高隐蔽网络公害中的凭据获取战术是指攻击者在窃取身份凭证过程中,通过动态伪装、行为解耦及痕迹消除等综合手段,削弱凭证窃取行为与攻击特征关联性的隐蔽化操作范式。
在凭据获取阶段,匿迹战术的核心在于将凭证窃取行为解构为多个低关联性操作单元,通过合法凭证管理工具的非常规调用、内存残留数据即时清理、系统日志结构精准篡改等技术手段,实现凭证窃取行为与正常身份验证流程的深度耦合。攻击者采用时序分离策略,将凭证捕获、临时存储、数据外传等环节进行异步化处理,利用系统内置加密通道或业务数据传输协议实现隐蔽化渗出。同时,通过注入合法进程上下文执行凭证转储操作,并动态调整凭证窃取频率与数据切片粒度,使异常行为指标维持在目标环境基线波动阈值之内。
该战术通过构建凭证窃取行为的原子化与无害化特征,有效规避了传统基于进程行为特征或异常登录告警的检测机制。攻击者得以在维持目标系统正常业务运行的状态下,长期获取高价值身份凭证资源,为后续横向渗透和权限维持提供持续性访问能力。凭证数据的分阶段渗出机制大幅降低了网络层异常流量特征,使得防御方难以通过流量审计追溯完整的凭证窃取攻击链,显著提升了攻击者在目标网络中的驻留时长与操作自由度。
匿迹战术对依赖凭证异常使用检测或静态特征匹配的传统防御体系形成实质性突破,其行为碎片化特征导致单点检测机制的有效性大幅降低。防御方需构建基于身份行为图谱的动态监测体系,通过身份验证全生命周期追踪、进程上下文完整性验证及凭证流转路径建模,识别异常凭证访问模式。同时应强化内存保护机制与日志可信验证技术,结合零信任架构实施细粒度凭证访问控制,构建覆盖凭证生成、存储、传输、使用全环节的主动防御体系。
| ID | Name | Description | |
| T1557 | 中间人攻击 | 中间人攻击指攻击者通过协议操纵或网络拓扑欺骗,在通信双方之间建立隐蔽的代理节点,进而实施数据窃取、会话劫持或流量篡改。传统防御手段依赖证书验证、协议完整性检查及异常流量分析,可通过部署DNSSEC、HSTS强制加密、无线网络指纹认证等措施进行缓解。监控重点包括ARP表异常变更、DNS解析异常及SSL/TLS协议降级事件。 | |
| .001 | HTTPS降级与协议模拟 | HTTPS降级与协议模拟(HTTPS Downgrade and Protocol Simulation)是一种通过强制通信协议降级实现流量劫持的中间人攻击技术。攻击者利用网络协议协商机制缺陷,将加密通信链路(如TLS 1.3)降级至低安全等级协议版本(如SSL 3.0),同时构建与目标服务高度仿真的交互环境,使受害者误认为仍处于安全通信状态。该技术可突破现代加密体系防护,在保持会话可信表象下实施数据窃取或篡改操作。 | |
| .002 | 合法证书滥用中间人 | 合法证书滥用中间人(Legitimate Certificate Abuse in MitM)指攻击者通过窃取或非法获取可信数字证书,构建具有合法身份认证的中间人劫持体系。该技术突破传统基于证书权威性验证的防御机制,使恶意代理节点获得与正规服务等同的信任等级。攻击者通常利用证书颁发机构漏洞、供应链污染或内存提取等手段获取有效证书私钥,建立具备完整证书链验证能力的中间人节点,实现通信链路的"合法化"劫持。 | |
| .003 | 无线接入点伪装劫持 | 无线接入点伪装劫持(Rogue AP Spoofing Hijacking)是针对无线网络环境设计的中间人攻击技术。攻击者通过仿冒合法无线热点(如公共WiFi、企业WPA2-Enterprise节点),诱导终端设备接入恶意无线网络,进而实施全流量监控与篡改。该技术利用无线协议的开放式认证特性,结合社会工程手段提升伪装可信度,使受害者主动接入攻击者控制的网络基础设施。 | |
| .004 | DNS透明化流量重定向 | DNS透明化流量重定向(DNS Transparent Redirection)是通过污染域名解析过程实现流量牵引的中间人攻击技术。攻击者在不中断现有DNS服务的前提下,通过篡改响应报文或劫持解析链路,将特定域名查询指向恶意代理节点。该技术区别于传统DNS欺骗,强调维持UDP/TCP协议交互的完整性与时序特征,避免触发DNSSEC验证告警或响应异常检测。 | |
| T1555 | 从密码存储中获取凭证 | 从密码存储中获取凭证是指攻击者通过访问系统或应用程序的密码存储机制,窃取用户认证信息的攻击技术。常见目标包括操作系统凭据保险库、浏览器保存的密码、云服务密钥管理器等。防御方通常通过监控敏感文件访问、检测异常进程内存操作以及分析加密存储访问模式等手段进行防护,例如使用文件完整性监控工具或限制高权限进程的创建。 | |
| .001 | 内存隐蔽提取 | 内存隐蔽提取(Stealthy Memory Extraction)是针对密码存储机制的高级攻击技术,攻击者通过非驻留式内存操作获取敏感凭证。该技术利用操作系统内存管理机制的脆弱性,在密码管理器或系统组件解密凭证的瞬时窗口期,对进程内存进行精准扫描与提取。与传统磁盘扫描不同,该技术避免触发文件系统监控,通过动态注入内存解析模块,定位并提取解密后的明文密码缓存,实现无痕化凭证窃取。 | |
| .002 | 合法API劫持 | 合法API劫持(Legitimate API Hijacking)是通过滥用系统或应用程序提供的标准接口实现隐蔽凭证窃取的技术。攻击者通过逆向工程分析目标应用的密码存储机制,构造符合规范的API调用序列,伪装成合法组件请求凭证解密服务。例如,利用浏览器扩展API获取已保存的登录凭据,或通过操作系统密钥环接口批量导出加密密钥,实现"合规化"的凭证提取。 | |
| .003 | 加密存储密钥破解 | 加密存储密钥破解(Encrypted Store Key Cracking)是针对密码管理系统加密机制的定向攻击技术。攻击者通过侧信道攻击、弱密钥推导或硬件漏洞利用等方式,获取加密凭证存储容器的解密密钥。该技术特别针对采用主密码保护机制的密码管理器,通过离线暴力破解与智能字典攻击相结合的方式,突破加密存储的最后防线。 | |
| .004 | 云凭证代理同步 | 云凭证代理同步(Cloud Credential Proxy Synchronization)是针对混合云环境的隐蔽攻击技术。攻击者通过劫持云服务代理客户端或设备管理接口,在合法同步流程中窃取云平台凭证。该技术利用企业云管理策略的信任边界,通过中间人攻击篡改同步协议,将云账号密钥注入攻击者控制的存储节点,实现凭证的隐蔽外泄。 | |
| T1606 | 伪造Web凭证 | 伪造Web凭证是指攻击者通过密码学手段或协议漏洞生成虚假身份凭证,用以绕过Web应用及云服务的身份验证机制。与传统凭证窃取不同,该技术通过构造新的合法凭证而非窃取现有凭证,可规避多因素认证等防护措施。防御方通常通过监测异常身份申领行为(如非常规时段令牌请求)、分析凭证使用模式(如跨地域异常访问)以及审查加密签名完整性等手段进行检测与防御。 | |
| .001 | 动态令牌云服务伪造 | 动态令牌云服务伪造(Dynamic Token Cloud Service Forgery)是一种利用云平台原生API生成临时安全凭证的隐蔽身份伪造技术。攻击者通过合法云服务接口(如AWS AssumeRole、Azure AD App Registration)创建具有限时有效期的访问令牌,利用云服务商颁发的官方凭证机制绕过传统身份验证检测。该技术通过模拟云平台正常业务场景下的临时凭证生成流程,将恶意身份构造行为嵌入合法的API调用链中,使得生成的令牌具备完整的加密签名与授权策略,可在不触发异常告警的情况下实现权限提升。 | |
| .002 | 加密签名Cookie生成 | 加密签名Cookie生成(Encrypted Signature Cookie Generation)是一种通过逆向工程Web应用会话管理机制构造合法加密Cookie的凭证伪造技术。攻击者通过分析目标Web应用的会话加密算法、密钥材料及数据结构,自主生成符合服务器验证规则的加密会话凭证。该技术通常需要获取目标系统的加密密钥或破解其签名算法,进而构造可绕过服务端校验的伪造Cookie,实现无需用户交互的持久化会话维持。 | |
| .003 | 跨域联合身份伪造 | 跨域联合身份伪造(Cross-Domain Federated Identity Forgery)是一种利用身份联合信任关系生成跨系统访问凭证的高级攻击技术。攻击者通过伪造SAML断言、OAuth令牌或OpenID Connect身份声明,在多个互信域间构造合法的单点登录凭证。该技术深度利用企业身份提供商(IdP)与服务提供商(SP)之间的信任链,通过密码学手段生成可跨域传递的认证断言,实现从低权限域向高价值域的权限跃迁。 | |
| T1556 | 修改身份验证过程 | 修改身份验证过程是攻击者通过篡改系统认证组件或流程,实现非法访问权限获取或凭证窃取的技术。该技术通常针对操作系统的核心安全组件(如Windows LSASS、Linux PAM框架)进行代码注入或配置篡改,以绕过双因素认证、窃取明文密码或生成伪造令牌。防御措施包括监控认证相关进程的内存操作、审计系统插件完整性,以及检测异常身份验证日志模式。 | |
| .001 | 认证函数Hook注入 | 认证函数Hook注入(Authentication Function Hooking)是通过篡改操作系统核心认证组件的函数调用链实现身份验证绕过的技术。攻击者通过注入恶意代码劫持LSASS、PAM模块或SecurityAgentPlugins中的关键函数(如NtCreateToken、pam_authenticate),在认证流程中植入逻辑后门。该技术可绕过双因素认证机制,直接伪造令牌或修改认证结果判定,使非法会话获得合法凭证特征。其隐蔽性体现在恶意代码驻留在系统进程内存中,不产生持久化文件或注册表痕迹。 | |
| .002 | 动态密码过滤器劫持 | 动态密码过滤器劫持(Dynamic Password Filter Hijacking)是针对Windows身份验证架构设计的隐蔽持久化技术。攻击者通过注册恶意DLL为LSA通知包组件,在密码修改或验证过程中截获明文凭证。该技术利用系统设计缺陷,将密码过滤器伪装成合法身份验证组件,在密码策略强制执行阶段实施中间人攻击,同时通过动态加载机制规避静态防御检测。 | |
| .003 | 内存凭证捕获绕过 | 内存凭证捕获绕过(In-Memory Credential Capture Bypass)是通过篡改系统内存中凭证存储结构实现认证欺骗的技术。攻击者直接修改LSASS进程内存中的票据授予票据(TGT)或服务票据(ST),或操纵Kerberos协议协商过程,生成具有合法特征但未经正常认证流程的访问凭据。该技术可绕过基于日志审计的检测机制,在无需持久化后门的情况下实现特权维持。 | |
| .004 | 跨平台认证插件伪装 | 跨平台认证插件伪装(Cross-Platform Authentication Plugin Spoofing)是针对异构网络环境设计的认证机制污染技术。攻击者通过仿冒Linux PAM模块、macOS SecurityAgentPlugins或第三方身份提供程序(IdP)组件,在跨域认证流程中植入恶意逻辑。该技术利用系统对认证插件的信任链,将后门代码嵌入标准化认证接口,实现多平台统一的隐蔽访问控制绕过。 | |
| T1212 | 凭据访问漏洞利用 | 凭据访问漏洞利用是指攻击者通过利用软件漏洞或协议缺陷,非法获取系统凭证或绕过身份验证机制的技术手段。典型攻击方式包括Kerberos票证伪造、认证协议重放攻击、内存凭证提取等,目标是通过获取有效凭证实现横向移动和权限提升。防御方通常采用漏洞补丁管理、多因素认证部署、内存保护机制(如Credential Guard)以及网络流量深度分析等手段进行防护。 | |
| T1111 | 多因素身份验证拦截 | 多因素身份验证拦截是攻击者通过技术手段窃取或绕过二次认证凭证的攻击技术,主要针对智能卡、软硬件令牌、短信验证码等MFA机制。传统防御手段依赖检测异常认证请求、分析键盘记录行为或监控短信网关异常,但难以应对新型隐蔽攻击。建议通过硬件令牌行为指纹分析、输入路径完整性验证、电信信令审计等多维度检测机制进行防护。 | |
| .001 | 硬件令牌代理劫持 | 硬件令牌代理劫持(Hardware Token Proxy Hijacking)是针对物理安全设备(如智能卡、U盾)的隐蔽攻击技术。攻击者在已控终端植入代理模块,通过劫持系统与硬件令牌的通信接口,实时转发认证请求与响应数据。该技术利用合法用户插入令牌的物理操作窗口期,在内存中构建虚拟认证通道,同步窃取PIN码与动态口令,并建立持久化的认证会话隧道,使攻击者可在不持有实体令牌的情况下进行远程身份冒用。 | |
| .002 | 键盘记录隐蔽传输 | 键盘记录隐蔽传输(Stealthy Keylogging Transmission)是针对软令牌认证体系的定向窃密技术。攻击者通过修改系统输入处理链(如键盘驱动层或API Hook),精确捕获用户输入的动态验证码,并通过多层加密与流量混淆机制实现数据外传。该技术重点突破传统键盘记录检测机制,采用基于上下文感知的触发式记录策略,仅在检测到特定认证界面(如MFA验证弹窗)时激活窃密模块,最大限度降低行为暴露风险。 | |
| .003 | SIM卡服务劫持中继 | SIM卡服务劫持中继(SIM Hijacking Relay)是针对短信验证码体系的中间人攻击技术。攻击者通过社工攻击或电信运营商系统渗透,劫持目标手机号码的短信接收权限,构建云端短信网关中继平台。该技术可实时拦截包含MFA验证码的短信,并自动解析提取动态口令,同步至攻击者控制的认证代理节点,实现无缝身份冒用。攻击过程中,目标用户的手机信号可能被静默重定向至伪基站,或通过SS7协议漏洞实施短信流量劫持。 | |
| .004 | 中间人动态认证接口伪装 | 中间人动态认证接口伪装(MITM Dynamic Auth Interface Spoofing)是针对认证交互流程的实时欺诈技术。攻击者在网络层实施ARP欺骗或DNS劫持,将用户重定向至伪造的MFA认证页面,诱导用户输入动态验证码。该页面通过反向代理与目标认证服务器建立加密隧道,实时转发用户凭证并拦截会话令牌。技术核心在于动态生成高度仿真的认证界面,并维持双向通信的协议完整性,使受害者无法察觉中间人攻击的存在。 | |
| T1621 | 多因素身份验证请求生成 | 多因素身份验证请求生成是攻击者通过滥用MFA机制向目标用户发送大量验证请求,利用用户疲劳或误操作获取账户访问权限的新型攻击技术。与传统凭证窃取不同,该技术直接作用于认证流程的交互环节,通过社交工程与自动化工具结合实现验证绕过。防御方通常通过监测异常请求频率、地理位置突变及设备指纹异常等特征进行检测,并采取请求速率限制、风险评分模型等措施进行缓解。 | |
| .001 | 分布式代理节点请求洪泛 | 分布式代理节点请求洪泛(Distributed Proxy Node Request Flooding)是一种通过分布式网络架构实施大规模MFA请求攻击的匿迹技术。攻击者利用全球分布的代理服务器或僵尸网络节点,将MFA验证请求分发至不同地理位置的节点发起,通过多源IP轮换机制规避基于单一源地址的频次检测。该技术通过动态调整请求间隔和协议参数,使每个节点的请求频率保持在目标系统容忍阈值内,同时利用HTTPS加密通道隐藏请求内容特征,形成具有合法业务流量表象的分布式验证压力。 | |
| .002 | 地理邻近验证请求欺骗 | 地理邻近验证请求欺骗(Geolocation Proximity Verification Spoofing)是一种通过伪造请求地理属性提升MFA请求可信度的隐蔽攻击技术。攻击者通过关联目标用户的历史登录位置数据,动态选择与受害者常用地理位置相符的代理节点发起验证请求,利用IP地址地理属性与用户行为模式的时空关联性降低系统风险评分。该技术结合社会工程学策略,在请求元数据中注入符合目标用户活动规律的设备指纹、网络环境特征,使MFA推送通知在呈现地理位置信息时更具迷惑性。 | |
| .003 | MFA服务API链路劫持 | MFA服务API链路劫持(MFA Service API Chain Hijacking)是一种通过逆向工程和协议滥用实现验证请求隐匿的技术形态。攻击者通过分析主流MFA服务提供商的开放API接口规范,构造符合业务逻辑的合法请求报文,将恶意验证请求嵌入正常服务调用链路。该技术利用OAuth 2.0等标准授权流程的交互特性,通过中间人攻击或会话令牌窃取获取合法API调用凭证,使恶意请求获得与正常业务请求相同的数字签名和加密特征,实现验证请求在服务端的白名单化处理。 | |
| T1187 | 强制身份验证 | 强制身份验证是攻击者通过诱导用户自动发起认证请求以窃取凭证的中间人攻击技术,通常利用SMB/WebDAV协议特性实现NTLM哈希截获。防御方可通过监控异常外联SMB流量、分析.LNK/SCF文件元数据以及检测非常用端口的WebDAV活动进行防护,同时限制未经审核的外部资源链接访问权限。 | |
| T1003 | 操作系统凭证转储 | 操作系统凭证转储是攻击者通过内存读取、注册表解析或网络协议交互等手段获取系统登录凭证的攻击技术,通常作为横向移动和权限提升的关键环节。传统防御手段聚焦于监控敏感进程(如lsass.exe)的内存访问行为、检测注册表异常操作以及分析可疑的网络身份验证请求。典型缓解措施包括启用LSASS保护模式、监控SAM文件访问日志、部署内存完整性验证机制等。 | |
| .001 | 内存驻留凭证提取 | 内存驻留凭证提取(In-Memory Credential Extraction)是一种通过直接操作操作系统内存空间获取敏感凭证的隐蔽技术。该技术利用进程注入、内存解析等手段,在不触发磁盘写入操作的情况下,从LSASS、SSH-agent等安全进程的内存空间中提取明文密码或加密凭据。通过精细化控制内存访问权限和操作时序,避免触发进程异常行为检测,同时采用内存混淆技术破坏凭证数据的可识别性。 | |
| .002 | 反射型DLL注入式凭证捕获 | 反射型DLL注入式凭证捕获(Reflective DLL Injection Credential Harvesting)是一种规避传统进程监控的高级凭证窃取技术。该技术通过自加载反射型DLL模块,在不依赖系统加载器的情况下直接将恶意代码注入目标进程内存空间,通过Hook身份验证相关API函数实时捕获输入凭证。其核心在于利用内存反射加载机制规避杀毒软件对磁盘文件的静态扫描,并通过动态代码加密技术破坏行为特征的可识别性。 | |
| .003 | 注册表隐蔽提取 | 注册表隐蔽提取(Stealthy Registry Extraction)是针对Windows SAM文件保护机制的规避技术。该技术通过直接访问注册表虚拟化层或物理磁盘原始数据,绕过系统对SAM文件的标准访问限制,采用离线解析方式提取本地账户凭证哈希。其创新点在于利用卷影副本服务或原始磁盘解析技术,在不触发文件访问告警的前提下获取加密的凭证存储结构。 | |
| .004 | 合法进程内存寄生转储 | 合法进程内存寄生转储(Legitimate Process Memory Parasitic Dumping)是通过劫持系统管理工具实现凭证隐蔽转储的技术。该技术将恶意代码注入powershell.exe、mmc.exe等具有管理权限的合法进程,利用其固有权限访问凭证存储区域。通过进程空心化技术创建表面合法的子进程,在内存中动态构建凭证提取逻辑,利用父进程的信任链规避安全检测。 | |
| T1110 | 暴力破解 | 暴力破解是攻击者通过系统化猜测凭证获取账户访问权限的攻击技术,可分为在线交互式认证尝试和离线密码哈希解密两种模式。传统防御手段主要依赖监控异常登录失败事件、部署账户锁定策略、分析认证流量特征等方法进行检测。对于离线哈希破解,由于攻击发生在防御体系之外,主要依赖加强密码哈希存储安全、使用强加密算法等措施进行预防。 | |
| .001 | 分布式低频暴力破解 | 分布式低频暴力破解(Distributed Low-Frequency Brute Force)是一种通过多节点协同实施的低速、分散式密码猜测技术。攻击者将传统集中式暴力破解任务拆解为多个子任务,分配给受控的分布式节点集群执行。每个节点以低于检测阈值的速率(如每小时数次)发起认证尝试,同时动态轮换目标账户和密码组合,规避基于单IP高频失败告警的防御机制。该技术通过时空维度稀释攻击特征,使得单个节点的行为模式难以触发安全设备的异常检测规则。 | |
| .002 | 凭证填充攻击 | 凭证填充攻击(Credential Stuffing Attack)是一种利用已泄露的合法凭证组合实施精准暴力破解的技术。攻击者通过整合暗网数据交易市场获取的账号密码数据库,构建高价值凭证字典,针对目标系统进行低频率、高精准度的认证尝试。与随机暴力破解不同,该技术利用真实用户的密码复用习惯,通过有限次数的凭证验证即可实现账户接管,大幅降低触发安全告警的概率,形成"低尝试量、高成功率"的新型攻击范式。 | |
| .003 | 协议模拟暴力破解 | 协议模拟暴力破解(Protocol-Emulated Brute Force)是一种通过深度模仿合法协议交互特征实施的隐蔽密码攻击技术。攻击者通过逆向分析目标系统的认证协议(如OAuth 2.0、SAML),构建符合协议规范的认证请求包,将暴力破解过程伪装成正常的身份验证流程。该技术突破传统基于简单HTTP POST的破解模式,通过协议级特征模拟绕过应用层防护机制,实现攻击流量与合法流量的深度混淆。 | |
| .004 | 密码哈希离线破解 | 密码哈希离线破解(Offline Hash Cracking)是一种通过获取密码哈希数据库后在本地实施解密计算的攻击技术。攻击者利用系统漏洞或网络渗透手段窃取密码哈希文件后,在受控环境中使用GPU集群或专用硬件进行离线暴力破解或字典攻击。该技术完全脱离目标系统的认证接口,规避了在线破解的行为检测机制,同时允许攻击者实施高强度计算而不受目标系统防护策略限制。 | |
| T1552 | 未加密凭证 | 未加密凭证是指攻击者通过获取存储在系统明文文件、注册表、内存或应用程序中的敏感认证信息,进而实施横向移动或权限提升的攻击技术。传统防御主要依赖监控敏感文件访问行为(如.bash_history读取)、检测异常进程命令行参数(包含"password"、"cred"等关键词)、以及分析注册表查询模式。缓解措施包括实施全盘加密、限制凭证存储位置访问权限、加强进程行为监控等。 | |
| .001 | 跨进程凭证碎片化重组 | 跨进程凭证碎片化重组(Cross-Process Credential Fragmentation Reassembly)是一种将完整凭证信息分散存储在多个进程内存空间的新型窃取技术。攻击者通过进程注入技术在多个可信进程(如explorer.exe、svchost.exe)中分别存储凭证的不同片段,仅在需要使用时通过进程间通信协议重组完整凭证,从而避免单一进程内存中出现完整的敏感数据特征。 | |
| .002 | 凭证窃取日志注入 | 凭证窃取日志注入(Credential Theft Log Injection)是一种通过污染系统日志记录实现隐蔽凭证提取的技术。攻击者在对目标系统进行凭证搜索时,通过篡改日志生成机制或注入伪造日志条目,掩盖其访问敏感凭证文件的行为。该技术通常利用系统日志审计规则的漏洞,将凭证读取操作伪装成合法进程行为或正常维护操作,使安全日志无法真实反映攻击痕迹。技术实施需要深度理解目标系统的日志生成机制,并精准控制文件访问时序以实现操作遮蔽。 | |
| .003 | 合法凭证管理工具滥用 | 合法凭证管理工具滥用(Legitimate Credential Manager Abuse)是指攻击者利用操作系统或应用程序内置的凭证管理功能实施敏感信息窃取的技术。该技术通过调用Windows Credential Manager、SSH-Agent、Keychain等系统组件提供的标准API接口,以合法身份执行凭证查询与导出操作,规避安全软件对非授权进程的监控。攻击者通过模仿正常用户的凭证管理行为,在无需部署恶意工具的情况下完成凭证收集任务。 | |
| T1539 | 窃取Web会话Cookie | 窃取Web会话Cookie是攻击者通过非法获取用户浏览器会话凭证,绕过身份验证实施横向移动的关键技术。传统攻击手段包括内存转储、网络嗅探等方式,防御方可采用内存保护机制(如Credential Guard)、HTTPS强制加密、浏览器沙箱隔离等措施进行防护。监控重点集中于异常进程的内存读取行为、非授权证书安装活动以及浏览器扩展的敏感API调用。 | |
| .001 | 低频时序化Cookie窃取 | 低频时序化Cookie窃取(Low-Frequency Temporal Cookie Harvesting)是一种基于用户行为模式的智能化凭证窃取技术。攻击者通过监控浏览器事件(如页面导航、表单提交),仅在用户执行关键操作时触发Cookie窃取例程,使恶意行为与正常用户活动保持时间同步。该技术结合浏览器插件机制,以毫秒级精度在用户点击提交按钮后立即提取当前会话Cookie,通过限制窃取频率和时机匹配,将恶意操作隐匿在合法用户交互的时间序列中。 | |
| .002 | 浏览器扩展伪装 | 浏览器扩展伪装(Browser Extension Camouflage)是通过仿冒合法浏览器扩展实施会话凭证窃取的定向攻击技术。攻击者开发具备基础功能的正规浏览器插件,在通过应用商店审核后,通过静默更新加载恶意模块。该扩展在运行时动态注入内容脚本,通过DOM API截获Document.cookie属性访问请求,在浏览器内核层面实现Cookie的透明转发。技术特点在于完整保留扩展的声明功能,仅在特定触发条件下激活恶意代码,实现长期潜伏与精准窃取。 | |
| T1528 | 窃取应用访问令牌 | 窃取应用访问令牌是指攻击者通过非法手段获取用于身份验证的API令牌,进而实施横向移动和数据窃取的攻击行为。这些访问令牌用于代表用户或服务进行授权的API请求,广泛应用于云和基于容器的应用程序以及软件即服务(SaaS)环境中。窃取应用访问令牌后,攻击者可以利用这些令牌的权限访问数据、执行操作,甚至进行权限提升和进一步的环境破坏。传统防御手段主要依赖令牌生命周期管理(如短期有效期)、权限最小化原则以及异常API调用监控。检测机制通常关注异常地理位置登录、高频次资源访问或非常规权限使用等特征。 | |
| .001 | 多阶段低频令牌渗透 | 多阶段低频令牌渗透(Multi-Stage Low-Frequency Token Infiltration)是通过延长攻击周期和分散操作环节实现隐蔽的持久化令牌控制技术。攻击者将传统集中式令牌窃取过程分解为离散的侦察、权限测试、数据获取等阶段,每个阶段间隔数天至数周,并采用不同网络出口和身份伪装策略,构建低关联性的攻击链。 | |
| T1558 | 窃取或伪造Kerberos票据 | 窃取或伪造Kerberos票据是攻击者破坏Windows域身份认证体系的核心技术,通过获取或生成有效的Kerberos票证(TGT或ST)实现特权升级和横向移动。传统防御主要依赖监控Kerberos事件日志(如4769、4624)、检测非常规加密类型(如RC4-HMAC)、分析票据生命周期异常等。缓解措施包括启用Kerberos服务票证操作审计、限制域间信任范围、部署Credential Guard等。 | |
| .001 | 隐蔽票据伪造 | 隐蔽票据伪造(Covert Ticket Fabrication)是一种通过改进传统票据伪造算法实现隐蔽特权升级的技术。攻击者在黄金票据/白银票据生成过程中引入动态加密参数调整、时间戳混淆、跨域信任链嫁接等机制,使伪造票据的加密特征与域控签发票据具有高度相似性。该技术突破传统伪造票据的静态加密模式,通过模拟域策略变更日志中的加密算法迁移过程,生成符合当前域环境加密基线的新型伪造票据。 | |
| .002 | 跨域票据传递 | 跨域票据传递(Cross-Domain Ticket Relay)是一种利用多域信任关系实施隐蔽横向移动的技术。攻击者通过解析域间信任密钥(Trust Key)和跨域票证(Cross-Realm TGT),构建跨越多个Kerberos域的身份传递链。该技术将传统单域票据传递扩展至多域拓扑环境,通过信任链的层级跳转稀释单次票据使用频率,并利用不同域的日志审计策略差异规避行为关联分析。 | |
| .003 | 动态票据更新 | 动态票据更新(Dynamic Ticket Renewal)是一种通过智能刷新机制维持票据有效性的隐蔽持久化技术。攻击者基于目标域的票据生命周期策略,建立自适应票据续期系统,在票据接近失效阈值时自动发起续期请求。该技术通过模拟正常用户的票据管理行为,将恶意票据的存续时间控制在域策略允许的最大续期范围内,避免触发基于票据超期使用的检测规则。 | |
| T1649 | 窃取或伪造身份认证证书 | 窃取或伪造身份认证证书是指攻击者通过非法手段获取或生成数字证书,用于伪装合法身份实施网络攻击的技术。数字证书通常用于签署和加密消息或文件,也是身份验证的重要材料。攻击者可以通过多种方式窃取这些证书,包括从注册表、文件系统或浏览器内存中提取AD CS证书,利用API直接访问Windows证书存储,或通过社交工程手段诱导用户泄露证书。此外,攻击者还可能通过获取根证书的私钥,创建伪造的"金证书",从而长期伪装成合法实体,绕过多因素认证和其他安全措施。该技术可被用于横向移动、权限提升及持久化等攻击阶段,传统防御主要依赖证书吊销检查、密钥存储保护及证书策略强化等手段,如监控异常证书注册请求、实施证书透明度日志审计等。 | |
| T1040 | 网络嗅探 | 网络嗅探是攻击者通过监控网络通信流量获取敏感信息的侦察技术,涉及捕获未加密的认证凭证、业务数据及网络拓扑信息。传统防御手段主要依赖流量加密、网络分段、ARP监控及云镜像服务审计,通过检测异常端口镜像配置、识别未加密协议使用情况等手段进行防护。监测重点包括网络设备配置变更、异常流量模式及中间人攻击特征。 | |
| .001 | 加密协议隧道嗅探 | 加密协议隧道嗅探(Encrypted Protocol Tunnel Sniffing)是一种将捕获的敏感数据通过加密隧道实时传输的隐蔽嗅探技术。攻击者在实施网络流量监听时,使用TLS、SSH或自定义加密协议对窃取的数据进行端到端加密传输,防止中间节点对数据内容的解析与识别。该技术特别适用于云环境,攻击者通过劫持虚拟机的流量镜像功能,将加密后的嗅探数据混杂在正常业务流量中传输至外部控制服务器,规避基于内容特征的检测机制。 | |
| .002 | 合法流量镜像伪装 | 合法流量镜像伪装(Legitimate Traffic Mirroring Camouflage)是通过滥用云服务商提供的流量镜像功能实施隐蔽嗅探的技术。攻击者通过窃取的权限配置虚拟网络流量镜像规则,将目标系统的网络流量副本定向传输至攻击者控制的云存储或计算实例,利用云平台内部数据传输通道的信任关系规避边界安全设备的检测。该技术将恶意嗅探行为伪装成合规的运维监控操作,实现攻击行为与合法业务操作的深度耦合。 | |
| .003 | 微流量切片回传 | 微流量切片回传(Micro-Flow Slicing Exfiltration)是一种基于流量分片与时间离散化的隐蔽数据回传技术。攻击者将捕获的大规模网络流量切割为若干符合正常业务流量特征的微片段,通过多协议、多通道的混合传输策略,将数据碎片隐匿在合法通信流中。该技术突破传统网络嗅探集中式回传的模式,通过流量特征的微观化改造规避基于流量规模或传输模式的检测机制。 | |
| .004 | 协议隐蔽隧道 | 协议隐蔽隧道(Protocol Covert Tunnel)是通过协议语义劫持实现嗅探数据隐蔽传输的技术。攻击者利用标准网络协议(如DNS、HTTP/2、QUIC)的扩展字段或冗余空间,将窃取的网络流量编码嵌入协议交互过程中。例如,在DNS嗅探隧道中,通过将数据编码为子域名查询请求,利用递归DNS解析过程实现数据外传;在HTTP/2嗅探隧道中,则利用头部压缩机制HPACK的索引表动态更新特性隐藏传输内容。 | |
| T1056 | 输入捕获 | 输入捕获是攻击者通过截获用户输入数据(如键盘记录、屏幕捕获等)获取敏感信息的攻击技术,涉及从硬件驱动层到应用层的多级数据截取。传统检测方法主要通过监控系统API调用模式(如SetWindowsHookEx)、分析驱动程序签名完整性以及检测异常进程内存行为等手段识别攻击行为。防御措施包括实施用户输入通道加密、强化驱动签名验证机制以及部署行为沙箱分析系统。 | |
| .001 | 内存驻留无文件键盘记录 | 内存驻留无文件键盘记录(Memory-Resident Fileless Keylogging)是一种通过直接注入恶意代码至系统内存空间实现输入捕获的高级技术。该技术利用进程注入、内存驻留等技术手段,将键盘监控模块驻留在合法进程内存中,避免在磁盘生成可检测的恶意文件。通过挂钩系统消息循环或输入设备驱动接口,实时截获用户击键事件,并将数据缓存在非结构化内存区域,仅在特定触发条件下进行数据外传,从而规避传统基于文件特征扫描的检测机制。 | |
| .002 | 合法输入接口劫持 | 合法输入接口劫持(Legitimate Input Interface Hijacking)是一种通过篡改系统合法输入处理组件实现隐蔽输入捕获的技术。攻击者通过逆向分析目标系统的输入设备驱动、身份认证接口或可信服务模块,将恶意代码植入其数据处理流程,利用系统预设的信任机制掩盖输入截获行为。典型实现包括伪造HID类驱动过滤回调、劫持生物特征认证中间件或寄生在输入法框架服务中,使输入数据的非法截取过程完全遵循系统预设的安全协议规范。 | |
| .003 | 加密通道实时数据回传 | 加密通道实时数据回传(Encrypted Channel Real-Time Exfiltration)是针对输入捕获数据外传环节设计的隐蔽传输技术。该技术采用实时流式加密与协议隧道相结合的方式,将截获的输入数据分割为多个加密数据包,通过HTTPS、DNS over TLS等加密协议进行即时传输。通过动态密钥协商机制和前向保密技术,确保每个会话使用独立加密参数,同时利用CDN节点或云服务中转数据流,使外传行为在流量层面与合法业务通信无法区分。 | |
| .004 | 用户空间钩子动态伪装 | 用户空间钩子动态伪装(User-space Hook Dynamic Camouflage)是一种通过动态变换钩子位置实现持续隐蔽的输入截获技术。该技术利用地址空间布局随机化(ASLR)对抗技术,在目标进程的用户空间内建立多个冗余钩子点,并根据防御检测状态动态切换激活钩子。通过监控安全产品的扫描行为,实时调整钩子植入位置和劫持方式,确保输入截获模块始终位于防御方检测盲区。 | |