以分散系统信息收集的时间特征。此外,还可能结合多种系统接口交错执行,进一步降低单一工具的调用频率,以规避基于命令模式匹配的检测。 | |
| T1529 | 系统关机/重启 | 系统关机/重启技术是指攻击者通过执行操作系统或硬件级指令强制中断目标系统运行状态,通常用于阻碍应急响应、放大破坏效果或掩盖攻击痕迹。传统防御手段依赖进程监控(如检测shutdown.exe调用链)、日志分析(Windows事件ID 1074/6006)和网络设备CLI审计(如记录reload命令执行)。通过建立系统操作白名单机制和硬件管理接口的异常行为基线,可有效识别未授权关机行为。 | |
| .001 | 伪造系统维护进程关机 | 伪造系统维护进程关机(Maintenance Process Spoofing Shutdown)是通过仿冒合法系统管理进程执行关机/重启操作的高级隐匿技术。攻击者利用操作系统内置的系统管理工具(如Windows的PsShutdown、Linux的shutdown命令)或计划任务服务,将恶意关机指令嵌入到正常维护流程中,通过模仿系统更新、硬件维护等场景的操作特征,使关机行为在进程树和日志记录中呈现合法进程调用特征。该技术重点在于构建完整的进程调用链上下文,包括伪造父进程关联、参数格式标准化以及操作时序合规性。 | |
| .002 | 硬件级断电伪装 | 硬件级断电伪装(Hardware-Level Power Cutoff Camouflage)是通过直接操纵物理硬件设备实现系统断电的深度隐匿技术。该技术突破传统操作系统层面的关机命令调用模式,转而利用智能电源管理接口(如IPMI)、机房PDU远程控制协议或设备固件漏洞,直接触发物理断电操作。其核心在于制造与真实电力故障高度相似的系统宕机现象,规避操作系统审计日志的生成,并利用硬件设备日志的存储局限性消除攻击痕迹。 | |
| T1490 | 系统恢复抑制 | 系统恢复抑制是指攻击者通过禁用或破坏操作系统及应用程序的恢复机制,阻止受害系统从故障或攻击中复原的破坏性技术。该技术常被用于勒索软件攻击链的最后阶段,通过删除卷影副本、清除备份目录、禁用自动修复功能等手段,确保数据加密破坏的不可逆性。传统防御手段主要依赖进程监控(如vssadmin、wbadmin调用检测)、事件日志分析(如Windows事件ID 524)和备份完整性校验等方法来识别异常恢复抑制行为。 | |
| .001 | 合法工具链组合擦除 | 合法工具链组合擦除(Legitimate Toolchain Combination Wiping)是指攻击者通过组合使用操作系统内置管理工具(如vssadmin、wbadmin、diskshadow等),以看似合规的操作序列执行系统恢复功能破坏。该技术通过将恶意删除操作拆解为多个符合系统管理规范的单步指令,并利用工具间的功能互补性实现全维度恢复点清除。攻击者通常会按照正常系统维护的操作逻辑编排命令序列,例如先查询后删除、分批次执行操作,以此规避基于单条高危命令的检测规则。 | |
| .002 | 备份元数据加密破坏 | 备份元数据加密破坏(Backup Metadata Cryptographic Sabotage)是针对备份恢复体系设计的定向破坏技术,通过加密备份索引文件而非直接删除实体数据,导致恢复系统无法识别有效备份内容。该技术利用备份管理系统对元数据的强依赖性,使用对称加密算法对Windows Backup Catalog、SQL Server备份日志等关键元数据进行加密,同时保留原始文件的时间戳和数字签名信息,使防御方误判备份系统完整性未受破坏,实则已丧失恢复能力。 | |
| .003 | 云端备份同步污染 | 云端备份同步污染(Cloud Backup Synchronization Contamination)是针对混合云环境设计的持续性破坏技术,通过劫持云存储同步机制实现备份文件的隐蔽覆盖或版本清除。攻击者利用云服务客户端(如OneDrive、Dropbox)的本地-云端同步特性,在本地备份目录中植入恶意文件触发同步覆盖,或通过API调用删除云端保留的历史版本。更高级的变种会篡改云服务配置,禁用版本控制功能或缩短版本保留周期,使备份污染操作难以通过版本回溯进行恢复。 | |
| T1033 | 系统所有者/用户发现 | 系统所有者/用户发现是攻击者识别目标系统用户身份、权限及活动状态的关键侦察技术,通常通过查询系统API、分析进程所有权或解析日志数据实现。防御方可通过监控敏感命令执行、分析进程创建行为及审计用户管理日志等手段进行检测,重点关注非常用工具的用户查询操作和非常规时段的账户枚举行为。 | |
| .001 | 合法系统工具隐蔽查询 | 合法系统工具隐蔽查询(Legitimate System Tool Stealth Query)是一种通过滥用操作系统内置管理工具实现用户信息隐蔽获取的技术。攻击者利用系统预装的命令行工具(如whoami、w、dscl)或脚本解释器(如PowerShell、Python)执行用户发现操作,将恶意查询指令嵌入正常的系统管理流程中。该技术通过规避第三方工具部署,直接利用可信进程执行侦察任务,有效降低安全软件对异常进程行为的警觉性。 | |
| .002 | 日志动态注入与痕迹擦除 | 日志动态注入与痕迹擦除(Log Dynamic Injection and Trace Erasure)是一种通过操纵系统日志实现用户发现行为隐匿的技术。攻击者在执行用户枚举操作时,同步篡改系统审计日志(如Windows事件日志、Linux syslog),删除或伪造相关操作记录。该技术结合实时日志编辑和日志流劫持两种手段,确保用户发现行为在操作系统层面不留痕迹,同时构建虚假日志条目混淆事后取证分析。 | |
| T1124 | 系统时间发现 | 系统时间发现是攻击者通过本地或远程方式获取目标系统时间、时区或运行时间的侦察技术,通常用于构建攻击时间线、触发定时任务或辅助地理定位。攻击者可能使用net time、w32tm等命令行工具或系统API(如GetTickCount)实施探测,防御方可通过对异常命令行操作监控、网络设备AAA日志审计等方式进行检测,但由于合法进程频繁调用时间接口,传统检测方法存在高误报率缺陷。 | |
| .001 | 合法进程时间戳读取 | 合法进程时间戳读取(Legitimate Process Timestamp Reading)是一种通过劫持系统正常进程的时间查询功能实现隐蔽时间采集的技术。攻击者通过注入或挂钩(Hook)系统进程(如系统监控工具、杀毒软件等),利用其固有的时间戳获取接口(如GetSystemTimeAsFileTime)间接读取系统时间信息,避免直接调用敏感API或执行显式时间查询命令。该技术将恶意时间发现行为嵌入可信进程的执行流中,使安全检测系统难以区分正常业务操作与攻击行为。 | |
| .002 | 分布式时间戳采集 | 分布式时间戳采集(Distributed Timestamp Collection)是通过多节点协同方式分散时间查询行为的新型隐匿技术。攻击者将系统时间发现任务拆解为多个子任务,分发给受控的僵尸节点、云服务器或物联网设备执行,每个节点仅执行有限次数的低精度时间查询。通过全球分布的节点网络动态获取目标系统的时间信息,利用地理分散性稀释时间查询流量的集中特征,同时结合时区差异自动校准数据,构建跨地域的时间基准画像。 | |
| T1569 | 系统服务 | 系统服务滥用指攻击者通过创建或修改系统服务实现恶意代码执行的技术手段,既可用于实现持久化驻留,也可用于临时任务执行。Windows服务控制管理器(SCM)提供的远程服务管理接口(如OpenService、CreateService)常被攻击者利用,通过服务注册表项配置恶意启动参数。防御措施包括监控服务创建/修改事件、校验服务二进制文件签名,以及分析服务启动模式与系统基线的一致性。 | |
| .001 | 动态服务注入 | 动态服务注入(Dynamic Service Injection)是一种通过将恶意代码注入正在运行的合法系统服务进程实现隐蔽执行的攻击技术。该技术利用Windows服务控制管理器(SCM)的进程加载机制,通过API Hook或内存篡改将恶意模块植入svchost.exe等共享宿主进程,在不创建新服务项的情况下实现恶意功能加载。攻击载荷与宿主服务共享内存空间和网络连接,规避基于服务注册表项或进程树分析的检测手段。 | |
| .002 | 合法服务伪装 | 合法服务伪装(Legitimate Service Camouflage)是攻击者通过仿冒合法系统服务属性实现恶意服务隐蔽注册的技术。该技术利用系统服务管理机制的特性,通过精确复制合法服务名称、显示名称、描述信息等元数据,并匹配标准服务启动类型(如自动延迟启动、触发启动),使恶意服务在服务控制管理器(SCM)中呈现为可信组件。同时采用合法的二进制路径劫持或DLL侧加载技术,确保服务文件签名验证通过,从而规避基于服务属性异常检测的防御机制。 | |
| .003 | 短暂服务驻留 | 短暂服务驻留(Ephemeral Service Persistence)是一种通过创建短期存在、自销毁的系统服务实现瞬时攻击的隐蔽技术。攻击者在目标系统上注册临时服务,利用服务启动权限执行恶意指令后立即删除服务注册信息,同时清除事件日志中的创建记录。该技术将服务滥用从持久化攻击场景扩展至瞬时任务执行,通过缩短恶意服务的生命周期降低被检测概率。 | |
| T1007 | 系统服务发现 | 系统服务发现是攻击者通过查询操作系统服务配置信息来识别潜在攻击面的关键侦察技术,通常使用系统内置工具(如sc、net)或API接口获取服务状态、依赖关系和权限配置。传统检测手段主要监控异常进程创建(如未知可执行文件调用服务管理API)、可疑命令行参数(如批量服务枚举操作)以及非常规WMI查询事件。防御建议包括启用详细进程审计、限制低权限用户的服务查询操作,以及部署用户行为分析(UEBA)系统识别异常服务访问模式。 | |
| .001 | 合法管理工具隐蔽调用 | 合法管理工具隐蔽调用(Legitimate Management Tool Stealth Invocation)是一种通过操作系统内置服务管理组件执行服务发现的高级隐蔽技术。攻击者通过调用系统原生命令解释器(如cmd.exe、powershell.exe)执行内置服务查询指令(如sc query、net start),利用系统白名单机制规避安全检测。该技术通过精确控制命令参数和输出处理,将服务发现行为伪装成系统管理员日常维护操作,规避基于进程行为特征的检测模型。 | |
| .002 | 服务元数据碎片化采集 | 服务元数据碎片化采集(Service Metadata Fragmented Collection)是一种通过长周期、多维度分散查询实现隐蔽服务发现的技术。攻击者将完整的服务发现任务拆解为多个互不关联的元数据查询操作,通过注册表键值读取、事件日志解析、WMI属性检索等多种渠道逐步拼凑服务信息。每个独立操作仅获取部分服务属性(如显示名称、服务类型),避免触发完整服务枚举行为的检测规则,最终通过跨源数据关联重建完整的服务拓扑图。 | |
| T1049 | 系统网络连接发现 | 系统网络连接发现是攻击者通过查询本地或远程系统的网络连接信息,获取目标网络拓扑结构的关键技术,通常为后续横向移动、数据渗透或命令控制提供支撑。攻击者可能使用系统内置工具(如netstat、lsof)、云平台管理接口或网络设备CLI命令实施探测。防御方可通过监控异常命令行参数、非标准用户的CLI操作以及Windows管理工具(如WMI、PowerShell)的非常规使用行为进行检测。 | |
| .001 | 合法网络管理工具滥用 | 合法网络管理工具滥用(Legitimate Network Tool Abuse)是指攻击者利用目标系统预装的网络诊断工具或云平台管理接口实施隐蔽的网络连接发现。该技术通过调用PowerShell的Get-NetTCPConnection、Azure CLI的az network list-connections或AWS EC2的DescribeNetworkInterfaces等合规命令,将恶意探测行为伪装成系统管理员的标准运维操作。攻击者通过研究目标环境的管理工具使用模式,精确匹配命令参数、执行频率及数据访问范围,使得恶意活动融入正常的网络运维流量中。 | |
| .002 | 低频分布式网络拓扑测绘 | 低频分布式网络拓扑测绘(Low-Frequency Distributed Topology Mapping)是通过控制多个已入侵节点协同执行网络连接发现的隐匿技术。攻击者在不同网络区域部署轻量级探测代理,每个代理按照预设时间窗口(如每24小时激活10分钟)对本地区域执行有限范围的连接扫描,结果通过P2P网络进行分布式存储和聚合。采用区块链技术实现任务分配与数据完整性验证,确保单个节点被清除不影响整体测绘进程。通过控制扫描频率低于常见检测系统的阈值(如每IP每小时不超过5次查询),并将请求分布到多个协议(如同时使用SNMP、NETCONF和gRPC),使得传统基于流量突发检测或协议异常分析的防御机制失效。 | |
| T1016 | 系统网络配置发现 | 系统网络配置发现是攻击者通过查询网络接口参数、路由表、ARP缓存等信息,获取目标网络拓扑结构的关键侦察技术。传统检测手段主要通过监控非常规管理工具使用、异常CLI命令执行频率以及大规模配置查询行为来识别攻击。防御方通常采用网络设备命令审计、主机进程行为分析、网络流量基线建模等方法进行防护。 | |
| .001 | 合法工具滥用隐蔽采集 | 合法工具滥用隐蔽采集(Legitimate Tool Abuse for Covert Collection)是一种通过操作系统内置管理工具实施网络配置发现的隐蔽技术。攻击者利用目标系统预装的网络诊断工具(如ipconfig、arp、route等),通过非交互式脚本调用或进程注入方式执行配置查询,将恶意行为伪装成正常系统管理操作。该技术通过合法二进制文件的白名单属性规避安全软件检测,同时采用碎片化执行策略,将完整的网络拓扑测绘任务拆解为多个独立命令执行事件,降低行为关联性。 | |
| .002 | 网络协议元数据隐蔽解析 | 网络协议元数据隐蔽解析(Network Protocol Metadata Stealth Parsing)是指通过分析网络协议交互过程中的非显性元数据,间接推导目标系统网络配置的技术。该技术不直接执行敏感配置查询命令,而是通过监听ARP广播、DHCP协商、路由协议更新等常规网络通信,从协议报文的固有字段中提取IP地址分配、子网划分、网关配置等关键信息,实现无主动探测行为的被动式情报收集。 | |
| .003 | 分布式低频配置信息采集 | 分布式低频配置信息采集(Distributed Low-Frequency Configuration Harvesting)是通过多节点协同、长周期分阶段实施网络配置发现的匿迹技术。攻击者将完整的网络拓扑探测任务分解为多个低敏感度的原子操作,由分布在网络不同区域的受控节点按预设节奏分时执行。每个节点仅收集局部配置信息(如所在VLAN的默认网关),通过加密信道将碎片化数据传回控制端进行聚合分析,最终重构出完整的网络配置图谱。 | |
| T1216 | 系统脚本代理执行 | 系统脚本代理执行是攻击者滥用操作系统内置或可信第三方提供的脚本工具,通过参数注入或功能劫持实现恶意代码隐蔽运行的技术。其利用脚本文件数字签名验证机制与应用控制白名单策略的信任关系,将恶意操作嵌入合法执行流程。传统防御手段主要通过监控脚本进程创建事件、分析命令行参数异常以及限制未签名脚本执行等措施进行防护。 | |
| .001 | 合法脚本参数混淆 | 合法脚本参数混淆(Legitimate Script Parameter Obfuscation)是一种利用系统内置脚本工具的参数化特性实现恶意代码隐蔽执行的技术。攻击者通过解析受信任系统脚本(如Windows环境下的PubPrn.vbs、SyncAppvPublishingServer.vbs)的合法功能参数,将恶意代码执行指令嵌入符合语法规范的参数配置中,使脚本在正常业务逻辑执行过程中触发恶意负载。该技术充分利用操作系统对签名脚本的信任机制,将恶意行为伪装成合法的管理任务,规避基于进程白名单的防御体系。 | |
| .002 | 内存驻留无文件执行 | 内存驻留无文件执行(Fileless In-Memory Execution)是通过脚本解释器的动态代码执行能力实现恶意载荷全内存化运行的攻击模式。攻击者将经过编码压缩的恶意脚本片段嵌入合法文档(如CHM、PDF)或注册表项,利用系统脚本引擎(如PowerShell、JScript)的内存解析特性直接加载执行。整个攻击过程不产生磁盘文件写入操作,所有恶意代码均驻留在进程内存或系统缓存中,并通过进程注入技术在多个可信进程间迁移维持持久化。 | |
| .003 | 多阶段链式触发 | 多阶段链式触发(Multi-Stage Chained Trigger)通过将攻击链拆解为多个由系统脚本触发的独立操作步骤,实现恶意行为的隐蔽串联。该技术利用不同系统脚本的功能特性设计递进式攻击流程,例如首阶段脚本负责建立持久化机制,次阶段脚本实现权限提升,最终阶段脚本执行核心攻击载荷。各阶段之间通过注册表项、环境变量或命名管道等隐式通信机制进行指令传递,避免在命令行参数或日志记录中暴露完整攻击意图。 | |
| T1615 | 组策略发现 | 组策略发现是攻击者为识别域环境中的权限配置和安全策略,通过查询组策略对象(GPO)获取域管理架构信息的技术手段。攻击者通常使用gpresult命令、PowerShell的ActiveDirectory模块或直接访问SYSVOL共享路径,收集策略应用范围、安全设置等数据,为后续权限提升或策略篡改提供情报支撑。防御方可通过监控异常LDAP查询、检测PowerShell远程加载行为,以及分析Windows事件日志4661(目录服务访问)来识别潜在的组策略发现行为。 | |
| T1499 | 终端拒绝服务 | 终端拒绝服务攻击通过消耗目标系统资源或触发致命错误导致服务不可用,传统防御主要依赖流量基线分析、协议异常检测和资源监控。典型缓解措施包括部署网络流量清洗设备、实施协议合规性检查、配置资源使用阈值告警等。防御方通过监控TCP连接速率、异常协议行为、CPU/内存使用率等指标识别攻击活动。 | |
| .001 | 分布式低频资源耗尽攻击 | 分布式低频资源耗尽攻击(Distributed Low-Resource Exhaustion Attack)是一种新型的隐蔽式拒绝服务攻击技术。攻击者通过控制分布式僵尸网络,以低速率、长周期的方式持续消耗目标系统的关键资源(如CPU、内存、线程池),使资源枯竭过程呈现渐进式特征,避免触发基于流量峰值的传统检测机制。该技术通过将高强度攻击分解为多节点协同的低频操作,在维持服务降级效果的同时降低单节点行为显著性。 | |
| .002 | 协议模拟反射攻击 | 协议模拟反射攻击(Protocol-Emulated Reflection Attack)是一种基于协议栈特性实现攻击流量隐蔽化的高级DoS技术。攻击者通过精确模拟合法协议交互过程,构造符合RFC规范的恶意请求包,利用中间设备或服务作为反射节点放大攻击流量。该技术特别针对应用层协议(如HTTP/2、gRPC、QUIC)设计畸形请求,触发目标服务进入异常处理状态,同时确保网络层流量特征与正常业务流完全一致。 | |
| .003 | 加密载荷洪水攻击 | 加密载荷洪水攻击(Encrypted Payload Flood Attack)是通过完全加密的攻击载荷实施服务压制的隐蔽DoS技术。攻击者建立大量TLS/SSL加密会话,在安全信道内传输经过特殊构造的高复杂度计算请求(如精心设计的数据库查询、加密文件解析指令),迫使目标系统在解密和处理过程中消耗超额计算资源。该技术充分利用加密流量的内容不可见性,使传统基于载荷特征分析的防御体系失效。 | |
| .004 | 零日漏洞驱动型服务崩溃攻击 | 零日漏洞驱动型服务崩溃攻击(Zero-Day Vulnerability-Driven Service Crash)是利用未公开漏洞直接导致目标服务进程崩溃的精准DoS技术。攻击者通过逆向分析目标系统关键组件(如网络协议栈、内存管理器),发现可触发不可恢复错误的代码路径,构造特定输入使服务进入崩溃状态而不产生明显异常流量。该技术通过漏洞利用的精准性实现攻击效果最大化与行为特征最小化的统一。 | |
| T1135 | 网络共享发现 |
网络共享发现是攻击者通过枚举网络共享资源定位敏感数据存储位置和潜在横向移动路径的关键技术,主要依赖SMB、NFS等协议的特性实施探测。传统检测手段通过监控异常共享查询请求(如短时间内大量net view命令)、分析SMB协议流量模式(如非常规树连接操作)以及审计安全日志中的可疑账户行为来实现威胁识别。防御方通常采用网络分段、共享访问权限最小化和协议深度检测等策略进行防护。
|
|
| .001 | 合法工具隐蔽枚举 | 合法工具隐蔽枚举(Legitimate Tool-based Stealth Enumeration)是通过滥用操作系统内置命令或授权管理工具执行网络共享发现的高级隐蔽技术。攻击者利用系统原生组件(如Windows的net命令、PowerShell脚本或macOS的sharing命令)发起共享资源查询,将恶意行为嵌入合法管理操作流程,规避安全软件对非授权进程的检测。该技术通过精准控制命令参数和执行上下文,使共享发现行为在系统审计日志中呈现为正常管理行为,同时利用白名单机制绕过应用层监控。 | |
| .002 | 低频分布式共享嗅探 | 低频分布式共享嗅探(Low-Frequency Distributed Share Sniffing)是一种结合网络流量特征隐藏与行为节奏控制的隐蔽侦察技术。攻击者通过部署分布式代理节点,以低于常规检测阈值的请求频率对目标网络共享资源进行长周期探测,同时利用多节点协同机制将扫描请求分散至不同网络区域。每个代理节点遵循自适应时间间隔算法,根据目标网络的流量基线动态调整探测节奏,确保单节点行为特征始终处于目标安全系统的白噪声容忍范围内。 | |
| .003 | 加密通道共享探测 | 加密通道共享探测(Encrypted Channel Share Discovery)是通过加密协议隧道实施网络共享侦察的隐蔽技术。攻击者利用SMB over QUIC、IPsec隧道或自定义加密通道对共享发现流量进行端到端加密,同时通过协议嵌套技术将探测指令封装在HTTPS等加密协议载荷中传输。该技术不仅隐藏了共享查询的具体内容,还通过加密握手过程的特征伪装,使网络流量表现出与合法业务通信相同的数据包特征,规避深度包检测(DPI)系统的识别。 | |
| T1040 | 网络嗅探 | 网络嗅探是攻击者通过监控网络通信流量获取敏感信息的侦察技术,涉及捕获未加密的认证凭证、业务数据及网络拓扑信息。传统防御手段主要依赖流量加密、网络分段、ARP监控及云镜像服务审计,通过检测异常端口镜像配置、识别未加密协议使用情况等手段进行防护。监测重点包括网络设备配置变更、异常流量模式及中间人攻击特征。 | |
| .001 | 加密协议隧道嗅探 | 加密协议隧道嗅探(Encrypted Protocol Tunnel Sniffing)是一种将捕获的敏感数据通过加密隧道实时传输的隐蔽嗅探技术。攻击者在实施网络流量监听时,使用TLS、SSH或自定义加密协议对窃取的数据进行端到端加密传输,防止中间节点对数据内容的解析与识别。该技术特别适用于云环境,攻击者通过劫持虚拟机的流量镜像功能,将加密后的嗅探数据混杂在正常业务流量中传输至外部控制服务器,规避基于内容特征的检测机制。 | |
| .002 | 合法流量镜像伪装 | 合法流量镜像伪装(Legitimate Traffic Mirroring Camouflage)是通过滥用云服务商提供的流量镜像功能实施隐蔽嗅探的技术。攻击者通过窃取的权限配置虚拟网络流量镜像规则,将目标系统的网络流量副本定向传输至攻击者控制的云存储或计算实例,利用云平台内部数据传输通道的信任关系规避边界安全设备的检测。该技术将恶意嗅探行为伪装成合规的运维监控操作,实现攻击行为与合法业务操作的深度耦合。 | |
| .003 | 微流量切片回传 | 微流量切片回传(Micro-Flow Slicing Exfiltration)是一种基于流量分片与时间离散化的隐蔽数据回传技术。攻击者将捕获的大规模网络流量切割为若干符合正常业务流量特征的微片段,通过多协议、多通道的混合传输策略,将数据碎片隐匿在合法通信流中。该技术突破传统网络嗅探集中式回传的模式,通过流量特征的微观化改造规避基于流量规模或传输模式的检测机制。 | |
| .004 | 协议隐蔽隧道 | 协议隐蔽隧道(Protocol Covert Tunnel)是通过协议语义劫持实现嗅探数据隐蔽传输的技术。攻击者利用标准网络协议(如DNS、HTTP/2、QUIC)的扩展字段或冗余空间,将窃取的网络流量编码嵌入协议交互过程中。例如,在DNS嗅探隧道中,通过将数据编码为子域名查询请求,利用递归DNS解析过程实现数据外传;在HTTP/2嗅探隧道中,则利用头部压缩机制HPACK的索引表动态更新特性隐藏传输内容。 | |
| T1498 | 网络拒绝服务 | 网络拒绝服务(DDoS)通过耗尽目标系统的网络带宽或服务资源实现服务可用性破坏,攻击手段包括但不限于流量洪泛、协议漏洞利用、资源耗尽等。传统防御依赖于流量基线分析、协议异常检测、源IP信誉库等技术,通过识别异常流量峰值、非法协议格式或已知攻击指纹进行缓解。缓解措施通常部署在网络边界设备或云清洗中心,采用流量整形、速率限制、SYN Cookie等机制过滤恶意流量。 | |
| .001 | 分布式反射放大攻击 | 分布式反射放大攻击(Distributed Reflective Amplification Attack)是一种利用互联网协议设计缺陷实现流量放大的高级DDoS技术。攻击者伪造目标IP地址向具有响应放大特性的网络服务(如DNS、NTP、Memcached)发送小型请求,诱导大量第三方服务器向目标系统发送超大规模响应数据包。该技术通过反射节点作为攻击媒介,使实际攻击源与目标系统无直接流量交互,形成多层跳转的攻击链路,显著增强攻击流量的匿名性和溯源难度。 | |
| .002 | 低频脉冲攻击 | 低频脉冲攻击(Low-Frequency Burst Attack)是一种通过间歇性发送高强度短时脉冲流量实施服务压制的DDoS技术。该技术采用非持续性的攻击模式,在特定时间窗口(如业务高峰期)发动毫秒级超高带宽攻击,随后立即停止或切换至低强度背景流量,通过动态调整攻击节奏规避传统基于流量持续性的检测模型。其核心在于利用人类响应延迟和检测系统采样周期之间的时间差,在防御方完成流量分析前终止攻击,形成"闪现式"服务中断。 | |
| .003 | 协议模拟攻击 | 协议模拟攻击(Protocol Emulation Attack)是一种通过深度模仿合法业务协议实施的DDoS技术。该技术精确复现目标系统核心业务交互协议(如金融交易协议、视频流传输协议或物联网控制协议),构造符合协议状态机规范的恶意请求,使攻击流量在协议解析层面与正常业务流量完全一致。攻击者通过逆向工程获取目标私有协议规范,或利用标准协议未明确定义的模糊字段构造合法但资源密集型的请求,实现基于协议合规性的服务资源耗尽。 | |
| T1102 | 网络服务 | 网络服务滥用指攻击者利用合法云服务、社交平台等Web服务作为命令控制或数据传输通道,通过协议模拟、加密通信等方式隐藏恶意活动。传统防御手段聚焦于检测异常API调用模式、识别加密流量中的元数据特征,以及监控用户行为异常。缓解措施包括实施SSL/TLS解密审查、建立网络流量基线模型,以及分析客户端与服务端的数据传输不对称性。 | |
| .001 | 合法协议封装通信 | 合法协议封装通信(Legitimate Protocol Encapsulation)是一种将恶意通信流量完全嵌入主流云服务API协议框架的隐蔽数据传输技术。攻击者通过深入分析目标组织常用的SaaS服务(如Microsoft Graph API、Google Drive API等),构建符合其业务交互模式的API请求模板,将命令控制指令和数据回传信息编码至标准API参数字段中。该技术利用云服务API的标准化通信机制和HTTPS加密特性,使恶意流量在协议格式、加密方式、交互频率等方面与合法业务流量保持高度一致,规避基于协议异常检测的防御体系。 | |
| .002 | 动态服务拓扑切换 | 动态服务拓扑切换(Dynamic Service Topology Switching)是一种基于云服务弹性架构构建的隐蔽C2通信技术。攻击者通过自动化调度多个云服务提供商(如AWS S3、Azure Blob Storage、Dropbox等)的存储端点,构建动态变化的通信节点矩阵。每个节点仅承担特定阶段的通信任务,并依据预设策略或环境感知结果进行实时切换,使防御方难以建立稳定的攻击链路画像。该技术充分利用云服务基础设施的分布式特性,将传统C2服务器的静态属性转化为动态服务拓扑,显著提升通信链路的抗阻断能力。 | |
| T1046 | 网络服务发现 | 网络服务发现是攻击者识别目标网络中可用服务及其配置信息的关键侦察技术,通常涉及端口扫描、协议探测和拓扑映射等操作。攻击者通过获取运行中的服务类型、版本及关联漏洞信息,为后续攻击链构建提供支撑。传统检测手段主要依赖流量异常分析(如端口扫描频率检测)、协议合规性验证(如非常规协议交互识别)以及云API调用审计等手段进行防御,通过关联多源日志识别可疑服务探测行为。 | |
| .001 | 分布式代理节点轮询探测 | 分布式代理节点轮询探测(Distributed Proxy Node Polling Detection)是一种利用分布式代理网络执行服务发现的高级隐匿技术。攻击者通过控制分布在多个地理区域的代理节点,将服务探测任务拆解为离散的探测请求,并按照预设的时间间隔在节点间轮转执行。每个代理节点仅执行有限次数的端口探测或协议握手操作,随后切换至新的网络出口节点,使得探测流量在空间维度和时间维度上均呈现分散特征。该技术特别注重代理节点的动态更新机制,通常采用暗网节点池或公共代理服务实现身份隐匿。 | |
| .002 | 协议模拟交互探测 | 协议模拟交互探测(Protocol Simulation Interaction Detection)是一种通过深度模拟合法协议交互过程实现服务识别的隐匿技术。攻击者不再依赖传统的端口扫描或Banner抓取,而是构建全协议栈模拟环境,以业务逻辑合规的交互流程探测目标服务。例如模拟物联网设备的MQTT协议订阅请求、复制工业控制系统的Modbus/TCP寄存器读取操作,或伪装成视频监控系统的RTSP会话协商,通过分析协议响应中的细微差异推断服务类型及版本信息,而非依赖显式服务标识。 | |
| T1599 | 网络边界桥接 |
网络边界桥接指攻击者通过控制网络边界设备(如防火墙、路由器)突破网络隔离策略,构建跨安全域通信通道的技术手段。传统防御依赖流量策略审查、设备配置监控及异常规则检测,通过比对设备配置快照与网络流量日志识别未授权策略变更。 为规避传统检测机制,攻击者发展出非策略修改型桥接技术,通过功能滥用、协议嵌套和管理接口劫持等手法,在不触发策略告警的前提下实现边界穿透,形成"策略合规、行为异常"的新型攻击范式。 现有匿迹桥接技术的共性在于深度利用网络设备的固有功能特性和协议解析漏洞:流量镜像隐蔽转发技术挖掘镜像端口的监控盲区,将跨域通信伪装成运维数据采集;协议隧道嵌套桥接技术通过协议栈的纵向深度扩展,在单层合规的前提下实现多层穿透;合法管理接口滥用则借助设备信任链的脆弱性,将攻击流量融入日常运维流。三类技术的核心突破在于解耦策略变更与边界穿透的必然关联,通过协议语义的创造性重构和设备功能的非常规利用,使恶意行为获得表面合法性。技术演进呈现三个趋势:从规则篡改转向功能滥用、从单层协议突破转向多维协议嵌套、从主动连接建立转向被动流量劫持。 匿迹技术的成熟使得传统基于策略审计的防御体系面临严峻挑战,防御方需构建协议栈深度行为分析、管理接口异常操作检测等能力,并引入设备固件完整性验证机制,实现对隐蔽桥接行为的多维度感知与阻断。 |
|
| .001 | 流量镜像隐蔽转发 |
流量镜像隐蔽转发(Traffic Mirroring Stealth Forwarding)是一种通过劫持网络设备镜像端口实现跨边界通信的隐蔽桥接技术。攻击者在控制边界设备后,利用其流量镜像功能将目标流量复制至非授权接口,通过隐蔽通道转发至外部网络。该技术不直接修改设备转发规则,而是利用镜像端口的管理盲区构建旁路信道,在保持设备策略完整性的同时实现数据透传。 实现匿迹的核心在于镜像功能的非侵入式利用与流量特征的深度模仿。攻击者首先通过权限提升获取设备镜像配置权限,在不触发告警的前提下设置特定流量(如加密业务流)的镜像规则,将副本发送至攻击者控制的物理接口或虚拟端口。转发过程中采用协议字段重构技术,将镜像流量封装在合法协议(如VXLAN、GRE)中,并保持原始报文的时序特征与统计分布。为避免镜像流量异常引发检测,攻击者会动态调整镜像策略,仅在目标业务活跃期开启镜像窗口,且镜像流量规模不超过设备性能基线。通过镜像机制与业务流量特征的高度耦合,该技术将跨边界通信隐匿在正常运维流量中,规避基于策略变更检测或流量突变分析的安全机制。 |
|
| .002 | 协议隧道嵌套桥接 |
协议隧道嵌套桥接(Protocol Tunnel Nesting Bridging)是通过在标准协议栈中建立多层隧道实现边界穿透的隐蔽通信技术。攻击者利用边界设备对合法协议的放行策略,将恶意流量封装在多层协议载荷中(如HTTP over DNS over ICMP),通过逐层解封装实现跨安全域的数据透传。该技术的关键在于构造符合协议规范但逻辑嵌套的隧道结构,使得单层协议分析难以发现异常。 匿迹效果源自协议栈的纵向混淆与横向伪装。纵向维度上,攻击者设计3层以上的协议嵌套结构,每层均采用目标网络允许的协议类型(如将SSH流量封装在HTTPS视频流中),利用协议解析器的逐层处理机制规避深度检测。横向维度则通过动态隧道协议切换(如交替使用QUIC与WebSocket作为载体),破坏防御系统的协议行为建模。技术实现需解决隧道保活机制隐蔽化问题,采用心跳包尺寸随机化、时间间隔抖动等技术模拟合法协议交互特征。最终形成的隧道矩阵具备协议合规性、行为拟态性和拓扑动态性,使得传统基于协议指纹识别或流量模式匹配的检测手段失效。 |
|
| .003 | 合法管理接口滥用桥接 |
合法管理接口滥用桥接(Legitimate Management Interface Abuse Bridging)是指攻击者通过劫持网络设备的运维通道(如SNMP、NETCONF)构建隐蔽跨域通道的技术。该技术利用设备管理接口的信任特权,将恶意流量伪装成配置同步、日志上传等管理操作,通过协议参数注入或元数据隐写实现数据透传。攻击者通过精确模拟管理协议的工作流,使异常通信行为融入设备日常运维流量。 匿迹机制建立在管理协议的功能复用与信任关系滥用之上。攻击者首先窃取设备管理凭证,通过合法认证流程建立管理会话,在标准协议操作中嵌入隐蔽信道。例如在SNMP Trap消息的OID字段中隐写控制指令,或利用NETCONF的 |
|
| T1119 | 自动化收集 | 自动化收集是指攻击者通过脚本、命令行工具或API接口等手段,在已控制系统中自动获取目标数据的技术。传统自动化收集通常表现为集中式、高频次的文件遍历与数据传输,可通过监控异常文件访问模式(如短时间内大量文件打开操作)、检测非常用命令行参数组合或识别异常云API调用频率等手段进行防御。防御措施包括实施细粒度文件访问审计、建立进程行为基线以及部署云操作异常检测系统等。 | |
| .001 | 合法进程行为模拟收集 | 合法进程行为模拟收集(Legitimate Process Behavior Mimicry Collection)是一种通过模仿系统管理工具或业务应用正常行为实施数据窃取的技术。攻击者将数据收集操作嵌入系统备份服务、日志采集模块或运维工具的正常工作流程,利用合法进程的权限和通信渠道实施隐蔽数据外传。该技术通过精确复制系统管理工具的文件访问模式、进程调用链和资源占用特征,使恶意数据收集行为在进程行为层面与合法操作保持高度一致,规避基于异常进程行为的检测机制。 | |
| .002 | 加密数据管道传输 | 加密数据管道传输(Encrypted Data Pipeline Transmission)是通过构建端到端加密通道实现数据隐蔽传输的技术形态。攻击者利用目标系统已授权的加密通信服务(如HTTPS、SSH、TLS等),将窃取数据封装在合法加密会话中进行传输。该技术不仅实现传输内容的加密保护,更重要的是通过复用业务系统既有的加密通信架构,使数据外传流量在协议特征层面与正常业务交互完全一致,规避基于流量内容解密的检测手段。 | |
| .003 | 时序离散化作业调度收集 | 时序离散化作业调度收集(Temporal Discretization Job Scheduling Collection)是通过分散数据收集时序实现行为隐匿的技术。该技术将传统集中式数据窃取任务拆解为多个微任务,按照目标系统作业调度规律(如日志轮转周期、备份时间窗口等)分批次执行,使单次数据收集的规模与频率均低于检测阈值。攻击者通过深度分析目标系统的定时任务执行模式,将恶意收集作业嵌入crontab计划任务、Windows任务调度程序或云平台的自动化工作流中,实现数据窃取行为与合法定时任务的时序同步。 | |
| T1020 | 自动化渗出 | 自动化渗出指攻击者通过预设脚本或程序自动执行数据窃取与传输的过程,通常与数据收集阶段紧密衔接。该技术利用程序化操作实现高效持续的数据渗出,常通过命令控制信道(C2)或替代协议(如DNS、HTTP)进行传输。防御方可通过监控异常文件访问模式(如非业务进程遍历多目录)、检测非常规网络连接(如内部主机与未知外部端点持续通信)等手段进行识别,并采用数据流分析识别未授权传输行为。 | |
| .001 | 分片混淆渗出 | 分片混淆渗出(Fragmented Obfuscation Exfiltration)是一种将窃取数据分割为多个片段并嵌入正常业务流量进行传输的隐蔽渗出技术。攻击者利用数据分片算法将敏感信息拆解为多个微片段,通过动态混淆技术将数据包与合法业务数据(如HTTP文件传输、邮件附件、云同步流量)混合,同时采用多层编码(如Base64嵌套、自定义字符替换)改变数据特征。该技术通过分而治之的策略规避传统数据泄露防护系统(DLP)对完整数据结构的检测能力,实现数据窃取行为的碎片化隐匿。 | |
| .002 | 合法协议隧道化渗出 | 合法协议隧道化渗出(Legitimate Protocol Tunneling Exfiltration)是通过建立符合标准协议规范的加密隧道实现数据隐蔽传输的技术。攻击者利用HTTPS、SSH、MQTT等合法协议的内置加密机制,构建端到端加密通道,将窃取数据封装在协议载荷中进行传输。通过严格遵循协议交互规范(如TLS握手流程、HTTP/2帧结构),该技术使渗出流量在协议层面呈现完全合规特征,同时利用协议扩展字段(如HTTP头部X-Forwarded-For)或载荷填充区嵌入控制指令,实现渗出行为的深度隐藏。 | |
| .003 | 低频时序渗出 | 低频时序渗出(Low-Frequency Temporal Exfiltration)是通过精确控制数据渗出节奏实现行为隐匿的技术。攻击者采用自适应时序算法,根据目标网络流量基线动态调整渗出周期,将数据包发送间隔控制在正常业务波动范围内(通常大于30分钟)。通过结合节假日模式识别、目标业务高峰预测等上下文感知技术,确保渗出时段与合法流量高峰重叠,同时采用随机抖动算法(如泊松分布)破坏传输时序规律性,使渗出行为完全融入背景流量。 | |
| T1583 | 获取基础设施 | 获取基础设施指攻击者通过购买、租赁或非法手段获取用于网络攻击的各类资源,包括服务器、域名、云服务账户及僵尸网络节点等。传统防御手段依赖WHOIS数据库查询、SSL证书指纹比对及IP信誉库匹配等技术,通过分析基础设施注册信息、网络服务特征及历史威胁情报识别恶意资源。监测重点包括异常端口开放模式、已知C2框架特征及集中式基础设施集群的拓扑关联。 | |
| .001 | 匿名云服务租赁 | 匿名云服务租赁(Anonymous Cloud Service Leasing)是攻击者通过伪造身份信息与加密货币支付手段,租用主流云服务商的计算资源构建攻击基础设施的技术。该技术利用云服务商提供的API自动化接口与匿名注册机制,快速创建虚拟私有服务器(VPS)、存储桶或容器实例,并通过多层网络隔离与加密通信机制切断资源与攻击者的物理关联。攻击者通常会选择支持隐私保护支付方式的云平台,利用一次性电子邮箱与虚拟手机号完成账户注册,同时在资源使用周期结束后立即销毁实例,形成基础设施的"即用即弃"模式。 | |
| .002 | 僵尸网络节点租赁 | 僵尸网络节点租赁(Botnet Node Leasing)是指攻击者通过暗市租用已感染的物联网设备或终端主机作为攻击基础设施的技术。该技术利用现有僵尸网络运营商提供的分布式节点池,通过按需租用方式获取具备真实用户行为特征的网络资源。租用的节点通常已植入隐蔽性极强的持久化恶意软件,能够提供代理转发、数据存储或分布式计算等多样化服务,且节点地理位置分布与网络环境具有高度随机性。 | |
| .003 | 合法内容分发网络寄生托管 | 合法内容分发网络寄生托管(Legitimate CDN Parasitic Hosting)是通过渗透或滥用主流内容分发网络(CDN)服务,将恶意负载托管在CDN边缘节点实现基础设施隐匿的技术。攻击者利用CDN服务商提供的缓存机制与SSL证书托管功能,将恶意脚本、钓鱼页面或C2服务器接口嵌入CDN资源分发体系。通过伪造合法的数字证书与域名配置,使得恶意内容通过全球分布的CDN节点进行分发,并与正常网站资源混合传输。 | |
| .004 | 动态域名生成算法注册 | 动态域名生成算法注册(DGA-Based Domain Registration)是攻击者利用算法批量生成并注册域名,构建动态变化的基础设施网络的技术。该技术通过预设的随机数种子与时间同步机制,周期性生成大量伪随机域名并完成注册,形成难以预测的域名解析体系。攻击基础设施的核心服务(如C2服务器)通过动态切换域名实现连接点的持续迁移,同时结合DNS隐蔽通道技术增强通信的隐蔽性。 | |
| T1588 | 获取能力 | 获取能力指攻击者通过购买、窃取或租赁等方式获取攻击所需资源(包括恶意软件、漏洞利用工具、数字证书等)的战术阶段。与传统自主开发模式不同,该技术依赖第三方资源供应链降低自身暴露风险,涉及暗网交易、供应链渗透、证书伪造等多种手段。防御方可通过分析恶意代码特征关联性、监控证书异常签发行为、追踪云资源滥用模式等手段进行检测,但受限于攻击活动的跨平台特性和匿名化设计,实际检测效能面临严峻挑战。 | |
| .001 | 暗网市场隐蔽交易 | 暗网市场隐蔽交易(Darknet Marketplace Covert Procurement)指攻击者通过Tor网络、I2P等匿名通信协议接入暗网交易平台,利用加密货币支付手段购买恶意软件、漏洞利用工具及敏感数据。该技术通过暗网市场的匿名交易机制,将能力获取行为与攻击者真实身份进行物理隔离,同时借助区块链技术的不可追踪特性完成资金流转。交易过程中采用多层加密通信与临时身份认证机制,确保买卖双方信息仅在交易周期内有效,交易完成后立即销毁所有交互痕迹。 | |
| .002 | 供应链污染式能力注入 | 供应链污染式能力注入(Supply Chain Contamination-based Capability Injection)是通过渗透软件供应链合法节点,将恶意功能植入商业产品实现攻击资源隐蔽获取的技术。攻击者通过入侵软件开发工具链(如编译器、代码库)、劫持软件更新服务器或贿赂内部人员,在合法软件分发流程中注入后门模块、漏洞利用工具或伪造证书。该技术利用软件供应链的信任传递机制,使恶意代码随正常业务操作扩散至下游用户,在规避安全检测的同时建立持久化能力获取通道。 | |
| .003 | 跨平台证书签名伪造获取 | 跨平台证书签名伪造获取(Cross-Platform Certificate Signature Forgery)是通过窃取或伪造数字证书实现恶意软件合法化分发的技术手段。攻击者利用证书颁发机构(CA)的验证漏洞或入侵企业证书管理系统,获取有效代码签名证书私钥,对自主开发的恶意软件进行合法签名。同时采用多平台证书交叉签名策略,针对Windows、Linux、移动端等不同系统生成对应签名,使恶意载荷在不同环境中均呈现可信验证状态,降低安全软件的告警概率。 | |
| .004 | 时间离散化资源租赁 | 时间离散化资源租赁(Time-Decoupled Resource Leasing)是通过短期租用云端资源实现攻击能力按需获取的技术。攻击者利用云计算平台的弹性服务模型,采用自动化脚本在多个服务商处动态创建临时实例,通过API接口快速部署攻击工具链(如漏洞扫描器、密码破解集群),任务完成后立即销毁相关资源。租赁过程采用伪造身份信息、虚拟信用卡和一次性IP地址,结合资源使用的时间窗口控制,使攻击能力获取行为分散在不同时间段的合法云业务流量中。 | |
| T1650 | 获取访问权限 | 获取访问权限是指攻击者通过购买或交换方式获得已入侵系统的控制权,通常借助初始访问代理网络或暗网交易市场实现。传统防御手段主要通过监控异常登录行为、分析网络访问模式来检测非法访问,但由于交易过程多发生在目标组织可视范围之外,防御方往往只能在攻击者实际使用所购权限时进行事后检测。 | |
| .001 | 暗网隐蔽交易访问权限 | 暗网隐蔽交易访问权限(Darknet Obfuscated Access Trading)是指攻击者通过暗网市场使用加密通信协议和匿名加密货币,与初始访问代理(Initial Access Brokers)进行受控系统访问权限交易的技术。该技术利用Tor网络、I2P等匿名通信层构建交易环境,结合区块链钱包地址混淆资金流向,使得权限交易过程在暗网论坛、加密聊天频道等隐蔽渠道完成。交易内容通常采用多层加密的JSON或XML格式封装,包含C2服务器凭证、Webshell访问路径等核心数据,确保交易双方身份与交易细节的双向隐匿。 | |
| .002 | 合法服务伪装访问交易 | 合法服务伪装访问交易(Legitimate Service Camouflaged Access Trading)是一种将权限交易行为嵌入合规云服务交互的高级匿迹技术。攻击者利用主流云计算平台(如AWS Marketplace)、开源代码托管站(如GitHub Gist)或社交媒体API(如Telegram Bot)作为交易载体,将受控系统访问凭证以加密数据块形式隐藏在正常业务数据流中。例如在云存储服务的文件元数据字段中植入Base64编码的C2配置信息,或通过社交媒体私信的隐写术传递SSH密钥片段,实现权限交易流量与合法服务流量的深度耦合。 | |
| .003 | 供应链污染型权限获取 | 供应链污染型权限获取(Supply Chain Contamination Access Acquisition)是通过污染软件供应链间接获取目标系统访问权限的复合匿迹技术。攻击者向开源组件库(如npm、PyPI)、CI/CD工具链或硬件固件更新渠道植入恶意代码,在目标组织执行正常供应链操作时,自动建立隐蔽访问通道。例如在第三方库依赖项中嵌入具备零日漏洞利用能力的加载器,当目标开发人员引入该依赖时,触发漏洞在构建服务器部署Webshell,形成合法软件更新流程掩护下的持久化访问入口。 | |
| .004 | 僵尸网络租赁隐蔽接入 | 僵尸网络租赁隐蔽接入(Botnet Leasing Stealth Access)是通过短期租用僵尸网络节点实施访问权限获取的分布式匿迹技术。攻击者从暗网僵尸网络即服务(BaaS)平台租用经过反取证处理的受控设备,利用其作为跳板发起定向渗透。租约期内,攻击者通过多级加密隧道操控僵尸节点,使用节点本地的合法工具(如PsExec、WinRM)进行横向移动,最终在目标网络建立由僵尸节点中转的隐蔽C2通道,实现访问权限的"清洁化"获取。 | |
| T1497 | 虚拟化/沙盒规避 | 虚拟化/沙盒规避技术是攻击者用于检测并逃避虚拟化环境或沙盒分析的关键对抗手段,通过识别分析环境特征改变恶意代码行为,防止核心功能暴露。传统检测方法依赖静态环境特征比对(如特定注册表项、进程列表),防御方可利用行为监控、硬件指纹混淆等技术进行应对。但随着对抗升级,攻击者发展出更隐蔽的规避手法,形成多维立体的环境感知与动态适应体系。 | |
| .001 | 环境指纹动态检测 | 环境指纹动态检测(Dynamic Environment Fingerprint Detection)是一种通过实时采集系统运行特征识别虚拟化或沙盒环境的高阶规避技术。该技术构建多层次检测指标体系,涵盖硬件特征(如CPU指令集差异)、软件配置(如特定驱动文件)、运行时行为(如内存分配模式)等维度,采用多因子加权决策模型判断当前执行环境属性。区别于传统静态特征检测,其通过注入探针代码实时捕获系统调用轨迹,结合机器学习算法动态生成环境可信度评分,在保持检测精度的同时避免触发沙盒监控机制。 | |
| .002 | 沙盒环境感知型代码混淆 | 沙盒环境感知型代码混淆(Sandbox-Aware Code Obfuscation)是一种根据运行时环境特征动态调整代码结构的自适应混淆技术。该技术构建包含控制流扁平化、指令集随机化、元数据剥离等多重混淆策略的策略库,在代码加载阶段通过环境探针检测结果选择最优混淆方案。当检测到沙盒监控迹象时,自动启用深度混淆模式,插入大量无害代码分支干扰控制流分析;在真实用户环境则降低混淆强度以提升执行效率。 | |
| T1125 | 视频捕获 | 视频捕获指攻击者通过操控摄像头设备或相关应用程序非法获取视觉信息的行为,通常利用系统API或驱动漏洞实现视频流窃取。传统检测手段依赖于监控可疑进程的摄像头调用行为、异常视频文件生成模式或未授权设备激活事件,防御措施包括实施摄像头硬件指示灯强制开启策略、部署API调用行为分析系统等。 | |
| .001 | 合法应用API劫持捕获 | 合法应用API劫持捕获(Legitimate Application API Hijacking Capture)是一种通过寄生在系统可信进程内实施视频窃取的技术。攻击者利用动态链接库注入、进程空洞或COM劫持等方式,将恶意代码植入具有摄像头调用权限的合法应用程序(如视频会议软件、浏览器插件),通过劫持其视频采集API接口实现隐蔽操作。该技术利用白名单进程的合法数字签名和常规行为特征,规避基于进程可信度的检测机制。 | |
| .002 | 加密视频流实时传输 | 加密视频流实时传输(Encrypted Video Stream Live Transmission)是一种在数据层实现端到端隐匿的视频窃取技术。攻击者在视频采集阶段即对原始帧数据进行分块加密,通过自定义协议将加密数据包混入合法网络流量(如HTTPS隧道或视频会议数据流),实现实时传输过程中的内容与传输特征双重隐匿。该技术突破传统"先存储后外传"模式,避免本地留存视频文件引发的反病毒扫描风险。 | |
| T1652 | 设备驱动程序探测 | 设备驱动程序探测是攻击者通过枚举系统加载的驱动信息来识别安全防御机制、虚拟化环境或潜在漏洞的侦察技术。攻击者通常利用系统内置工具(如Windows的driverquery或Linux的lsmod)、API接口或注册表查询获取驱动版本、加载状态及关联服务等情报,为后续权限提升或防御规避提供支撑。传统防御手段主要依赖驱动加载监控、系统工具行为分析以及注册表变更检测等技术,通过识别非常规驱动查询行为或异常API调用模式进行威胁发现。 | |
| T1134 | 访问令牌操控 | 访问令牌操控是攻击者通过篡改进程安全上下文实现权限提升的关键技术,其核心在于利用Windows身份验证机制的设计特性,通过令牌窃取、复制或伪造等手段,使恶意进程获得超出其原始权限的资源访问能力。传统防御手段主要依赖进程行为审计(如检测异常父-子进程关系)、令牌完整性校验(验证令牌签名及权限变更记录)以及用户账户控制(UAC)机制,通过监控敏感API调用(如DuplicateTokenEx)和异常权限变更事件来识别攻击行为。 | |
| .001 | 进程继承令牌注入 | 进程继承令牌注入(Process Inheritance Token Injection)是一种通过篡改进程创建机制实现权限提升的隐蔽攻击技术。攻击者利用Windows进程树继承规则,将高权限令牌注入到新创建的子进程中,使得子进程在表面继承父进程身份的同时,实际执行权限与令牌持有者分离。该技术通过劫持合法进程的创建流程,在不触发安全告警的情况下完成权限上下文切换,规避传统基于进程行为一致性的检测机制。 | |
| .002 | 动态令牌上下文克隆 | 动态令牌上下文克隆(Dynamic Token Context Cloning)是一种基于实时上下文捕获的令牌操控技术。攻击者通过Hook系统身份验证组件,在目标用户执行特权操作时动态捕获其完整安全上下文(包括组令牌、特权列表及会话密钥),并将该上下文克隆至攻击进程。与静态令牌窃取不同,该技术聚焦于捕捉处于活跃状态的瞬时身份凭证,确保克隆令牌与当前系统安全策略保持同步,有效规避基于令牌有效期或会话状态的检测机制。 | |
| .003 | 跨会话令牌桥接 | 跨会话令牌桥接(Cross-Session Token Bridging)是针对多用户环境设计的横向移动匿迹技术。攻击者通过解析内核对象目录结构,定位其他用户会话的令牌对象,并利用进程迁移技术将当前攻击线程关联至目标令牌。该技术突破Windows会话隔离机制,实现不同安全域之间的权限渗透,同时保持攻击进程在原始会话中的低权限表象,形成"跨域隐身"的攻击效果。 | |
| .004 | 可信进程链令牌伪装 | 可信进程链令牌伪装(Trusted Process Chain Token Masquerade)是通过构建虚假进程继承链实现深度隐匿的令牌操控技术。攻击者伪造进程创建记录,使高权限进程在安全日志中显示为由系统核心组件(如services.exe)或可信应用程序派生,同时通过篡改进程环境块(PEB)中的父进程信息,确保进程树监控工具无法识别真实攻击来源。该技术结合令牌窃取与进程链伪造,形成多维度的身份伪装体系。 | |
| T1622 | 调试器规避 | 调试器规避是攻击者检测并规避调试分析环境的关键对抗技术,涉及对系统调试接口、运行时环境和时序特征的深度利用。传统防御依赖于监控敏感API调用(如IsDebuggerPresent)和分析异常进程行为(如频繁环境检查),通过行为沙箱或动态污点分析捕获反调试企图。现代终端检测与响应(EDR)系统可结合机器学习模型识别可疑的调试器交互模式。 | |
| T1657 | 财务窃取 | 财务窃取是攻击者通过技术手段或社会工程非法转移资金资产的行为,涵盖勒索软件加密勒索、商业邮件欺诈、加密货币盗窃等多种形态。传统防御主要依赖交易异常检测(如大额转账监控)、身份验证强化(多因素认证)以及区块链地址黑名单等手段,通过分析资金流动模式识别可疑活动。 | |
| T1087 | 账号发现 | 账号发现是攻击者通过枚举系统或环境中有效账户信息来支持后续攻击的关键侦察技术,涉及本地系统账户、域账户、云服务账户等多类目标的识别。传统检测手段通过监控账户管理命令(如net user)、异常API调用模式以及高频查询行为进行防御,重点关注进程创建日志、身份验证事件和目录服务操作等数据源。 | |
| .001 | 合法API接口伪装查询 | 合法API接口伪装查询(Legitimate API Interface Camouflage Query)是一种利用目标系统或云平台提供的标准接口实施隐蔽账户枚举的技术。攻击者通过模拟合法客户端行为,调用系统内置的账户管理API(如Azure AD Graph API、AWS IAM ListUsers接口),将恶意查询请求伪装成正常的业务操作。该技术充分利用现代IT架构中API接口普遍存在的特性,通过精确控制请求参数和调用频率,使账户枚举行为融入日常运维流量,规避基于异常接口调用的检测机制。 | |
| .002 | 凭证模糊化异步遍历 | 凭证模糊化异步遍历(Credential Obfuscation Asynchronous Traversal)是一种基于模糊查询和分布式任务调度的隐蔽账户探测技术。攻击者通过构造非精确查询条件(如部分匹配用户名、模糊邮箱域名),利用目标系统账户检索功能的容错机制,以多线程异步方式实施分布式低强度探测。该技术避免传统账户枚举中高频精准匹配的特征,通过将单次高风险的枚举操作转化为大量低置信度查询,在获取有效账户信息的同时规避基于请求模式识别的防御系统。 | |
| .003 | 元数据隐蔽提取技术 | 元数据隐蔽提取技术(Metadata Stealth Extraction)是一种通过解析非结构化数据中的账户痕迹实现隐蔽信息收集的方法。攻击者利用目标系统日志文件、文档属性、缓存数据等非敏感数据源,通过深度内容挖掘提取潜在账户信息。该技术规避了直接查询账户数据库或API接口的风险,通过合法文件访问操作获取敏感信息,显著降低行为异常性。 | |
| T1586 | 账号妥协 |
账号妥协指攻击者通过非法手段获取合法用户凭证以渗透目标系统的行为,传统手段包括钓鱼邮件、暴力破解等。防御措施通常依赖多因素认证、异常登录检测(如地理异常、设备指纹突变)以及凭证泄露监控。然而,随着攻击者匿迹技术的演进,传统基于规则匹配与单点日志分析的防御体系面临严峻挑战。 为规避账号异常行为检测,攻击者发展出多维度的匿迹技术,通过身份伪造、攻击链解耦、行为模式伪装等策略,将凭证窃取与滥用过程深度融入正常业务交互,显著降低了攻击行为的可观测性。 当前账号妥协匿迹技术的共性在于"身份可信化"与"攻击去特征化"。攻击者通过构建虚拟身份的社会资本降低防御警惕性,利用分布式架构与低频策略稀释行为异常性,并依托地下数据生态实现非接触式攻击:凭证钓鱼隐蔽投递将恶意负载嵌入合法业务流程,利用通信加密与链路混淆规避内容审查;分布式低频爆破通过全球节点协同与节奏控制,使单次登录尝试在时空维度呈现随机分布特征;第三方凭证库接入技术完全剥离攻击者与目标的直接交互,利用暗网数据流通的匿名性切断溯源路径;社交工程仿冒则通过数字身份克隆构建信任背书,使得恶意行为获得合法交互的外在表征。这些技术共同实现了攻击链的"表面合法化"与"意图模糊化",使得传统基于已知IOC或单维度行为规则的检测机制失效。 匿迹技术的普及迫使防御体系向身份行为基线建模、跨域关联分析方向演进,需整合UEBA、暗网情报监测与社交图谱分析能力,构建覆盖凭证全生命周期的动态防护机制。 |
|
| .001 | 凭证钓鱼隐蔽投递 |
凭证钓鱼隐蔽投递(Credential Phishing Stealth Delivery)是一种通过隐蔽通信通道与协议混淆技术实现钓鱼攻击匿迹化的手段。攻击者将传统钓鱼链接或恶意附件嵌入合法服务通知、加密文档或社交媒体动态中,利用HTTPS加密传输、动态短链跳转、二维码图像隐写等技术,规避邮件网关与终端检测系统的审查。例如,通过云存储平台共享加密文档,在文档内嵌钓鱼链接,利用合法服务的可信度降低安全策略拦截概率。 该技术的匿迹核心在于"合法载体复用"与"交互链路去特征化"。攻击者选取目标组织日常高频使用的通信媒介(如企业邮箱、协作平台消息),将钓鱼内容与正常业务交互深度耦合。通过多层URL重定向与域名托管服务轮换,剥离钓鱼链路的直接关联性;采用时间敏感型短链或一次性访问令牌,确保攻击痕迹自动消除。在内容伪装层面,结合目标行业特征定制钓鱼模板,匹配真实业务场景的视觉元素与交互逻辑,使得恶意请求与常规操作在行为轨迹上无法区分。技术实现需解决钓鱼载荷的动态加载、反沙箱检测及跨平台兼容性,最终形成"表面合法、内在恶意"的复合型攻击通道。 |
|
| .002 | 分布式低频凭证爆破 |
分布式低频凭证爆破(Distributed Low-Frequency Credential Stuffing)是一种通过分布式节点协同与爆破节奏控制实现隐匿攻击的技术。攻击者将传统集中式暴力破解任务拆解为多个低强度子任务,通过僵尸网络或云函数集群在全球范围分发执行,每个节点采用低频率尝试策略(如每小时1-2次),并动态轮换代理IP与用户代理字符串,使单节点行为特征低于安全系统的检测阈值。 该技术的匿迹机制基于"攻击粒度细化"与"行为特征稀释"。通过分布式架构将单次大规模爆破分解为长期、分散的试探性登录,利用不同地理区域的网络基线差异掩盖异常流量。节点间采用区块链化任务调度协议,确保攻击指令不可追溯;爆破参数实时适配目标系统的登录策略(如验证码触发阈值),动态调整尝试间隔与凭证组合策略。同时,攻击流量模拟真实用户的登录失败模式,在错误次数、时间分布等维度与正常行为对齐,规避基于统计异常检测的防御机制。 |
|
| .003 | 第三方凭证库隐蔽接入 |
第三方凭证库隐蔽接入(Third-Party Credential Repository Covert Access)指攻击者通过暗网市场、加密通信渠道或区块链匿名交易获取已泄露凭证,避免直接实施凭证破解或钓鱼行为的技术。该技术利用地下经济生态中流通的海量历史泄露数据,通过自动化工具筛选与目标组织关联的凭证(如员工邮箱密码组合),并结合密码复用规律生成衍生凭证库,实现"非接触式"账号渗透。 匿迹效果源于攻击链的间接性与数据源的合法性混淆。攻击者通过Tor网络或隐私币支付接入地下凭证市场,利用加密货币混币服务切断资金溯源路径。获取凭证后,采用中间跳板服务器进行登录验证,避免暴露真实攻击基础设施。技术实施需构建自动化凭证有效性验证管道,通过分布式代理节点测试凭证可用性,并将成功结果加密回传至匿名存储节点。整个过程剥离了攻击者与目标系统的直接交互,使防御方难以通过日志分析关联攻击事件。 |
|
| .004 | 社交工程身份仿冒 |
社交工程身份仿冒(Social Engineering Identity Spoofing)是通过深度伪造与身份嫁接技术构建可信虚拟身份,以降低目标警惕性的账号渗透手段。攻击者在社交平台或企业协作系统中创建高仿账号,利用AI生成的个人资料、动态内容与社交关系网络,模拟真实员工或合作伙伴身份,通过"信任传递"机制诱导目标泄露凭证或授予权限。 该技术的匿迹性体现在身份维度的"数字孪生"构建。攻击者通过开源情报(OSINT)收集目标组织架构、沟通话术与业务流程,训练自然语言生成模型模拟特定角色的通信风格;利用深度伪造技术合成语音、视频等生物特征验证素材。在实施过程中,采用渐进式信任建立策略,先通过低风险交互(如邮件咨询)积累可信度,再逐步诱导敏感操作。技术关键点在于身份数据的实时更新与行为模式的自适应调整,确保仿冒账号的活动轨迹与真实用户基线一致,规避基于异常行为分析的检测系统。 |
|
| T1098 | 账号操控 | Adversaries may manipulate accounts to maintain and/or elevate access to victim systems. Account manipulation may consist of any action that preserves or modifies adversary access to a compromised account, such as modifying credentials or permission groups. These actions could also include account activity designed to subvert security policies, such as performing iterative password updates to bypass password duration policies and preserve the life of compromised credentials. | |
| .001 | 凭证增量更新 | 凭证增量更新(Credential Incremental Update)是一种通过周期性微调账户认证信息实现权限维持的隐蔽攻击技术。攻击者在控制目标账户后,以合规密码策略为掩护,通过多次小幅度修改密码属性(如密码复杂度、有效期),逐步将初始攻击凭证转换为符合目标安全策略的合法凭证。该技术利用密码管理系统的策略执行机制,在防御方视角下呈现为正常的账户维护行为,从而规避基于单次异常凭证修改的检测规则。 | |
| .002 | 权限克隆 | 权限克隆(Permission Cloning)是通过复制合法账户权限配置实现特权提升的隐蔽攻击技术。攻击者通过分析目标域内高价值账户的权限配置,在受控账户上创建具有相同安全标识符(SID)或组成员关系的虚拟权限结构,而非直接修改显式权限列表。该技术利用操作系统权限验证机制的漏洞,使受控账户在权限校验时被识别为高特权账户,同时避免在审计日志中留下显式的权限变更记录。 | |
| .003 | 影子令牌生成 | 影子令牌生成(Shadow Token Generation)是通过伪造或劫持身份认证令牌实现持久化访问的技术。攻击者利用OAuth、Kerberos等协议的设计特性,在合法认证流程中注入恶意参数生成具有长期效力的隐蔽访问令牌。这些令牌在权限授予层面与正常业务令牌具有相同属性,但包含隐藏的提权作用域或备用访问路径,可在不触发令牌审计机制的情况下实现越权操作。 | |
| .004 | 服务账户寄生 | 服务账户寄生(Service Account Parasitism)是通过劫持系统服务账户上下文实施隐蔽权限操纵的技术。攻击者利用服务控制管理器(SCM)的配置漏洞,将恶意操作嵌入服务账户的合法任务执行流程,使权限变更行为继承服务账户的安全上下文和审计特征。该技术特别针对具有SeTcbPrivilege等高权限的服务账户,通过寄生其运行环境实现特权操作的深度伪装。 | |
| T1531 | 账号访问移除 | 账号访问移除是指攻击者通过删除、锁定或篡改凭证等手段阻断合法用户账户访问权限的攻击技术,通常作为勒索攻击或数据破坏行动的前置步骤。传统检测方法依赖进程监控(如net.exe、PowerShell使用模式)和Windows事件日志分析(ID 4723/4724/4726/4740),但存在误报率高、响应滞后等缺陷。防御方需结合用户行为基线分析,将账户变更事件与其它攻击指标进行关联研判。 | |
| .001 | 凭证操作日志伪装 | 凭证操作日志伪装(Credential Operation Log Camouflage)是一种通过伪造合法凭证操作记录实现隐蔽账户控制的技术。攻击者在执行账户密码修改、权限变更或账户删除操作时,同步篡改或注入伪造的日志条目,使安全审计系统记录的账户变更事件与正常管理员操作记录具有相同的元数据特征。该技术通过深度解析目标系统的日志生成机制,精确模拟合法操作的日志格式、时间戳序列和操作上下文,确保恶意操作在日志审计层面呈现合规性特征。 | |
| .002 | 系统管理工具链寄生执行 | 系统管理工具链寄生执行(System Management Toolchain Parasitic Execution)是一种利用合法系统管理工具和运维流程实施隐蔽账户控制的技术。攻击者通过劫持目标环境中已授权的管理工具(如Microsoft SCCM、Ansible等),将恶意账户操作指令嵌入标准化运维任务中,利用工具链自身的权限继承和日志脱敏特性实现攻击隐匿。该技术通过混淆恶意操作与日常系统维护行为的边界,使得账户访问移除操作在进程树、权限上下文和网络通信层面均呈现合法特征。 | |
| .003 | 分布式时间延迟账户锁定 | 分布式时间延迟账户锁定(Distributed Time-Delayed Account Lockout)是一种通过时空维度解耦攻击链的隐蔽账户封锁技术。攻击者将账户锁定任务分解为多个低强度操作指令,通过受控的分布式节点在长时间跨度内分阶段实施,避免触发基于单节点高频账户变更的检测规则。该技术结合了僵尸网络控制与智能任务调度算法,使每个节点执行的账户操作在时间、空间和操作模式上均符合正常用户行为特征。 | |
| T1496 | 资源劫持 | 资源劫持是攻击者非法控制受害系统计算资源以执行加密货币挖矿、代理转发等恶意活动的技术手段。其通过滥用CPU、GPU、内存等资源,不仅影响系统性能,还可能破坏关键业务运行。传统防御手段主要通过监控异常资源占用率(如持续高CPU使用)、检测已知挖矿软件特征,或分析异常网络连接(如矿池通信)进行识别。 | |
| .001 | 容器化隐匿劫持 | 容器化隐匿劫持(Containerized Stealth Hijacking)是一种利用容器虚拟化技术实施资源窃取的隐蔽攻击方法。攻击者通过渗透云原生环境,在合法容器集群中部署恶意负载(如加密货币挖矿程序),利用容器编排系统的资源调度机制隐藏异常活动。该技术通过容器镜像签名伪造、资源配额伪装、微服务架构掩护等手段,将恶意进程与业务容器混同运行,规避基于主机层监控的检测机制。 | |
| .002 | 合法进程注入劫持 | 合法进程注入劫持(Legitimate Process Injection Hijacking)是一种通过代码注入技术劫持系统资源的高级攻击方式。攻击者将恶意负载(如加密矿工程序)注入到可信进程(如浏览器、办公软件)的内存空间,复用宿主进程的资源和权限执行非法计算任务。该技术通过进程空心化(Process Hollowing)、线程劫持(Thread Hijacking)等方式,使恶意代码的执行过程完全依附于合法进程,规避基于进程树分析的检测机制。 | |
| .003 | 动态资源配额调整劫持 | 动态资源配额调整劫持(Dynamic Resource Quota Hijacking)是一种基于智能算法的自适应资源窃取技术。攻击者通过实时监控宿主系统的资源使用状态,动态调整恶意负载的计算强度,使整体资源消耗始终维持在系统负载的弹性区间内。该技术结合机器学习模型预测目标系统的空闲资源窗口,在业务低谷期提升计算强度,在业务高峰期主动降频,避免触发基于资源阈值的异常告警。 | |
| T1518 | 软件发现 | 软件发现是攻击者通过枚举系统或云环境中安装的软件及其版本来收集情报的技术,通常用于识别潜在攻击面(如存在漏洞的软件版本)或安全防护措施(如杀毒软件)。传统检测方法通过监控进程创建事件、命令行参数特征以及异常API调用序列来识别恶意枚举行为,防御措施侧重限制敏感工具的访问权限和实施最小特权原则。 | |
| .001 | 合法管理工具劫持 | 合法管理工具劫持(Legitimate Management Tool Hijacking)指攻击者通过劫持系统内置管理组件(如WMIC、PowerShell)执行软件枚举操作的技术。该技术通过调用操作系统原生接口获取软件信息,将恶意查询指令封装在合法管理命令中,利用白名单机制绕过应用控制策略。攻击者通常会构造复合型命令脚本,将软件发现任务与系统维护操作混合执行,实现恶意行为的上下文伪装。 | |
| .002 | 软件信息碎片化嗅探 | 软件信息碎片化嗅探是一种基于旁路数据聚合的渐进式软件识别技术。攻击者通过收集目标系统产生的碎片化版本痕迹(如软件更新临时文件、崩溃报告元数据、浏览器用户代理字符串),结合跨平台的关联分析,逐步构建完整的软件清单。例如:解析Windows事件日志中的.NET Framework加载记录、提取Linux包管理器缓存中的部分事务ID、捕获网络流量中的TLS协议指纹等,通过多源异构数据的融合分析推断出安装的软件及其版本。 | |
| T1072 | 软件部署工具 | 软件部署工具是企业用于自动化软件分发、配置管理和系统更新的核心运维组件,攻击者通过滥用此类工具的远程执行和网络访问权限实施横向移动、持久化控制等恶意活动。传统防御手段主要通过审计部署日志、监控异常任务触发、分析进程行为链等方式检测攻击,重点识别未经授权的软件包、非常规时段部署活动及异常系统权限变更。 | |
| .001 | 合法部署流程伪装 | 合法部署流程伪装(Legitimate Deployment Process Camouflage)是通过仿冒正常软件部署任务实施攻击的隐蔽技术。攻击者通过分析目标企业的标准化部署流程,将恶意指令嵌入计划任务、补丁安装脚本或配置变更操作中,利用部署工具的任务调度功能实现攻击行为的合法化伪装。例如在系统更新任务中插入内存驻留代码,或通过组策略对象(GPO)修改触发恶意模块加载,使攻击行为与日常运维操作具有相同的进程树结构和资源访问模式。 | |
| .002 | 低频间歇式部署 | 低频间歇式部署(Low-Frequency Intermittent Deployment)是针对持续集成/持续交付(CI/CD)管道设计的隐蔽攻击技术。攻击者通过将大规模恶意部署任务分解为多个低频率、小批量的子任务,利用部署系统的灰度发布机制逐步渗透目标网络。该技术通过延长攻击周期、降低单次部署规模,使恶意活动隐藏在正常的滚动更新、A/B测试等业务场景中,规避基于部署频率和规模阈值的检测规则。 | |
| T1105 | 输入工具传输 | 输入工具传输指攻击者将恶意工具或文件从外部系统导入受控环境的网络攻击技术,是网络杀伤链中资源投递阶段的核心手段。传统技术多使用FTP、HTTP等标准协议进行明文传输,易被基于协议特征识别或文件哈希匹配的检测系统发现。防御方通常通过监控异常文件创建事件、分析网络流量协议合规性以及检测非常用端口通信等手段进行对抗,重点识别未经授权的文件下载行为及非常用协议的使用。 | |
| .001 | 分块加密多协议传输 | 分块加密多协议传输(Chunked Encrypted Multi-Protocol Transfer)是一种通过将恶意载荷分割为加密数据块,并利用多种网络协议进行交替传输的高级文件传输技术。该技术通过动态切换传输协议(如HTTP、DNS、ICMP等),将加密后的数据片段伪装成不同协议的合法通信内容,同时采用会话劫持或协议隧道技术实现跨协议数据重组。攻击者通常在传输过程中引入随机延时和冗余数据包,以规避基于流量连续性分析的检测机制。 | |
| .002 | 合法云存储同步劫持 | 合法云存储同步劫持(Legitimate Cloud Storage Sync Hijacking)是一种通过滥用商业云存储服务的文件同步机制实现隐蔽传输的技术。攻击者通过窃取或伪造用户凭证登录主流云存储平台(如OneDrive、Dropbox),将恶意工具伪装成合法文件上传至同步目录,利用云服务客户端自动同步功能将文件分发至受控主机。该技术通过将恶意传输过程融入企业日常文件协作场景,有效规避基于异常协议或非常用端口的检测。 | |
| .003 | 合法协议隧道化传输 | 合法协议隧道化传输(Legitimate Protocol Tunneling)是一种通过标准协议封装实现隐蔽数据传输的技术。攻击者利用常见应用层协议(如HTTP/2、SMTP、DNS)建立双向通信隧道,将工具传输流量伪装成协议规定的合法交互。例如,在HTTP/2流中嵌入自定义二进制载荷,或利用DNS查询响应传递分片数据。该技术通过深度协议合规性伪装,规避网络层深度包检测。 | |
| T1056 | 输入捕获 | 输入捕获是攻击者通过截获用户输入数据(如键盘记录、屏幕捕获等)获取敏感信息的攻击技术,涉及从硬件驱动层到应用层的多级数据截取。传统检测方法主要通过监控系统API调用模式(如SetWindowsHookEx)、分析驱动程序签名完整性以及检测异常进程内存行为等手段识别攻击行为。防御措施包括实施用户输入通道加密、强化驱动签名验证机制以及部署行为沙箱分析系统。 | |
| .001 | 内存驻留无文件键盘记录 | 内存驻留无文件键盘记录(Memory-Resident Fileless Keylogging)是一种通过直接注入恶意代码至系统内存空间实现输入捕获的高级技术。该技术利用进程注入、内存驻留等技术手段,将键盘监控模块驻留在合法进程内存中,避免在磁盘生成可检测的恶意文件。通过挂钩系统消息循环或输入设备驱动接口,实时截获用户击键事件,并将数据缓存在非结构化内存区域,仅在特定触发条件下进行数据外传,从而规避传统基于文件特征扫描的检测机制。 | |
| .002 | 合法输入接口劫持 | 合法输入接口劫持(Legitimate Input Interface Hijacking)是一种通过篡改系统合法输入处理组件实现隐蔽输入捕获的技术。攻击者通过逆向分析目标系统的输入设备驱动、身份认证接口或可信服务模块,将恶意代码植入其数据处理流程,利用系统预设的信任机制掩盖输入截获行为。典型实现包括伪造HID类驱动过滤回调、劫持生物特征认证中间件或寄生在输入法框架服务中,使输入数据的非法截取过程完全遵循系统预设的安全协议规范。 | |
| .003 | 加密通道实时数据回传 | 加密通道实时数据回传(Encrypted Channel Real-Time Exfiltration)是针对输入捕获数据外传环节设计的隐蔽传输技术。该技术采用实时流式加密与协议隧道相结合的方式,将截获的输入数据分割为多个加密数据包,通过HTTPS、DNS over TLS等加密协议进行即时传输。通过动态密钥协商机制和前向保密技术,确保每个会话使用独立加密参数,同时利用CDN节点或云服务中转数据流,使外传行为在流量层面与合法业务通信无法区分。 | |
| .004 | 用户空间钩子动态伪装 | 用户空间钩子动态伪装(User-space Hook Dynamic Camouflage)是一种通过动态变换钩子位置实现持续隐蔽的输入截获技术。该技术利用地址空间布局随机化(ASLR)对抗技术,在目标进程的用户空间内建立多个冗余钩子点,并根据防御检测状态动态切换激活钩子。通过监控安全产品的扫描行为,实时调整钩子植入位置和劫持方式,确保输入截获模块始终位于防御方检测盲区。 | |
| T1057 | 进程发现 | 进程发现是攻击者通过枚举系统运行进程获取环境信息的技术,通常使用系统内置工具或API调用来识别关键进程(如安全软件、监控代理),为后续权限提升、防御规避或横向移动提供情报支撑。防御方可通过监控敏感API调用、分析异常命令行参数、检测非常规进程树结构等手段进行防护,重点关注低权限账户执行系统级进程查询、多进程信息批量导出等异常行为。 | |
| .001 | 内存驻留规避扫描 | 内存驻留规避扫描(Memory-Resident Evasion Scanning)是一种通过完全驻留内存执行进程发现操作的技术。该技术利用无文件攻击原理,将进程枚举代码注入到合法进程的内存空间中运行,避免在磁盘留下可检测的恶意文件。通过调用系统原生API(如Windows的NtQuerySystemInformation或Linux的/proc虚拟文件系统接口),直接从内存中提取进程列表及详细信息,同时采用动态内存擦除机制,确保每次操作后清除内存痕迹。该技术有效规避了传统基于磁盘特征扫描和进程创建日志的检测手段。 | |
| .002 | 合法系统工具滥用 | 合法系统工具滥用(Legitimate System Tool Abuse)指攻击者利用操作系统内置管理工具执行进程发现操作的技术。通过调用系统预装的命令行工具(如Windows的tasklist、PowerShell的Get-Process,或Linux的ps命令),构造符合正常运维场景的查询参数,将恶意进程发现行为伪装成系统管理员的标准操作。攻击者会精心设计命令参数组合,例如在Windows中采用tasklist /V /FO CSV格式输出,模拟自动化运维脚本的标准调用方式,同时利用工具本身的数字签名绕过应用程序白名单检测。 | |
| .003 | 进程树注入发现 | 进程树注入发现(Process Tree Injection Discovery)是通过将进程发现代码注入到具有合法父子关系的进程链中实现隐蔽侦察的技术。攻击者首先识别目标系统中存在稳定进程继承关系的服务(如Windows服务控制管理器启动的svchost.exe实例簇),然后通过线程注入或DLL侧载等方式,在子进程创建时植入进程枚举模块。该模块随进程树自然扩展而自动执行,利用进程间的信任关系规避安全软件的子进程监控,并将发现结果通过进程间通信(IPC)通道回传至父进程。 | |
| .004 | 低频时间混淆查询 | 低频时间混淆查询(Low-Frequency Temporal Obfuscation Query)是通过随机化进程发现操作的时间分布特征实现隐匿的技术。攻击者将传统的集中式进程枚举拆解为多个微操作,以不规则时间间隔分布在数小时甚至数天内执行。每次仅查询有限数量的进程属性(如每次获取2-3个进程的CPU占用率),并通过多维度参数随机化(包括时间戳偏移、查询字段组合、输出格式变换)确保每次操作具备唯一性特征,避免触发基于行为模式匹配的检测规则。 | |
| T1055 | 进程注入 | 进程注入是攻击者将恶意代码植入合法进程内存空间以规避安全检测的技术,通过借用可信进程的权限和资源实现隐蔽攻击。传统防御手段主要监控进程创建行为、异常内存操作及可疑API调用序列,例如检测VirtualAllocEx/WriteProcessMemory组合调用或远程线程创建事件。现代终端防护系统通过内存完整性校验、行为链分析和机器学习模型识别异常进程行为。 | |
| .001 | 反射式DLL注入 | 反射式DLL注入(Reflective DLL Injection)是一种无需依赖Windows加载器机制的内存驻留技术。攻击者通过自主实现DLL映射逻辑,将恶意代码直接写入目标进程内存空间并触发执行,规避了传统DLL注入所需的磁盘文件写入和注册表操作环节。该技术通过内存操作API构建完整的PE结构映射,利用进程合法内存操作掩盖代码加载痕迹,使得安全产品难以通过文件监控或加载器行为分析发现异常。 | |
| .002 | 进程空洞注入 | 进程空洞注入(Process Hollowing)是一种通过替换合法进程内存空间实现隐蔽执行的攻击技术。攻击者首先创建处于挂起状态的合法进程,清空其主模块内存区域后注入恶意代码,并修改入口点指向注入载荷。该技术通过复用系统可信进程的上下文环境,使恶意代码执行过程具备与原始进程相同的安全上下文和资源访问权限,有效规避进程行为基线检测。 | |
| .003 | APC用户模式调度注入 | APC用户模式调度注入(APC User-Mode Scheduling Injection)是一种利用异步过程调用机制实现线程劫持的高级注入技术。攻击者通过向目标线程的APC队列插入恶意函数指针,当线程进入可告警状态时自动执行注入代码。该技术无需创建远程线程或修改进程入口点,直接利用系统调度机制实现代码执行,显著降低行为异常性。 | |
| .004 | 模块拼接注入 | 模块拼接注入(Module Stitching Injection)是一种通过动态组合多个合法模块功能实现代码执行的规避技术。攻击者将恶意功能拆解为多个符合系统规范的DLL模块,利用进程内现有模块的加载上下文动态组装功能链。各模块仅包含部分恶意功能且具备合法数字签名,通过进程内IPC机制协调执行流程,避免整体恶意特征集中暴露。 | |
| T1559 | 进程间通信 | 进程间通信(IPC)是攻击者滥用操作系统提供的进程交互机制执行恶意代码的技术,常通过组件对象模型(COM)、动态数据交换(DDE)等接口实现本地或远程代码执行。防御方通常监控异常进程创建事件、非常规DLL加载行为以及非常用IPC通道的建立,通过分析CLSID注册表修改日志和RPC接口调用模式来检测潜在攻击。 | |
| .001 | 内存驻留IPC注入 | 内存驻留IPC注入(Memory-Resident IPC Injection)是通过非文件形式将恶意代码驻留在进程内存空间,并利用合法进程间的通信通道实现隐蔽交互的技术。该技术突破传统基于文件落盘的检测机制,通过进程 Hollowing 或反射式加载将攻击载荷注入可信进程内存,借助Windows事件跟踪(ETW)或Linux ptrace机制建立隐蔽通信管道,使恶意指令传输完全脱离磁盘文件监控。攻击者通过劫持合法进程的IPC句柄表,将恶意通信流量伪装成系统内部进程的正常数据交换。 | |
| .002 | 命名管道伪装通信 | 命名管道伪装通信(Named Pipe Masquerading)是通过伪造合法系统服务管道名称和通信协议格式,实现恶意指令隐蔽传输的IPC滥用技术。攻击者模仿Windows服务控制管理器(SCM)或Linux systemd-journald等系统服务的标准管道命名规范(如\.\pipe\svcctl),构造具有高仿真度的恶意管道端点,并采用TLS加密或协议隧道技术封装攻击载荷。该技术利用系统白名单进程的管道访问权限,将恶意流量嵌入到正常的服务间通信流程中。 | |
| .003 | COM组件劫持重定向 | COM组件劫持重定向(COM Component Hijacking Redirection)是通过篡改Windows组件对象模型(COM)注册表项,将合法组件的调用请求重定向至恶意实现的攻击技术。攻击者利用COM组件的延迟加载特性,在注册表中替换CLSID对应的DLL路径或劫持ProgID解析链,使得系统或应用程序在调用标准功能时实际加载并执行恶意代码。该技术通过继承调用者的权限上下文和数字签名状态,实现恶意行为的白名单化运行。 | |
| .004 | 动态协议自适应切换 | 动态协议自适应切换(Dynamic Protocol Adaptation Switching)是基于网络环境特征实时调整IPC通信协议类型和封装格式的隐蔽通信技术。攻击者构建支持多种传输协议(如命名管道、RPC、ALPC、Unix域套接字)的模块化通信框架,根据宿主进程特征、安全软件监控强度和网络流量基线动态选择最优传输通道。该技术通过协议栈的运行时重构,破坏防御系统对固定通信模式的识别能力。 | |
| T1021 | 远程服务 | 远程服务指攻击者利用合法凭证通过SSH、RDP等协议建立远程连接,实施横向移动或持久化控制的技术。传统检测手段通过分析异常登录时间、高频跨系统访问、非常用端口连接等特征进行识别,防御措施包括多因素认证强化、网络分段隔离、会话行为审计等。然而随着攻击者匿迹技术的演进,基于单一维度特征分析的防护体系面临严峻挑战。 | |
| .001 | 协议隧道嵌套通信 | 协议隧道嵌套通信(Protocol Tunnel Encapsulation)是一种通过多层协议封装实现远程服务隐蔽连接的匿迹技术。攻击者将SSH、RDP等远程协议流量封装在HTTP/HTTPS、DNS或云服务API等常见协议流量中,利用应用层协议的合法交互特征掩盖远程会话的传输层特征。该技术可突破传统网络层检测机制,使远程服务流量在协议栈层面呈现出与正常业务通信一致的元数据特征,同时通过加密通道保护嵌套协议的有效载荷,实现攻击流量的深度隐匿。 | |
| .002 | 凭证动态轮换会话 | 凭证动态轮换会话(Credential Dynamic Rotation Session)是一种通过高频更换认证凭据实现远程服务访问隐匿的技术手段。攻击者利用预先窃取的多组有效凭证,在单次会话过程中动态切换用户身份,结合IP跳变与时间窗口控制策略,构建离散化、碎片化的远程访问行为链。该技术通过破坏身份、空间、时间维度的行为关联性,规避基于账户异常登录分析的检测模型,在维持持久化访问能力的同时降低单点暴露风险。 | |
| .003 | 合法工具链隐蔽连接 | 合法工具链隐蔽连接(Legitimate Toolchain Covert Connection)是指滥用企业环境中已授权的远程管理工具实施隐蔽通道建立的技术。攻击者利用目标系统预装的商业远程控制软件(如TeamViewer、AnyDesk)、云管理平台(如AWS Systems Manager、Azure ARC)或运维工具链(如Ansible、Chef),通过篡改配置参数或劫持更新机制构建合法外联通道。该技术通过"白名单化"的软件交互行为掩盖恶意远程连接,利用企业管理策略对可信工具的放行特性实现网络层隐匿。 | |
| T1563 | 远程服务会话劫持 | 远程服务会话劫持是指攻击者通过非法手段接管已建立的合法远程会话(如RDP、SSH、Telnet),进而实施横向移动或特权操作的技术。与创建新会话不同,该技术利用现有会话的认证状态,规避了账户认证环节的检测。传统防御手段主要依赖监控异常会话特征(如非常用设备登录、非常规时段活动)以及检测会话进程的异常行为(如非常用命令行参数)。 | |
| .001 | 加密信道中间人劫持 | 加密信道中间人劫持(Encrypted Channel Man-in-the-Middle Hijacking)是一种针对加密远程会话的高级劫持技术。攻击者通过部署透明代理或网络层中间人设备,在不中断SSL/TLS加密会话的前提下实施劫持,利用伪造证书或协议漏洞维持加密隧道的完整性。该技术能够在不触发证书告警的情况下截获并篡改RDP、SSH等加密协议流量,通过动态解密-再加密机制实现会话的隐蔽控制,使防御方难以察觉通信链路异常。 | |
| .002 | 进程伪装型会话注入 | 进程伪装型会话注入(Process Masquerading Session Injection)是一种通过系统进程伪装实现会话劫持的隐蔽攻击技术。攻击者通过注入恶意代码至合法远程服务进程(如svchost.exe、sshd等),劫持其内存中的会话句柄与安全上下文,直接操作已建立的远程会话通道。该技术无需创建新进程或网络连接,而是复用目标系统既有的认证状态与资源访问权限,使得恶意操作与合法服务行为在进程树与网络流量层面完全融合。 | |
| .003 | 低频时序命令注入劫持 | 低频时序命令注入劫持(Low-Frequency Temporal Command Injection Hijacking)是一种基于合法会话时序特征的隐蔽劫持技术。攻击者通过长期监控目标会话的交互模式,识别用户操作的时间规律与命令特征,在会话空闲期或正常命令间隔中注入恶意指令。注入命令经过语义混淆处理,模拟用户历史操作模式,并以低频率、小数据量的方式执行,使恶意活动完美融入用户常规行为流,规避基于命令速率或内容特征的异常检测。 | |
| .004 | 凭证反射式会话接管 | 凭证反射式会话接管(Credential Reflection Session Takeover)是一种利用被盗凭证反向构造合法会话的隐蔽劫持技术。攻击者通过窃取有效的身份认证令牌(如Kerberos TGT票据)或会话Cookie,在相同网络环境中发起并行会话,通过凭证反射机制绕过双因素认证,并利用合法用户的网络行为特征掩盖恶意活动。该技术通过精准复现原始会话的上下文环境(包括源IP地理位置、设备指纹、时间窗口等),使新建立的恶意会话与既有合法会话在防御系统视角下呈现高度一致性。 | |
| T1210 | 远程服务漏洞利用 | 远程服务漏洞利用指攻击者通过利用网络服务的编程缺陷或配置错误,在未授权情况下执行恶意代码,通常用于横向移动和权限提升。传统检测方法侧重于识别异常进程行为(如非预期子进程创建)、内存注入痕迹,以及网络流量中的已知漏洞特征模式(如特定偏移量的缓冲区溢出尝试)。防御措施包括强化服务配置、及时修补漏洞,以及部署基于行为分析的端点检测系统。 | |
| T1018 | 远程系统发现 | 远程系统发现是攻击者通过各类网络协议和系统工具识别目标环境中可用设备及其拓扑关系的技术手段,通常为后续横向移动和权限提升提供关键情报。传统检测方法主要监控异常进程行为(如短时间内连续执行ping、net view命令)、分析协议交互特征(如非常规端口扫描模式)以及识别非常规工具使用(如渗透测试框架中的网络发现模块)。防御措施包括强化网络设备日志审计、实施严格的权限隔离策略以及部署网络流量异常检测系统。 | |
| .001 | 协议合规化网络拓扑测绘 | 协议合规化网络拓扑测绘(Protocol-Compliant Network Topography Mapping)是一种通过完全遵循标准协议规范实施网络节点探测的隐蔽技术。攻击者深度研究目标网络环境中的合法管理协议(如SNMP、LLDP、CDP等),构造符合协议标准的查询请求,利用网络设备间的正常管理通信机制获取拓扑信息。该技术的关键在于精确模拟网络管理员日常运维行为,确保每个探测数据包在协议字段、交互时序、载荷结构等方面与合法流量保持高度一致,避免触发基于协议异常检测的安全机制。 | |
| .002 | 基于云服务元数据API的隐蔽发现 | 基于云服务元数据API的隐蔽发现(Cloud Metadata API-Based Stealth Discovery)是攻击者利用云计算平台提供的元数据服务实施节点探测的新型技术。该技术通过向目标云实例的元数据接口(如AWS的169.254.169.254、Azure的169.254.169.254)发送标准化API请求,在不触发网络层监控的情况下获取虚拟机的网络配置、安全组规则及相邻节点信息。攻击者通过伪装成云平台授权服务身份,将恶意查询指令嵌套在云服务正常的元数据更新流程中,利用HTTPS加密通道和IAM权限验证机制实现探测行为的深度隐匿。 | |
| .003 | 分布式低频存活探测 | 分布式低频存活探测(Distributed Low-Frequency Liveness Detection)是通过多节点协同实施超低频率网络存活检测的隐蔽技术。攻击者将传统高强度的ICMP扫描或端口探测任务拆解为多个子任务,通过僵尸网络或云函数集群进行分布式调度,每个节点仅执行极少量探测请求(如每日1-2次),且请求间隔遵循泊松分布模式。该技术通过将探测行为在时间和空间维度双重稀释,使单节点活动强度低于常见检测系统的阈值设定,同时利用多源IP的天然分散特性破坏行为关联分析。 | |
| .004 | 合法管理协议劫持 | 合法管理协议劫持(Legitimate Management Protocol Hijacking)是指攻击者通过控制已授权的网络管理通道实施隐蔽节点发现的技术。该技术利用目标网络中既有的监控系统(如Zabbix、Nagios)或配置管理工具(如Ansible、Puppet),通过注入恶意探测指令或篡改配置参数,将节点发现任务嵌入正常的运维工作流程。攻击者通过窃取管理凭证或利用漏洞获取系统权限,使探测行为在身份认证、协议交互、日志记录等层面均呈现合法特征,实现深度潜伏式网络测绘。 | |
| T1219 | 远程访问软件 |
An adversary may use legitimate desktop support and remote access software to establish an interactive command and control channel to target systems within networks. These services, such as VNC, Team Viewer, AnyDesk, ScreenConnect, LogMein, AmmyyAdmin, and other remote monitoring and management (RMM) tools, are commonly used as legitimate technical support software and may be allowed by application control within a target environment.
|
|
| .001 | 合法软件白利用隐蔽通信 | 合法软件白利用隐蔽通信(Legitimate Software Whitelisting Abuse)是指攻击者通过滥用目标环境中已授权的远程管理软件(如TeamViewer、AnyDesk等)建立隐蔽控制通道的技术。该技术利用企业应用白名单策略的信任机制,将恶意远程会话伪装成正常技术支持活动,规避基于进程签名或行为规则的检测系统。攻击者通过劫持已安装的合法软件配置参数,或仿冒合法数字证书实现客户端伪装,使远程连接行为在进程树、网络协议、证书链等维度呈现合规特征。 | |
| .002 | 协议特征动态伪装 | 协议特征动态伪装(Protocol Feature Dynamic Camouflage)是一种通过实时修改网络协议特征字段实现远程控制流量隐匿的技术。该技术针对防御系统基于协议指纹的检测机制,通过动态调整TLS握手参数、HTTP头顺序、TCP窗口尺寸等协议元数据,使恶意远程访问流量在传输层与应用层均呈现随机化特征,破坏基于固定特征匹配的检测模型。攻击者构建具备协议模糊化能力的C2客户端,在每次会话建立时自动生成差异化的协议特征组合,同时保持业务逻辑层的有效通信。 | |
| .003 | 云端节点动态跳转控制 | 云端节点动态跳转控制(Cloud-based Node Dynamic Hopping Control)是指利用云服务商提供的弹性计算资源构建动态中继节点网络,实现远程控制通道拓扑持续变换的技术。攻击者通过自动化脚本在AWS、Azure、Google Cloud等主流云平台快速创建/销毁虚拟机实例,将C2服务器地址与云实例公网IP动态绑定,利用云服务IP资源池的规模优势与地域分布特性,构建难以追踪的分布式控制网络。 | |
| .004 | 多协议隧道嵌套封装 | 多协议隧道嵌套封装(Multi-protocol Tunnel Nested Encapsulation)是通过将远程控制流量嵌入多层标准协议隧道实现深度隐匿的技术。攻击者将原始远程桌面协议(如RDP)数据流依次封装在DNS-over-HTTPS、WebSocket、QUIC等协议层内,构建具有协议混淆特性的复合型通信管道。每层封装协议均采用目标网络允许的标准化实现,使得深度包检测设备难以逐层剥离分析真实载荷。 | |
| T1611 | 逃逸至主机 | 容器逃逸至主机是指攻击者突破容器隔离环境获取宿主机控制权的技术,通常利用配置缺陷、内核漏洞或管理接口滥用等途径实现。传统防御手段侧重于监控特权容器创建、异常系统调用(如mount、unshare)以及可疑的容器镜像部署行为,通过审计日志分析和行为基线对比识别异常操作。缓解措施包括实施最小权限原则、强化容器运行时安全策略、监控集群级配置变更等。 | |
| T1041 | 通过C2信道渗出 | 通过C2信道渗出是指攻击者利用已建立的命令控制通道秘密传输窃取数据的技术,其通过复用现有通信链路避免创建新连接引发的检测风险。传统检测方法主要监控异常数据流向(如客户端异常上传量)和协议行为偏差(如端口使用不符合预期协议)。防御措施包括深度包检测、流量基线分析和协议合规性验证。 | |
| T1011 | 通过其他网络介质渗出 | 通过其他网络介质渗出是指攻击者利用非标准网络通道(如蓝牙、射频信号、物理连接等)传输窃取数据的技术手段。与常规网络渗出不同,该技术规避企业网络安全边界防护,利用辅助通信接口或物理层媒介建立隐蔽传输通道。防御措施主要包括监控非常规网络接口的异常活动、分析设备驱动程序行为异常,以及检测未授权无线电信号发射等。 | |
| .001 | 短距无线通信隐蔽传输 | 短距无线通信隐蔽传输(Short-Range Wireless Covert Transmission)是利用蓝牙、NFC、ZigBee等近场通信协议实现数据渗出的隐蔽渗透技术。攻击者通过劫持或仿冒合法设备的无线通信接口,将窃取数据编码嵌入到符合协议规范的数据帧中,利用物理距离限制和协议碎片化传输特性规避传统网络流量监控。该技术通常需要预先植入的恶意程序建立非IP通信通道,利用设备固件层协议栈实现数据封装,并通过动态调整发射功率控制信号覆盖范围,确保渗出行为仅能在物理邻近区域被捕获。 | |
| .002 | 低频射频信号分片渗出 | 低频射频信号分片渗出(Low-Frequency RF Fragmented Exfiltration)是通过调制低频电磁波实现数据渗出的高级隐匿技术。攻击者将窃取信息编码为特定频段的电磁信号,利用计算机主板、外设接口或IoT设备的电磁辐射特性实施隐蔽传输。该技术通过分时复用多个硬件组件的电磁发射特征,将完整数据集分割为多个信号片段,结合跳频技术和伪随机时序调度算法,使渗出过程在频谱维度呈现离散化、非连续的特征分布,规避射频信号检测设备的持续监控。 | |
| .003 | 合法IoT设备通信流量寄生渗出 | 合法IoT设备通信流量寄生渗出(Legitimate IoT Traffic Parasitic Exfiltration)是通过劫持物联网设备的正常通信链路实现数据渗出的隐蔽技术。攻击者逆向分析目标IoT设备与云端服务的交互协议,在保持设备基础功能正常运作的前提下,将窃取数据嵌入设备状态上报数据包或固件升级请求中。该技术充分利用IoT设备通信固有的间歇性、低带宽特性,通过时间戳混淆、数据字段复用等手法,使渗出流量在业务逻辑和协议结构层面均符合设备制造商规范,实现恶意数据与合法流量的深度耦合。 | |
| T1091 | 通过可移动媒体复制 | 通过可移动媒体复制是指攻击者利用USB设备、移动存储介质或仿冒外设,通过自动运行功能或用户诱导执行恶意代码的初始访问或横向移动技术。传统防御手段主要通过监控可移动媒体的文件访问行为、检测异常进程创建以及分析设备连接后的网络活动来识别威胁。例如,限制自动运行功能、实施设备白名单策略以及扫描可移动媒体中的可疑文件。 | |
| .001 | 隐蔽式固件植入 | 隐蔽式固件植入(Covert Firmware Implantation)是指攻击者通过篡改可移动媒体设备的固件层,将恶意代码嵌入存储控制器或USB协议栈等底层模块,实现恶意载荷的深度驻留与隐蔽传播。该技术突破传统文件系统层面的感染方式,利用设备固件与宿主操作系统间的信任链关系,使恶意代码在设备初始化阶段即获得执行权限。由于固件代码通常不经过常规杀毒软件扫描,此类攻击可规避基于文件特征匹配的检测机制。 | |
| .002 | 合法文件镜像克隆 | 合法文件镜像克隆(Legitimate File Image Cloning)是一种通过精确复制目标系统内合法文件属性(包括文件名、图标、数字签名及元数据),构造具有双重功能的恶意可执行文件的技术。攻击者利用用户对可信文件的认知惯性,将恶意载荷与合法程序捆绑,当用户通过可移动媒体打开克隆文件时,恶意代码将在合法进程掩护下执行横向移动或初始访问操作。 | |
| .003 | 无线充电设备劫持 | 无线充电设备劫持(Wireless Charging Device Hijacking)是指攻击者通过改造无线充电设备或USB充电线缆,在电力传输通道中叠加数据注入能力的攻击技术。该技术利用Qi等无线充电协议的电磁耦合特性,或通过定制USB线缆内置微控制器,在设备充电过程中建立隐蔽的通信通道,实现无物理接口的恶意代码传播。 | |
| .004 | 多阶段延迟激活 | 多阶段延迟激活(Multi-Stage Delayed Activation)是指恶意代码在通过可移动媒体植入目标系统后,通过环境感知、时间触发或事件驱动等机制延迟执行攻击载荷的技术。该技术通过分离感染阶段与攻击阶段,规避即时行为检测,同时利用系统信任链逐步建立持久化控制。 | |
| T1092 | 通过可移动媒体通信 | 通过可移动媒体通信是攻击者利用物理存储介质在隔离网络间建立隐蔽通信信道的技术手段,常用于突破物理隔离环境的数据渗透和指令控制。传统防御依赖对可移动介质的文件访问监控和挂载行为分析,通过检测异常进程创建或可疑文件读写模式识别潜在威胁。典型缓解措施包括禁用自动运行功能、实施设备白名单管控及部署介质内容扫描工具。 | |
| .001 | 隐写术存储介质通信 | 隐写术存储介质通信(Steganographic Removable Media Communication)是通过在可移动媒体文件载体中嵌入隐蔽数据通道的跨网通信技术。攻击者利用数字隐写术将控制指令或窃取数据编码至图片、文档等常规文件的冗余空间中,借助物理介质在隔离网络间传递信息。该技术突破传统基于文件内容监控的防御机制,通过多层数据编码和格式兼容性设计,确保隐写内容在跨系统传输过程中保持完整性和隐蔽性。 | |
| .002 | 加密微控制器桥接通信 | 加密微控制器桥接通信(Encrypted Microcontroller Bridging Communication)是通过植入定制硬件组件实现物理隔离网络间加密通信的高级攻击技术。攻击者在可移动媒体(如U盘、外置硬盘)的控制器固件层植入微型通信模块,构建独立于宿主操作系统的数据透传通道。该模块集成射频收发、蓝牙低功耗(BLE)或近场通信(NFC)组件,通过加密隧道与外部中继设备建立连接,形成"物理介质-无线信道"的混合通信链路。 | |
| .003 | 傀儡文件元数据触发通信 | 傀儡文件元数据触发通信(Decoy File Metadata Triggered Communication)是通过操纵文件系统元数据构建隐蔽通信信道的跨网渗透技术。攻击者利用NTFS交换数据流、扩展文件属性或文档元数据字段存储加密指令,通过预设触发条件(如文件打开时间戳、访问权限变更)激活通信模块。该技术将恶意代码执行与合法文件操作深度绑定,使通信行为呈现高度场景化特征,有效规避基于行为异常的检测机制。 | |
| T1052 | 通过物理介质渗出 | 通过物理介质渗出是指攻击者利用可移动存储设备或特殊硬件,将数据从目标系统转移至物理载体进行非法传输的技术手段。传统防御措施主要依赖物理访问控制、可移动存储设备监控以及介质挂载行为分析等手段,通过检测异常文件操作或未授权外设连接来阻断渗出行为。典型防护方案包括部署设备指纹识别系统、实施介质加密策略,以及监控USB接口的电力消耗模式。 | |
| .001 | 隐蔽式微型存储介质植入 | 隐蔽式微型存储介质植入(Covert Micro Storage Implantation)是针对物理隔离网络设计的特殊数据渗出技术。攻击者通过改造微型存储设备(如纳米级SD卡、嵌入式闪存芯片),将其物理尺寸缩小至常规检测设备的识别阈值之下,或伪装成电子元件(如电容、电阻)集成到合法外设中。此类介质通常具备自动休眠、电磁屏蔽、容量动态分配等特性,可在不触发物理安检警报的前提下,通过供应链污染或社会工程手段渗透至目标环境,实现数据隐蔽存储与物理运输。 | |
| .002 | 合法外设功能复合型渗出 | 合法外设功能复合型渗出(Legitimate Peripheral Function Hybridization)是通过改造商用电子设备实现数据隐蔽传输的技术形态。攻击者将数据渗出功能与设备原生功能(如电源管理、信号转换)深度耦合,例如在USB充电器中集成Wi-Fi模块,或在视频会议摄像头中植入蓝牙传输单元。此类设备通过硬件层面的功能叠加,在完成正常业务操作的同时,利用非标通信协议建立隐蔽信道,使数据渗出过程完全融合于设备标准工作流程中。 | |
| .003 | 无线近场非接触式数据迁移 | 无线近场非接触式数据迁移(Wireless Near-Field Contactless Data Migration)是利用电磁场或光信号实现短距离隐蔽传输的创新渗出方式。该技术通过改造设备物理接口,在无需直接物理接触或可见无线连接的情况下,利用近场通信(NFC)、红外激光或超声波等载体传输数据。例如,将计算机总线信号调制为特定频率的电磁辐射,通过放置在附近的接收设备进行捕获解码,或使用屏幕背光频闪编码传输数据至光学传感器。 | |
| T1567 | 通过网络服务渗出 | 通过网络服务渗出是指攻击者利用合法Web服务(如云存储、社交媒体或企业API)作为数据外传通道的技术,通过滥用这些服务预设的信任关系和加密通信机制,规避传统基于协议特征或流量异常的检测手段。防御方通常通过监控非常规数据流向(如客户端异常上传量)、检测未授权服务访问或分析用户行为模式来识别潜在渗出行为。 | |
| .001 | 分块加密云存储渗出 | 分块加密云存储渗出是一种利用主流云存储服务(如Google Drive、Dropbox)实现数据隐蔽传输的技术。攻击者将待渗出的数据分割为多个加密片段,通过合法账户分批次上传至云存储空间,随后通过其他渠道传递解密密钥或重组指令。该技术利用云服务的高信誉度和HTTPS加密特性,将数据渗出行为伪装成正常的文件同步操作,有效规避传统基于流量内容检测的防御机制。 | |
| .002 | 社交媒体隐写渗出 | 社交媒体隐写渗出是通过社交媒体平台(如Twitter、Instagram)的媒体文件共享功能实施数据渗出的隐蔽技术。攻击者利用数字隐写术将敏感数据嵌入图片EXIF元数据、视频帧间冗余区域或音频频谱空隙,通过正常内容发布流程完成数据传输。该技术借助社交媒体平台庞大的用户基数和高频交互特性,使渗出流量完全融入用户生成内容(UGC)生态,形成天然的隐蔽通道。 | |
| .003 | 合法API滥用渗出 | 合法API滥用渗出是指攻击者劫持企业已授权的第三方服务API(如Slack、Microsoft Graph),将渗出数据封装为合规API请求进行传输的技术。通过分析目标组织的常用集成服务,攻击者构造符合业务逻辑的API调用序列(如文件上传、日志上报),在正常业务交互中夹带渗出数据。该技术利用企业网络对可信API端口的开放策略,实现渗出流量与合法业务流量的深度混淆。 | |
| T1610 | 部署容器 | 部署容器技术指攻击者通过创建恶意容器实例实施攻击的行为,通常用于执行恶意负载、绕过环境防御或进行容器逃逸。传统防御手段主要依赖容器镜像扫描、运行时行为监控及集群日志分析,例如检测非常规端口绑定、特权模式启用或异常子进程创建等特征。在Kubernetes环境中,安全团队可通过审计工作负载部署事件、监控Pod安全策略违规日志来识别可疑容器活动。 | |
| T1566 | 钓鱼 | 钓鱼是通过电子化手段传递社交工程攻击的技术,攻击者伪造可信来源诱导受害者执行恶意操作,典型方式包括恶意附件投递、欺诈链接诱导、第三方服务滥用等。传统防御主要依赖邮件网关过滤、URL信誉分析、附件沙箱检测等手段,通过识别发件人伪造特征、恶意域名关联性、文档宏代码特征等维度实施拦截。但随着攻击者对抗手段升级,基于静态规则匹配的防御体系面临严峻挑战。 | |
| .001 | 动态内容生成钓鱼 | 动态内容生成钓鱼(Dynamic Content Generation Phishing)是一种基于实时环境感知的精准化钓鱼技术。攻击者通过收集目标用户的地理位置、设备特征、浏览历史等数据,动态生成与受害者所处场景高度契合的钓鱼内容,例如仿冒本地服务通知、定制化业务提醒等。该技术利用自动化脚本实时调整邮件正文、链接域名、视觉元素等关键组件,确保每次攻击载荷具有唯一性和场景适配性,从而突破传统静态特征检测机制。 | |
| .002 | 多态恶意附件分发 | 多态恶意附件分发(Polymorphic Malicious Attachment Distribution)是通过持续变异文件特征实现钓鱼攻击隐匿的技术形态。攻击者利用文档模板动态注入、熵值调节、元数据混淆等技术,在保持恶意功能不变的前提下,使每个分发的钓鱼附件在文件哈希、宏代码结构、OLE对象布局等维度呈现差异化特征。该技术特别针对企业邮件网关的静态特征检测机制,通过生成海量异构但功能等效的恶意文档,实现检测逃逸与攻击规模化并行的目标。 | |
| .003 | 社交平台OAuth劫持钓鱼 | 社交平台OAuth劫持钓鱼(Social Platform OAuth Hijacking Phishing)是利用第三方应用授权机制实施的高级钓鱼技术。攻击者伪造合法的OAuth应用注册信息,诱导受害者授权访问其社交平台账户权限。该技术通过正规平台的API接口实现攻击流程,在授权过程中窃取用户访问令牌,进而绕过双因素认证等安全机制,直接获取目标账户的完全控制权。由于整个交互过程在可信平台内完成,传统基于恶意链接检测的防御体系难以有效识别。 | |
| .004 | 分布式低密度钓鱼攻击 | 分布式低密度钓鱼攻击(Distributed Low-Density Phishing)是通过控制全球僵尸网络节点实施精准化、分散式钓鱼作业的技术体系。攻击者将钓鱼任务分解为微批量攻击单元,由不同地理位置的受控节点按预设策略执行邮件投递,确保单个邮件网关接收到的恶意邮件数量始终低于检测阈值。该技术结合目标画像分析,动态调整各节点的攻击时间窗口、目标群体特征和载荷版本,形成难以通过局部检测发现的"慢速渗透"攻击模式。 | |
| T1202 | 间接命令执行 | 间接命令执行是攻击者通过滥用系统内置工具或脚本引擎执行恶意指令的技术,旨在绕过安全策略对命令行解释器的使用限制。传统防御手段主要通过监控进程创建事件、分析命令行参数特征以及检测异常子进程生成来识别攻击行为,例如使用Sysmon记录进程创建日志并关联可疑参数模式。然而,随着攻击技术的演进,这种基于显式特征匹配的检测方法面临严峻挑战。 | |
| .001 | 合法系统工具代理执行 | 合法系统工具代理执行(Legitimate System Tool Proxy Execution)是指攻击者利用操作系统内置的合法程序(如Forfiles、pcalua.exe等)作为命令执行载体,通过参数注入或配置篡改实现恶意指令传递的技术。该技术通过调用具有白名单特性的系统组件执行高危操作,规避基于进程黑名单或命令行特征匹配的检测机制。攻击者深入研究目标系统管理工具的执行逻辑,将恶意代码分解为符合工具参数规范的指令序列,利用系统工具与命令解释器之间的隐式调用关系构建隐蔽执行链。 | |
| .002 | 动态代码拼接执行 | 动态代码拼接执行(Dynamic Code Splicing Execution)是一种通过运行时环境动态生成完整攻击指令的隐蔽执行技术。攻击者将恶意代码拆分为多个无害片段,分别存储在注册表、临时文件或内存中,利用系统工具或脚本引擎的拼接功能在内存中重组执行。该技术通过避免在磁盘或命令行中呈现完整攻击代码,有效规避基于静态特征扫描或进程参数监控的检测机制,特别适用于对抗具备命令行审计能力的终端防护系统。 | |
| .003 | 脚本宿主进程伪装执行 | 脚本宿主进程伪装执行(Script Host Process Masquerade Execution)是指攻击者利用系统内置脚本解释器(如WScript、CScript、PowerShell)的合法执行上下文,通过修改脚本属性或注入内存代码实现隐蔽命令执行的技术。该技术通过劫持脚本宿主进程的正常工作流程,将恶意操作嵌入符合脚本引擎语法规范的代码结构中,使得攻击行为在进程树、命令行参数和网络通信层面均呈现出合法脚本执行的特征。 | |
| T1211 | 防御规避漏洞利用 | 防御规避漏洞利用指攻击者通过利用系统或安全软件的漏洞绕过防御机制,通常针对安全产品自身缺陷(如杀毒软件逻辑漏洞)或云平台防护弱点(如元数据API漏洞)实施定向突破。传统检测方法依赖异常进程行为监控(如未签名的驱动加载)、内存修改检测或云日志异常分析,防御措施包括强化驱动签名验证、实施内存保护机制(如HVCI)及完善云服务访问控制策略。 | |
| T1564 | 隐藏伪装 | 隐藏伪装指攻击者通过操纵系统资源或环境特性来掩盖恶意行为痕迹的技术手段,其核心目标是规避安全检测与取证分析。该技术涵盖文件隐藏、进程伪装、虚拟化隔离等多种实现方式,常被用于持久化控制、横向移动等攻击阶段。传统防御措施主要依赖文件完整性监控、进程行为分析和元数据校验等手段,通过检测异常资源访问模式或属性变更来识别隐匿行为。 | |
| .001 | 文件系统流隐藏 | 文件系统流隐藏(File System Alternate Data Streams Concealment)是一种利用现代文件系统特性实现恶意文件隐匿的高级技术。该技术通过将恶意载荷嵌入NTFS交换数据流(Alternate Data Streams, ADS)或扩展文件属性等非标准存储区域,规避传统文件扫描机制的检测。攻击者通过将恶意代码、配置信息或日志文件存储在隐藏数据流中,使得常规目录遍历和文件监控工具无法直接发现异常内容,同时保持文件系统的表观完整性。该技术常与合法系统文件绑定,形成"寄生式"隐蔽存储架构。 | |
| .002 | 进程内存驻留伪装 | 进程内存驻留伪装(Process Memory-Resident Camouflage)是一种通过内存操作实现恶意代码无文件化驻留的技术。攻击者将恶意载荷直接注入合法进程的地址空间,利用进程 Hollowing、DLL反射加载等技术实现代码动态执行,避免在磁盘留存可检测的恶意文件。该技术通过劫持系统进程(如explorer.exe、svchost.exe)或应用程序进程的内存空间,使恶意代码运行在受信任的进程上下文中,从而绕过基于文件特征和行为规则的检测机制。 | |
| .003 | 虚拟化沙箱逃逸 | 虚拟化沙箱逃逸(Virtualization Sandbox Evasion)是一种通过感知和规避虚拟化环境来实现攻击行为隐匿的技术。攻击者利用硬件虚拟化扩展(如Intel VT-x、AMD-V)创建隔离的执行域,或通过检测沙箱环境特征(如特定进程、内存布局、时钟差异)来动态调整恶意代码行为。该技术使安全分析工具无法捕获完整的攻击链信息,同时保护核心攻击逻辑不被逆向工程破解。 | |
| .004 | 元数据时间戳篡改 | 元数据时间戳篡改(Metadata Timestamp Manipulation)是一种通过伪造文件系统时间属性来干扰事件溯源的隐匿技术。攻击者修改文件的创建时间、修改时间和访问时间(MAC times),使其与合法系统文件的时间线保持一致,或构造虚假的时间序列混淆攻击时间窗口。该技术常用于破坏取证分析的时间线重建,掩盖恶意文件植入、配置变更等关键攻击事件的时间证据。 | |
| T1665 | 隐藏基础设施 | 隐藏基础设施是攻击者为保护其指挥控制(C2)节点、恶意服务端点等关键资源,通过技术手段掩盖其真实网络属性的战术行为。传统手段包括使用代理服务器、VPN隧道、域名生成算法(DGA)等,防御方通常采用IP信誉库匹配、证书指纹分析、流量特征检测等方法进行对抗。但随着云服务普及和加密技术发展,基于简单特征匹配的防御措施面临严峻挑战。 | |
| T1095 | 非应用层协议 | 非应用层协议通信指攻击者利用OSI模型中网络层、传输层等非应用层协议建立隐蔽通信通道的技术手段。此类协议(如ICMP、UDP、原始套接字等)通常缺乏应用层协议的内容审查机制,且普遍被防火墙放行,为攻击者构建隐蔽信道提供了天然条件。防御方可通过深度包检测(DPI)分析协议载荷合规性、监控非常规协议使用模式,以及建立协议行为基线等方法进行检测与阻断。 | |
| T1571 | 非标准端口 | 非标准端口技术指攻击者故意使用非约定俗成的网络端口进行通信,通过打破协议与端口的传统映射关系规避检测。传统防御主要依赖端口黑名单过滤和协议合规性检查,通过分析端口使用规范性(如80端口是否承载HTTP流量)及流量特征匹配(如SSH握手模式)识别异常。缓解措施包括深度包检测、协议指纹识别以及异常端口流量基线监控等技术。 | |
| T1123 | 音频捕获 | 音频捕获技术指攻击者通过软硬件手段非法获取目标设备周围声学信息的情报收集行为,通常利用操作系统API或应用程序接口访问麦克风等音频输入设备。防御措施主要依赖检测异常进程的录音权限获取行为、监控可疑音频文件生成,以及分析应用程序的非常规API调用模式。由于合法语音应用普遍需要持续访问音频设备,准确区分恶意行为存在较高误报风险。 | |
| .001 | 内存驻留音频捕获 | 内存驻留音频捕获(In-Memory Audio Capture)是一种通过非持久化存储方式实施音频窃取的高级技术。该技术利用进程内存作为音频数据的临时存储介质,避免在磁盘生成可检测的音频文件。攻击者通过挂钩系统音频驱动API或劫持语音通信软件的内存缓冲区,直接截取原始音频流并实时转发至远程服务器,全程不触发文件创建操作。其技术核心在于绕过传统基于文件监控的检测机制,实现音频窃取过程的零痕迹驻留。 | |
| .002 | 合法语音服务寄生录音 | 合法语音服务寄生录音(Legitimate Voice Service Parasitism)是指攻击者通过劫持操作系统或应用程序的合法录音功能实施隐蔽音频捕获的技术。该技术利用系统内置语音助手(如Cortana、Siri)、视频会议软件(如Zoom、Teams)或即时通讯工具(如Skype)的录音权限,在用户正常使用过程中同步窃取音频数据。攻击者通过注入恶意代码修改应用程序的音频处理逻辑,将窃取通道与合法功能深度绑定,使得录音行为具备应用层行为的合法性背书。 | |
| .003 | 环境噪声自适应音频截取 | 环境噪声自适应音频截取(Ambient Noise-Adaptive Audio Capture)是一种基于上下文感知的智能窃听技术。该技术通过实时分析环境声学特征,动态调整录音参数与传输策略,使窃取行为融入物理环境噪声背景。攻击者部署的恶意软件集成声纹识别引擎,能够区分人声对话与环境噪声,仅在检测到有效语音时启动高精度录音,并在嘈杂环境中自动降低采样率或暂停捕获,从而减少异常音频设备活动时长。 | |
| .004 | 加密语音信道渗透录音 | 加密语音信道渗透录音(Encrypted Voice Channel Infiltration)是针对端到端加密通信场景设计的音频窃取技术。攻击者通过中间人攻击或客户端漏洞,在加密语音数据被解密呈现给用户前实施截取。该技术不直接访问物理麦克风,而是渗透至应用程序的语音处理管道,在加密信道终端获取明文音频流。典型实现方式包括Hook语音编解码器接口、篡改安全传输协议栈或利用可信平台模块(TPM)的侧信道漏洞。 | |
| T1053 | 预定任务/作业 | 预定任务/作业(T1053)指攻击者滥用操作系统或应用程序的任务调度功能实现恶意代码执行的技术,通常用于持久化、权限提升或绕过安全监控。攻击者通过创建计划任务触发恶意负载,可能利用系统工具(如Windows schtasks、Linux cron)或API实现远程任务部署。传统防御手段主要通过监控任务创建事件、分析任务配置异常(如未知作者、非常规定时器)以及检测可疑子进程链来识别恶意行为。 | |
| .001 | 系统进程任务注入 | 系统进程任务注入(System Process Task Injection)是一种通过将恶意任务嵌入操作系统核心进程的合法任务序列实现隐蔽执行的攻击技术。攻击者通过分析目标系统内置的预定任务执行链,选择具有数字签名验证豁免权限的系统进程(如svchost.exe、taskeng.exe),利用进程内存空间注入或注册表劫持等手段,将恶意载荷的执行逻辑插入到系统预设任务的触发流程中。该技术的关键在于保持任务调度器数据库的完整性,通过复用系统进程的信任链规避基于任务源的可信性检查。 | |
| .002 | 动态定时任务调度 | 动态定时任务调度(Dynamic Task Scheduling)是一种基于环境感知的自适应任务触发技术。攻击者通过持续监测目标系统的资源负载、用户活跃状态、安全软件运行周期等参数,动态调整恶意任务的执行时间窗口,使任务触发时机与系统正常运维节奏保持同步。该技术突破传统定时任务固定周期触发的特征限制,通过建立任务执行与系统上下文状态的强关联性,实现恶意行为与合法活动的时序混淆。 | |
| .003 | 任务链分段隐匿 | 任务链分段隐匿(Task Chain Fragmentation)是通过将完整攻击链拆解为多个合法任务节点实现行为隐蔽的技术。攻击者将恶意操作分解为具有功能独立性的任务单元,每个单元仅执行非敏感操作(如日志清理、配置文件更新),通过任务间的输入输出传递构建攻击链。各任务节点采用不同的触发条件与安全上下文,使单任务行为特征均符合系统运维规范,而恶意意图仅体现在任务链的整体编排中。 | |
| T1029 | 预定传输 | 预定传输是指攻击者通过预设时间策略实施数据外泄的技术,其核心特征是将传输行为与目标系统的合法业务周期相耦合,降低异常流量被检测的概率。传统检测方法主要依赖传输行为的时间规律性识别(如固定周期心跳)、数据包完整性分析(如大文件传输特征)以及协议合规性验证(如异常字段内容)。防御措施包括监控进程的周期性网络活动、分析传输时间模式异常以及检测非常规协议使用等。 | |
| .001 | 多节点离散化低频传输 | 多节点离散化低频传输(Multi-node Discretized Low-Frequency Transfer)是一种通过分布式架构重构数据传输特征的隐匿技术。该技术将待外传数据分割为多个微载荷,分配至不同地理位置的跳板节点执行分阶段传输,每个节点仅承担有限数据量的低频次转发任务。通过引入动态路由算法,构建传输路径的时空离散化拓扑结构,使得单次传输行为在时间上呈现非周期性、在空间上呈现多源分散性,有效破坏传统检测系统对连续数据传输模式的识别能力。 | |
| .002 | 合法协议嵌入传输 | 合法协议嵌入传输(Legitimate Protocol Embedded Transfer)是通过劫持目标网络中的合规协议通道实现数据隐蔽外泄的高级技术。攻击者深度解析目标环境中的业务协议(如HTTP/2、MQTT、gRPC),将外泄数据编码后嵌入协议规范允许的扩展字段或心跳包冗余位,利用业务系统固有通信周期完成数据传输。该技术在云环境数据窃取、物联网设备信息泄露等场景中被广泛应用,典型案例包括利用视频监控系统的RTSP协议元数据字段传输敏感信息。 | |
| T1542 | 预操作系统引导 | 预操作系统引导攻击指攻击者通过篡改系统固件或引导过程在操作系统加载前植入恶意代码,建立超越操作系统权限的持久化控制。此类攻击直接操作硬件层组件,可绕过传统基于操作系统的安全防护。防御措施主要包括固件完整性校验、安全启动机制强化、NVRAM变更监控等,通过可信平台模块(TPM)度量引导过程和定期固件健康检查进行威胁发现。 | |
| .001 | 固件级隐蔽代码注入 | 固件级隐蔽代码注入(Firmware-Level Stealth Code Injection)是针对计算机系统引导层的高级持久化技术。攻击者通过篡改UEFI/BIOS固件或引导加载程序(Bootloader),将恶意代码植入系统初始化阶段,使其在操作系统内核加载前获得执行权限。该技术利用固件更新机制或漏洞利用,将恶意负载写入SPI闪存芯片,构建硬件级持久化后门。恶意代码通过劫持系统管理中断(SMI)或运行时服务,在操作系统不可见的层级建立控制通道。 | |
| .002 | 安全启动机制动态旁路 | 安全启动机制动态旁路(Secure Boot Dynamic Bypass)是针对UEFI安全启动功能的对抗技术。攻击者通过篡改引导策略数据库或伪造签名证书,在系统启动验证环节动态禁用安全启动保护。该技术采用临时性策略修改手段,在完成恶意代码加载后自动恢复原始安全配置,避免触发固件完整性校验告警,实现"瞬时穿透-持久驻留"的攻击效果。 | |
| .003 | 非易失存储隐蔽持久化模块 | 非易失存储隐蔽持久化模块(Non-Volatile Storage Covert Persistence Module)是针对计算机非易失性随机访问存储器(NVRAM)的深度隐匿技术。攻击者通过操纵UEFI环境变量或ACPI表,在NVRAM中植入恶意配置项,利用固件引导过程中对NVRAM数据的自动加载机制实现持久化。该技术特别擅长绕过基于磁盘文件监控的传统防御体系,将攻击载荷存储在独立于操作系统的硬件存储区域。 | |
| T1553 | 颠覆信任控制 | 颠覆信任控制是指攻击者通过篡改系统信任验证机制或滥用信任凭证,绕过安全防护措施的技术集合。传统防御手段侧重于监控证书元数据异常、维护信任组件基线与分析自动启动项,通过检测非授权签名证书、异常注册表修改等行为识别威胁。典型缓解措施包括证书透明度监控、WHQL签名验证强化,以及扩展文件属性变更审计等。 | |
| .001 | 伪造代码签名证书 | 伪造代码签名证书(Code Signing Certificate Forgery)是通过非法获取或生成伪造的数字证书,为恶意软件赋予合法身份标识的信任控制颠覆技术。攻击者利用数字证书颁发机构(CA)的安全漏洞或社会工程手段窃取有效证书,或通过密码学攻击构造伪造证书链,使恶意程序获得操作系统和安防产品的信任验证。该技术突破传统基于证书权威性的信任模型,使恶意代码具备与合法软件相同的数字指纹特征,从而绕过静态签名检测机制。 | |
| .002 | 供应链信任劫持 | 供应链信任劫持(Supply Chain Trust Hijacking)是通过污染软件分发渠道或开发工具链,将恶意代码注入合法签名程序的攻击技术。攻击者利用软件供应商的代码签名证书,在构建流水线或更新服务器中植入后门,生成携带恶意功能的合法签名程序。该技术借助软件供应链的固有信任传递机制,使恶意载荷获得与原始合法程序相同的信任级别,形成防御体系的信任盲区。 | |
| .003 | 驱动程序签名白名单滥用 | 驱动程序签名白名单滥用(Driver Signature Whitelist Abuse)是通过伪造或窃取微软WHQL(Windows Hardware Quality Labs)认证签名,使恶意驱动获得系统最高执行权限的技术。攻击者利用泄露的合法签名密钥或已吊销但未失效的证书,为恶意驱动程序附加有效数字签名,利用操作系统对签名驱动的自动信任机制实现权限提升与持久化驻留。 | |