高隐蔽网络公害中的初始入侵战术是指攻击者通过动态伪装、身份隐匿及载荷混淆等手段,在突破网络边界时消除或混淆入侵特征,实现攻击入口隐形化的技术体系。
在初始入侵阶段,匿迹战术聚焦于将攻击载荷与合法业务活动深度融合,构建难以被传统检测机制识别的入侵通道。攻击者通过合法凭证复用、供应链污染、漏洞利用载荷动态化等技术,规避基于静态特征或行为模式的边界防护机制。其核心思路在于将入侵行为分解为多阶段低信噪比操作,利用协议白名单机制或加密通信框架实现初始交互合法化,并通过内存驻留、无文件攻击等技术切断入侵行为与持久化载体的物理关联。同时,攻击者通过第三方基础设施跳转、中间节点流量清洗等手段,实现攻击源与攻击行为的逻辑解耦。
匿迹战术显著降低了初始入侵阶段的攻击暴露面,使传统基于入侵特征匹配或异常流量阈值的防御体系难以有效识别恶意活动。攻击者通过动态载荷混淆机制突破网络边界防护,在未触发告警的前提下建立隐蔽通信信道,为后续横向渗透和持久化控制奠定基础。该战术使防御方无法通过常规日志审计或流量分析追溯初始入侵路径,同时通过降低入侵行为的确定性特征,延缓攻击链的全局暴露时间,大幅提升定向攻击的生存性和渗透成功率。
匿迹战术对依赖已知漏洞特征或固定行为模式的防御技术形成实质性突破,其多态化攻击载荷和去中心化通信架构导致传统入侵检测系统的覆盖率大幅下降。防御方需构建基于行为链路的动态信任评估模型,结合内存行为监控、协议语义分析和供应链完整性验证技术,实现初始入侵行为的跨阶段关联检测。同时,需采用自适应零信任架构,通过动态微隔离和最小权限控制策略,阻断高隐蔽攻击载荷的横向扩散路径。
| ID | Name | Description | |
| T1195 | 供应链破坏 | 供应链破坏指攻击者通过篡改产品开发、分发或交付环节中的任意节点,在合法软件/硬件中植入恶意功能的行为。其利用供应链各参与方之间的信任关系,使受污染产品通过验证机制流向最终用户。传统防御主要依赖代码签名验证、哈希完整性校验及物理设备安全检查,通过检测异常文件特征或供应链异常事件进行防护。 | |
| .001 | 开源依赖投毒 | 开源依赖投毒(Open Source Dependency Poisoning)是通过篡改开源软件库中的代码或依赖关系,将恶意功能植入下游应用的攻击技术。攻击者通常选择具有广泛依赖基础的开源组件(如NPM、PyPI包),通过合法账号提交包含后门的代码更新,或创建名称相近的仿冒库诱导开发者误引用。恶意代码在构建阶段被自动集成到目标软件中,形成从开发到交付的全链路污染。 | |
| .002 | 软件更新劫持 | 软件更新劫持(Software Update Hijacking)是通过控制软件供应商的更新分发渠道,将恶意代码植入数字签名合法的软件补丁中的攻击技术。攻击者通过入侵软件厂商的构建服务器或劫持CDN节点,在更新包传输过程中替换数字签名有效的安装文件。由于更新流程本身具有可信性,被篡改的安装程序能够绕过终端安全产品的验证机制。 | |
| .003 | 硬件固件预植入 | 硬件固件预植入(Hardware Firmware Pre-Installation)是在硬件设备生产环节将恶意代码写入固件的供应链攻击技术。攻击者通过收买制造商内部人员或入侵工厂测试系统,在设备出厂前将定制化恶意固件烧录至存储芯片。此类固件级后门通常具备操作系统下层的持久化驻留能力,可绕过传统基于软件层的安全检测。 | |
| T1199 | 信任关系 | 信任关系滥用是指攻击者通过入侵或操纵目标企业信任的第三方实体(如IT服务商、云合作伙伴),利用其合法访问权限实施网络渗透的技术。许多组织在业务合作过程中,会授予外部第三方访问权限,如IT服务供应商、安全管理公司、基础设施承包商等。这些第三方访问通常是为了便于对企业系统或云环境进行维护管理,因此,这些信任关系可能没有受到与内部系统同等严格的安全审查,从而成为攻击者入侵的薄弱环节。攻击者通过攻击或劫持这些第三方提供者的访问权限,获得对目标网络或云环境的控制权。 | |
| T1659 | 内容注入 | 内容注入是攻击者通过操纵网络通信流量向目标系统植入恶意内容的攻击技术,通常通过中间人攻击、协议劫持或上游信道渗透实现。传统防御手段主要依赖TLS流量解密检查、协议一致性验证以及数字签名校验等措施,通过检测异常协议行为或未授权内容修改来识别攻击。但随着网络协议复杂化和云服务架构的普及,传统基于规则匹配的检测方法面临严峻挑战。 | |
| .001 | 协议隧道隐蔽注入 | 协议隧道隐蔽注入(Protocol Tunnel Covert Injection)是一种通过合法协议封装实现恶意内容深度隐匿的注入技术。攻击者利用标准通信协议(如HTTP/2、QUIC)的扩展特性,将恶意载荷嵌入协议规范允许的扩展字段或冗余数据区,借助协议自身的加密与流控机制构建隐蔽传输通道。该技术特别适用于对抗深度包检测系统,通过协议层的合规性伪装实现恶意指令的隐蔽投送,同时利用协议复用机制实现攻击流量与合法业务流的深度耦合。 | |
| .002 | 动态载荷分片拼接 | 动态载荷分片拼接(Dynamic Payload Fragmentation and Reassembly)是一种基于上下文感知的智能内容注入技术。该技术通过实时分析目标通信流的上下文特征,将恶意载荷动态拆解为符合当前会话语义的微片段,并利用协议允许的重传机制或冗余字段进行分布式注入。攻击者通过机器学习模型预测目标系统的响应模式,在多个合法数据包中植入载荷分片,依赖终端系统的自动重组机制完成攻击代码的隐形传输,实现恶意内容在时空维度的碎片化隐匿。 | |
| .003 | 合法服务镜像注入 | 合法服务镜像注入(Legitimate Service Mirror Injection)是一种通过劫持CDN节点或云服务边缘计算资源实施的隐蔽内容注入技术。攻击者通过渗透内容分发网络的缓存服务器或边缘计算节点,在合法服务的响应流中注入恶意内容,利用服务提供商的数字签名和SSL证书为攻击流量赋予可信背书。该技术通过将恶意负载与高信誉度服务绑定,构建出具有供应链攻击特性的注入通道,使得防御方难以通过来源可信度判断内容合法性。 | |
| T1190 | 利用公开应用程序漏洞 | 利用公开应用程序漏洞(T1190)是攻击者通过互联网-facing系统的软件缺陷获取初始访问权限的关键技术,涉及对Web服务、数据库、网络设备等的漏洞利用。传统防御依赖漏洞特征检测(如CVE匹配)、协议异常识别(如SQL注入模式)以及请求频率监控等手段,通过Web应用防火墙、入侵检测系统实施防护。 | |
| T1133 | 外部远程服务 | 外部远程服务指攻击者通过VPN、Citrix等外部可访问的远程接入服务建立初始访问或持久化通道的技术。该技术依赖有效账户凭证或暴露的未授权接口,常作为后续攻击的跳板。传统防御手段包括监控认证日志中的异常时间/地点访问、分析远程会话中的非常规操作序列,以及限制未授权服务的暴露面。 | |
| T1078 | 有效账户 | 有效账户滥用是指攻击者通过窃取或冒用合法用户凭证,在目标系统中实施未授权操作的技术手段。该技术之所以具有高威胁性,源于其利用系统既有的身份验证机制,使得恶意活动在表面层符合安全策略要求。传统检测方法主要依赖异常登录分析(非常规时间/地点登录)、权限变更监控以及账户活动审计,防御措施包括多因素认证强化、账户生命周期管理和权限最小化原则实施。 | |
| .001 | 非活跃账户劫持 | 非活跃账户劫持(Dormant Account Hijacking)是攻击者通过控制长期未使用的合法账户实施隐蔽攻击的技术。该技术聚焦于组织内部处于休眠状态的用户账户(如离职员工账户、临时测试账户),利用其保留的系统权限但缺乏日常审计的特性,实施低可见度的横向移动与权限维持。攻击者通过密码喷洒、默认凭证利用或权限继承漏洞获取账户控制权后,刻意维持账户的低频活动特征,使其登录行为与历史活动模式保持统计学一致性,从而规避基于异常登录检测的安全机制。 | |
| .002 | 权限梯度提升 | 权限梯度提升(Privilege Gradient Escalation)是一种通过模拟正常权限升级路径实现隐蔽提权的技术。攻击者在获取初始账户权限后,不直接进行垂直权限提升,而是按照目标组织的权限管理制度,分阶段申请或触发权限升级流程。例如,通过伪造工单系统请求逐步获取更高级别权限,或利用业务系统的自动化审批漏洞实现权限迭代升级。该技术的关键在于将提权过程拆解为多个符合组织内部管理规范的微操作,使得单个步骤均处于正常权限变更的容忍阈值内。 | |
| T1189 | 浏览器攻击 | 浏览器攻击是通过用户访问被篡改网站或恶意广告网络,利用客户端软件漏洞执行恶意代码的攻击技术。攻击者通常注入恶意脚本到合法网站或广告资源中,当用户浏览器加载这些内容时触发漏洞利用链,实现远程代码执行、凭据窃取或横向移动。防御措施包括实施HTTPS流量解密检测、部署Web应用防火墙过滤恶意脚本、监控浏览器进程异常行为,以及维护浏览器与插件的最新版本以修复已知漏洞。 | |
| T1200 | 硬件附加 | 硬件附加指攻击者通过物理接入恶意硬件设备实施系统渗透的技术,涉及从外围接口植入到板级组件替换等多种形式。传统防御主要依赖端口禁用、设备白名单和物理审计等手段,通过监控USB/PCIe接口活动、分析硬件指纹特征来识别异常设备。但随着硬件攻击技术的演进,单纯依赖接口监控的防护体系已显现明显短板。 | |
| T1091 | 通过可移动媒体复制 | 通过可移动媒体复制是指攻击者利用USB设备、移动存储介质或仿冒外设,通过自动运行功能或用户诱导执行恶意代码的初始访问或横向移动技术。传统防御手段主要通过监控可移动媒体的文件访问行为、检测异常进程创建以及分析设备连接后的网络活动来识别威胁。例如,限制自动运行功能、实施设备白名单策略以及扫描可移动媒体中的可疑文件。 | |
| .001 | 隐蔽式固件植入 | 隐蔽式固件植入(Covert Firmware Implantation)是指攻击者通过篡改可移动媒体设备的固件层,将恶意代码嵌入存储控制器或USB协议栈等底层模块,实现恶意载荷的深度驻留与隐蔽传播。该技术突破传统文件系统层面的感染方式,利用设备固件与宿主操作系统间的信任链关系,使恶意代码在设备初始化阶段即获得执行权限。由于固件代码通常不经过常规杀毒软件扫描,此类攻击可规避基于文件特征匹配的检测机制。 | |
| .002 | 合法文件镜像克隆 | 合法文件镜像克隆(Legitimate File Image Cloning)是一种通过精确复制目标系统内合法文件属性(包括文件名、图标、数字签名及元数据),构造具有双重功能的恶意可执行文件的技术。攻击者利用用户对可信文件的认知惯性,将恶意载荷与合法程序捆绑,当用户通过可移动媒体打开克隆文件时,恶意代码将在合法进程掩护下执行横向移动或初始访问操作。 | |
| .003 | 无线充电设备劫持 | 无线充电设备劫持(Wireless Charging Device Hijacking)是指攻击者通过改造无线充电设备或USB充电线缆,在电力传输通道中叠加数据注入能力的攻击技术。该技术利用Qi等无线充电协议的电磁耦合特性,或通过定制USB线缆内置微控制器,在设备充电过程中建立隐蔽的通信通道,实现无物理接口的恶意代码传播。 | |
| .004 | 多阶段延迟激活 | 多阶段延迟激活(Multi-Stage Delayed Activation)是指恶意代码在通过可移动媒体植入目标系统后,通过环境感知、时间触发或事件驱动等机制延迟执行攻击载荷的技术。该技术通过分离感染阶段与攻击阶段,规避即时行为检测,同时利用系统信任链逐步建立持久化控制。 | |
| T1566 | 钓鱼 | 钓鱼是通过电子化手段传递社交工程攻击的技术,攻击者伪造可信来源诱导受害者执行恶意操作,典型方式包括恶意附件投递、欺诈链接诱导、第三方服务滥用等。传统防御主要依赖邮件网关过滤、URL信誉分析、附件沙箱检测等手段,通过识别发件人伪造特征、恶意域名关联性、文档宏代码特征等维度实施拦截。但随着攻击者对抗手段升级,基于静态规则匹配的防御体系面临严峻挑战。 | |
| .001 | 动态内容生成钓鱼 | 动态内容生成钓鱼(Dynamic Content Generation Phishing)是一种基于实时环境感知的精准化钓鱼技术。攻击者通过收集目标用户的地理位置、设备特征、浏览历史等数据,动态生成与受害者所处场景高度契合的钓鱼内容,例如仿冒本地服务通知、定制化业务提醒等。该技术利用自动化脚本实时调整邮件正文、链接域名、视觉元素等关键组件,确保每次攻击载荷具有唯一性和场景适配性,从而突破传统静态特征检测机制。 | |
| .002 | 多态恶意附件分发 | 多态恶意附件分发(Polymorphic Malicious Attachment Distribution)是通过持续变异文件特征实现钓鱼攻击隐匿的技术形态。攻击者利用文档模板动态注入、熵值调节、元数据混淆等技术,在保持恶意功能不变的前提下,使每个分发的钓鱼附件在文件哈希、宏代码结构、OLE对象布局等维度呈现差异化特征。该技术特别针对企业邮件网关的静态特征检测机制,通过生成海量异构但功能等效的恶意文档,实现检测逃逸与攻击规模化并行的目标。 | |
| .003 | 社交平台OAuth劫持钓鱼 | 社交平台OAuth劫持钓鱼(Social Platform OAuth Hijacking Phishing)是利用第三方应用授权机制实施的高级钓鱼技术。攻击者伪造合法的OAuth应用注册信息,诱导受害者授权访问其社交平台账户权限。该技术通过正规平台的API接口实现攻击流程,在授权过程中窃取用户访问令牌,进而绕过双因素认证等安全机制,直接获取目标账户的完全控制权。由于整个交互过程在可信平台内完成,传统基于恶意链接检测的防御体系难以有效识别。 | |
| .004 | 分布式低密度钓鱼攻击 | 分布式低密度钓鱼攻击(Distributed Low-Density Phishing)是通过控制全球僵尸网络节点实施精准化、分散式钓鱼作业的技术体系。攻击者将钓鱼任务分解为微批量攻击单元,由不同地理位置的受控节点按预设策略执行邮件投递,确保单个邮件网关接收到的恶意邮件数量始终低于检测阈值。该技术结合目标画像分析,动态调整各节点的攻击时间窗口、目标群体特征和载荷版本,形成难以通过局部检测发现的"慢速渗透"攻击模式。 | |