高隐蔽网络公害中的环境测绘战术是指攻击者在系统探测过程中,通过动态伪装、协议拟态和痕迹消减手段,将拓扑探测与资产识别行为隐匿于正常业务操作中的对抗性技术体系。
在环境测绘阶段,匿迹战术聚焦于消除传统网络探测行为中的时空特征与协议指纹。攻击者通过时序离散化技术将连续探测动作分解为离散的低频交互,利用合法协议的回传机制实现被动式资产发现,避免触发基于流量突发特征的检测模型。同时,攻击者构建多态化的协议模拟框架,使探测数据包在载荷结构、交互逻辑和服务响应等方面与目标环境中的业务流量保持协议状态同步。针对探测残留痕迹,采用内存驻留式信息处理、临时文件自毁机制及日志特征动态适配技术,确保测绘过程不产生可追溯的数字证据。
该战术通过建立探测行为与合法操作的不可区分性,使传统基于行为频率分析或协议异常检测的防御体系失效。攻击者能够在不触发安全告警的前提下,精确构建目标网络拓扑与资产清单,显著提升后续横向渗透阶段的攻击效率。同时,动态痕迹消除机制有效阻断了防御方通过事后取证还原攻击路径的可能性,为持续性网络渗透创造有利条件。这种隐蔽测绘模式使得攻击者能够实时更新环境情报,增强复杂网络环境中的自适应攻击能力。
匿迹战术迫使传统依赖协议特征库与行为阈值的检测机制面临根本性失效风险。防御方需构建基于网络行为基线的动态信任评估模型,通过协议语义深度解析与交互模式关联分析,识别隐蔽在正常流量中的异常探测意图。同时应建立分布式协同检测框架,结合终端行为链追踪与网络流量时空关联技术,实现对碎片化测绘行为的跨节点重组。在防御策略层面,需采用主动式网络拓扑混淆与动态资产标记技术,增加攻击者实施隐蔽测绘的认知复杂度。
| ID | Name | Description | |
| T1580 | 云基础设施发现 | 云基础设施发现是指攻击者通过云服务商提供的API、CLI工具或第三方扫描工具,对目标云环境中的计算实例、存储资源、数据库服务等基础设施进行系统性识别的侦察行为。其核心目标是绘制云资源拓扑结构,识别配置缺陷或敏感资产,为后续攻击提供情报支撑。防御方通常通过监控异常API调用模式(如高频次Describe类操作)、检测非常规凭证使用行为(如新地域的突发访问)等手段进行威胁识别,并建议实施细粒度权限控制与操作日志审计。 | |
| .001 | 合法凭证伪装探测 | 合法凭证伪装探测(Legitimate Credential Camouflage Probing)是攻击者利用已获取的合法云服务凭证(如IAM用户密钥、服务账号令牌)进行基础设施探测的技术。该技术通过模仿正常管理操作模式,调用云服务商提供的标准API接口(如AWS DescribeInstances、Azure ListVM),在权限边界内执行资源枚举操作。攻击者通常结合凭证窃取或权限提升手段,确保探测行为在授权范围内完成,规避基于异常身份验证的检测机制,使基础设施发现行为呈现出合法用户操作的表面特征。 | |
| .002 | API调用时序分散化 | API调用时序分散化(API Call Temporal Dispersion)是通过精细控制云服务API调用时序实现隐蔽探测的技术。攻击者将传统高密度、集中式的资源枚举操作,拆解为低频率、长周期的离散请求序列,使单次API调用间隔符合云平台正常业务操作的时间特征。该技术通过分析目标组织的云服务使用模式(如运维时段、批量操作周期),将探测请求嵌入合法的管理行为时间窗口,规避基于API调用频次异常或时序规律的检测机制。 | |
| .003 | 多云服务交叉关联探测 | 多云服务交叉关联探测(Cross-Cloud Correlation Probing)是利用多个云服务提供商的基础设施发现接口进行协同侦察的技术。攻击者通过同时调用AWS、Azure、GCP等主流云平台的API接口,将针对单一目标的探测任务分散到不同云服务生态中执行。该技术利用云服务间数据互操作接口(如跨云镜像复制、混合云连接服务),构建分布式探测网络,使得基础设施发现行为呈现出跨平台、多源化的特征,破坏传统单云环境下的威胁检测逻辑。 | |
| T1619 | 云存储对象发现 | 云存储对象发现是指攻击者通过云服务提供商开放的API接口,系统化枚举存储桶、容器或数据库中的对象元数据,为后续数据窃取或权限提升攻击提供情报支撑。与传统本地存储枚举不同,该技术直接利用云平台标准化接口进行信息收集,具有协议合规、跨网络边界的特点。防御方通常通过监控异常API调用频次、检测非常规参数组合以及分析跨账户访问模式等手段进行防护。 | |
| .001 | API请求速率限制自适应扫描 | API请求速率限制自适应扫描(Rate-Limit Adaptive API Scanning)是一种针对云服务API调用频率控制机制设计的隐蔽探测技术。攻击者通过动态调整对象枚举请求的发送频率,使其始终保持在云服务商设定的API速率限制阈值之下,同时结合请求参数的智能变化,模拟合法用户的正常数据访问模式。该技术通过精细控制请求间隔、批量查询规模及错误重试策略,在规避云平台反滥用机制的同时,持续获取目标存储桶的敏感元数据。 | |
| .002 | 跨租户分布式枚举 | 跨租户分布式枚举(Cross-Tenant Distributed Enumeration)是通过协调多个云服务租户账户实施协同式存储对象探测的高级隐匿技术。攻击者利用公有云平台的多账户管理特性,预先创建或控制多个独立租户身份,将传统单账户集中式枚举任务分布式调度至不同账户执行。每个租户仅承担部分目标存储桶的探测任务,通过分布式任务调度平台实现请求的时空解耦与结果聚合,有效规避基于单账户行为分析的云安全防护机制。 | |
| .003 | 元数据混淆查询 | 元数据混淆查询(Metadata Obfuscation Query)是一种通过合法API参数组合隐藏真实攻击意图的云存储探测技术。攻击者深入研究云存储服务API规范,构造包含多个合规查询参数的复合请求,将敏感对象枚举需求嵌套在看似正常的业务查询中。例如在AWS S3的ListObjectsV2请求中,通过精心设计prefix、delimiter、encoding-type等参数组合,在获取目标目录结构的同时避免触发基于关键词过滤的安全策略。 | |
| T1526 | 云服务发现 | 云服务发现是攻击者通过云平台API接口枚举计算实例、存储服务、安全组件等资源信息的关键侦察技术,为后续横向移动、权限提升和数据窃取提供情报支撑。防御方通常通过监控异常API调用模式(如高频List操作)、分析非常规权限使用(只读账户执行写操作)以及检测非常规地理来源请求等手段进行防护。云原生安全工具(如AWS GuardDuty、Azure Security Center)可基于机器学习建立API行为基线,识别偏离正常模式的侦察行为。 | |
| .001 | 合法身份低频查询 | 合法身份低频查询(Legitimate Identity Low-Frequency Query)是一种利用合法云服务凭证实施隐蔽侦察的技术。攻击者通过窃取或仿冒具备基础权限的云账户身份,以低于常规检测阈值的频率调用云服务API(如AWS DescribeInstances或Azure ListResources),在保持身份凭证有效性的同时,将探测行为融入正常运维操作中。该技术通过精确控制请求间隔与数据量,规避基于API调用频率或突发流量的异常检测机制,实现长期、低噪的云环境资产测绘。 | |
| .002 | 多租户API流量混淆 | 多租户API流量混淆(Multi-Tenant API Traffic Obfuscation)是一种利用云平台多租户特性隐藏恶意探测行为的技术。攻击者将云服务发现请求嵌入到高吞吐量的合法API流量中,通过租户间流量混杂与协议级特征模仿,使恶意API调用在云服务提供商的集中式审计体系中失去可辨识性。该技术特别针对云原生安全架构的流量聚合特性,利用大规模分布式系统的背景噪声掩盖定向探测行为。 | |
| .003 | 跨云服务分布式探测 | 跨云服务分布式探测(Cross-Cloud Distributed Probing)是通过协调多个云服务提供商的资源实施协同侦察的技术。攻击者利用不同云平台(如AWS、Azure、GCP)的API接口差异性和安全策略隔离性,将云服务发现任务分解为跨平台、跨区域的离散请求,构建分布式侦察网络。该技术通过云服务商之间的天然边界阻断防御方的关联分析,同时利用各平台审计日志的非互通性制造溯源盲区。 | |
| T1538 | 云服务控制面板 | 云服务控制面板攻击是指攻击者通过身份凭证窃取或权限滥用,直接访问云服务商提供的管理控制台界面,利用可视化操作界面获取敏感信息或实施配置篡改。与传统API调用攻击不同,控制台操作可绕过部分API监控策略,直接通过图形界面执行高危操作(如安全组策略修改、日志导出)。防御措施通常包括监控控制台登录事件、分析非常用地理位置访问、检测异常时间段操作等。 | |
| .001 | 合法会话劫持控制台访问 | 合法会话劫持控制台访问(Legitimate Session Hijacking Console Access)是通过窃取有效用户会话凭证实施云服务控制面板隐蔽操控的高级攻击技术。攻击者利用网络中间人攻击、恶意浏览器扩展或跨站脚本漏洞,劫持已通过身份验证的用户会话令牌(如OAuth令牌或Cookies),直接绕过身份认证环节进入云管理控制台。该技术通过复用合法会话上下文,规避基于登录行为分析的检测机制,实现攻击行为与正常用户操作的深度混淆。 | |
| .002 | 多因素认证旁路渗透 | 多因素认证旁路渗透(MFA Bypass Infiltration)是针对云服务控制台多因素认证机制的定向突破技术。攻击者通过社会工程学攻击(如SIM卡劫持、验证码钓鱼)、身份提供者(IdP)配置漏洞利用或生物特征伪造等手段,绕过多因素认证环节直接获取控制台访问权限。该技术特别针对采用静态MFA验证的云环境,通过破坏认证链中最薄弱环节,在保持身份凭证有效性的同时消除二次验证告警,实现高隐蔽性的控制台渗透。 | |
| .003 | 时间离散化控制台操作 | 时间离散化控制台操作(Temporal Dispersion Console Operations)是通过精细化操作时序规划实现云管理行为隐匿的高级技术。攻击者通过分析目标组织的云控制台使用规律,将恶意操作(如IAM策略修改、日志清理)拆解为多个微操作,并分散在目标用户活跃时间段内执行。该技术结合用户行为画像建模与操作节奏控制,使恶意行为在时间维度上融入正常管理活动,规避基于操作时间异常性的检测规则。 | |
| T1482 | 域信任发现 | 域信任发现是攻击者在Windows多域/林环境中枚举域间信任关系以寻找横向移动路径的关键技术,涉及通过DSEnumerateDomainTrusts() API、nltest工具或LDAP查询等方式获取信任域列表。传统检测主要监控进程行为(如nltest /domain_trusts调用)、API调用序列(如GetAllTrustRelationships()方法)及LDAP查询特征。防御方可通过审计日志分析、RPC流量监控等手段识别异常域信任枚举行为。 | |
| T1120 | 外围设备发现 | 外围设备发现是攻击者通过枚举计算机连接的物理设备(如USB存储、智能卡读卡器、打印机等)来获取系统环境信息的技术手段,通常用于识别潜在数据泄露渠道或特权设备。攻击者可能调用系统API、检查设备管理器条目或解析即插即用事件日志来收集设备信息,为后续横向移动或数据窃取提供情报支撑。防御措施包括监控设备管理API调用、分析进程树中的异常命令行参数,以及检测非常规外设连接事件。 | |
| .001 | 合法系统工具滥用扫描 | 合法系统工具滥用扫描(Legitimate System Tool Abuse Scanning)是一种利用操作系统内置管理工具实施隐蔽设备发现的攻击手法。攻击者通过调用Windows Management Instrumentation(WMI)、PowerShell或Linux系统命令等合法管理接口,执行设备枚举操作。由于此类工具具有系统级白名单信任特性,其设备查询行为可规避传统安全软件对未知进程的检测机制,同时利用系统工具的正常功能逻辑混淆恶意意图,实现设备发现的"合法化"操作。 | |
| .002 | 设备指纹模糊化探测 | 设备指纹模糊化探测(Device Fingerprint Obfuscation Probing)是一种通过间接方式获取外围设备信息的隐蔽侦察技术。该技术不直接调用设备枚举API,而是通过分析设备驱动加载记录、电源管理事件日志或系统服务变更历史等间接数据源,推导出已连接外设的型号、接口类型等关键参数。攻击者通过截取设备热插拔事件产生的系统消息、解析USB控制器寄存器状态变化,或监控即插即用服务日志,构建设备指纹信息,避免触发基于设备管理API调用的检测规则。 | |
| .003 | 加密通道外联设备发现 | 加密通道外联设备发现(Encrypted Channel Exfiltration Device Discovery)是一种将设备信息收集与加密传输相结合的高级隐蔽攻击技术。攻击者在完成本地设备枚举后,采用TLS加密通信、DNS隧道或HTTPS隐蔽信道等手段,将外设配置数据封装在合法协议载荷中进行外传。该技术通过协议层加密和流量特征伪装,有效规避基于网络流量内容分析的检测系统,同时利用加密通道的端到端保护特性切断设备指纹与攻击者的直接关联。 | |
| T1613 | 容器与资源发现 |
容器与资源发现是攻击者在云原生环境中识别可用计算资源、服务拓扑及集群配置的关键侦察技术,通常通过Kubernetes API调用、容器日志分析或管理仪表盘查询实现。防御方可通过集中化日志监控、API调用行为分析及服务账户权限管控等手段,检测异常资源枚举行为,例如非授权用户访问/apis/metrics.k8s.io/v1beta1接口或高频次查询节点信息。
|
|
| .001 | 日志污染的资源嗅探 | 日志污染的资源嗅探(Log Contamination-based Resource Sniffing)是一种通过篡改容器运行时日志实现隐蔽资源探测的技术。攻击者在执行容器环境发现操作时,同步注入大量无关日志条目或修改原始日志格式,使得关键操作记录被淹没在噪声数据中。该技术利用容器日志管理系统的存储与检索机制缺陷,通过制造日志熵增干扰安全人员的异常行为分析能力,同时保持对Kubernetes集群或Docker Swarm节点拓扑的持续侦察。 | |
| .002 | API请求伪装 |
API请求伪装(API Request Camouflage)是通过模拟合法管理流量实施容器资源探测的隐蔽技术。攻击者通过劫持具有只读权限的服务账户凭证,将/api/v1/nodes或/apis/apps/v1/deployments等Kubernetes API调用嵌入正常的集群管理流量中,使资源枚举请求与运维操作在协议特征层面无法区分。该技术充分利用云原生环境中API通信的密集性与多样性,通过时序分布伪装和参数标准化处理规避基于API调用序列的异常检测。
|
|
| .003 | 容器内隐蔽探测 |
容器内隐蔽探测(In-container Stealth Probing)指攻击者在已控容器内部署轻量级探测工具,通过容器间通信网络实施资源发现的隐匿技术。该方法利用容器默认网络策略的宽松性,通过Service Mesh边车代理或Overlay网络隧道,将etcd存储查询、节点信息采集等敏感操作封装为服务网格内部通信流量,绕过基于主机层监控的安全检测机制。
|
|
| .004 | 动态凭证轮换 |
动态凭证轮换(Dynamic Credential Rotation)是通过持续变更身份凭证实现持久化资源发现的隐匿技术。攻击者利用云服务商提供的短期访问令牌机制(如AWS STS或Azure Managed Identity),在每次执行kubectl describe services等发现命令前,通过OAuth 2.0设备代码流获取新访问凭证,确保单次操作凭证的有效期短于防御系统的响应处置周期。
|
|
| T1201 | 密码策略发现 | 密码策略发现是攻击者通过系统命令、API接口或日志分析等手段,获取目标组织密码复杂度要求、锁定阈值等安全策略的侦察行为。传统检测方法主要监控敏感命令执行(如net accounts /domain)、异常API调用频次以及非常规工具使用,通过关联账户权限和访问模式识别恶意活动。防御措施包括实施最小权限原则、强化API调用审计、建立用户行为基线等。 | |
| T1010 | 应用窗口发现 | 应用窗口发现是攻击者通过枚举系统打开的应用程序窗口来识别用户活动状态和安全防护态势的侦察技术。攻击者通常利用系统内置命令(如PowerShell的Get-Process)、原生API调用(如EnumWindows)或GUI自动化工具获取窗口标题、类名等信息,用于后续攻击链的情报支撑。防御方可通过监控敏感API调用序列、检测非常规进程的窗口操作行为,以及分析用户交互模式异常来识别潜在攻击。 | |
| .001 | API混淆调用窗口枚举 | API混淆调用窗口枚举(Obfuscated API Call Window Enumeration)是一种通过动态调用和参数伪装技术实现隐蔽窗口发现的方法。攻击者通过合法系统API(如User32.dll的EnumWindows函数)执行窗口遍历,但采用运行时动态加载、参数加密传输、返回值分段解析等手段,规避基于静态API调用特征的检测。该技术通过将窗口发现操作分解为多个合法系统调用链,使安全工具难以识别完整的窗口枚举行为。 | |
| .002 | 进程注入式窗口嗅探 | 进程注入式窗口嗅探(Process Injection-based Window Sniffing)是指将窗口发现代码注入到合法进程(如explorer.exe、chrome.exe)的内存空间,利用宿主进程的合法上下文执行窗口遍历操作。该技术通过劫持可信进程的资源访问权限,绕过基于进程信誉的检测机制,同时利用进程间通信机制隐蔽回传窗口信息,实现深度驻留的持续监控能力。 | |
| .003 | GUI自动化伪装窗口遍历 | GUI自动化伪装窗口遍历(GUI Automation Camouflage Window Traversal)是通过模拟用户界面交互行为实现隐蔽窗口发现的攻击技术。攻击者利用UI自动化框架(如Windows UI Automation、Selenium)生成符合人类操作模式的鼠标移动、窗口聚焦等事件,在获取窗口信息的同时伪装成合法用户活动。该技术通过模仿真实用户的GUI交互节奏和操作路径,规避基于自动化行为特征的检测机制。 | |
| .004 | 间接窗口信息嗅探链 | 间接窗口信息嗅探链(Indirect Window Information Sniffing Chain)是通过多阶段非直接方式推导窗口信息的隐蔽侦察技术。攻击者不直接调用窗口枚举API,而是通过分析进程内存结构、窗口消息队列、GDI对象句柄表等系统资源,逆向推导出当前活动窗口信息。该技术利用系统内部数据结构的内在关联性,构建间接信息获取通道,规避基于API调用监控的防御机制。 | |
| T1083 | 文件和目录发现 | 文件和目录发现是攻击者通过枚举目标系统文件结构获取敏感信息的关键技术,通常利用系统内置命令(如dir、ls)或自定义工具遍历文件系统,为后续数据窃取、权限提升等攻击阶段提供情报支持。防御方可通过监控异常命令行参数、分析文件访问模式熵值、审计高频目录遍历日志等手段检测此类行为,重点关注非特权用户访问受限目录、短时间内大量文件元数据查询等异常迹象。 | |
| T1654 | 日志枚举 | 日志枚举是攻击者通过收集和分析系统日志数据以获取敏感信息的技术手段,通常用于发现用户账户、安全配置、网络拓扑等关键情报。攻击者可能使用系统内置工具(如wevtutil、journalctl)或云平台API进行日志提取,并将获取的数据用于后续攻击环节。防御此类行为可通过实施精细化日志访问控制、监控异常日志导出操作、启用日志完整性校验等措施,同时应限制低权限账户的日志查询范围并部署用户行为分析(UBA)系统。 | |
| .001 | 日志流隐蔽式抽取 | 日志流隐蔽式抽取(Covert Log Stream Extraction)是一种通过合法系统工具实现日志数据隐蔽收集的技术。攻击者利用操作系统内置的日志管理组件(如Windows事件查看器、Linux journalctl)或云平台日志接口,通过低权限账户执行精细化日志筛选与导出操作。该技术避免使用恶意二进制文件,而是通过合法命令的"非预期组合"实现日志提取,例如将系统日志分割为多段导出、混合正常运维指令执行日志检索任务等,从而规避基于进程行为异常的检测机制。 | |
| .002 | 日志数据聚合混淆 | 日志数据聚合混淆(Log Data Obfuscation via Aggregation)是一种通过混合敏感日志与无关数据实现隐蔽传输的技术。攻击者在导出日志文件时,将目标敏感日志(如安全事件日志、用户认证记录)与大量无关系统日志(如性能监控数据、应用程序调试信息)进行混合打包,形成复合型数据文件。通过数据体量膨胀与内容多样性干扰防御系统的日志泄露检测能力,同时采用多层压缩加密技术掩盖关键数据的元特征,使得传输流量在内容检测层面呈现合法运维数据包的特征。 | |
| .003 | 时序分散日志检索 | 时序分散日志检索(Temporally Dispersed Log Retrieval)是一种通过时间维度稀释日志访问特征的隐蔽操作技术。攻击者将完整的日志收集任务分解为多个低强度、长周期的离散操作,通过设置随机化时间间隔(如每小时执行1次日志查询)和动态化检索条件(如按不同事件ID分批次筛选),使单次日志访问行为在时间序列上无法形成可识别的攻击模式。该技术特别适用于对抗基于时间窗口异常检测的安全系统,例如SIEM平台中的用户行为分析(UBA)模块。 | |
| T1069 | 权限组发现 | 权限组发现是攻击者用于识别目标系统用户、组及其权限关系的关键侦察技术,通常通过执行系统命令、查询API接口或解析配置文件等方式实现。传统检测方法主要监控敏感命令(如net group/group)执行、异常进程创建事件,以及PowerShell等管理工具的非常规使用模式。防御措施包括启用详细命令行审计日志、限制普通用户执行权限管理命令、实施严格的API调用监控等。 | |
| .001 | 合法管理工具伪装查询 | 合法管理工具伪装查询(Legitimate Management Tool Camouflage Query)是指攻击者利用操作系统内置管理工具(如PowerShell、net命令、dsquery)或第三方合规管理软件(如ADExplorer、BloodHound)执行权限组发现操作的技术。通过调用系统白名单进程执行权限枚举指令,将恶意查询行为伪装成正常系统管理活动,规避基于进程行为特征的检测机制。该技术的关键在于精确复制合法管理操作的行为模式,包括参数构造方式、执行上下文环境及数据交互特征,使恶意活动在进程树、命令行日志等维度与正常运维行为保持高度相似性。 | |
| .002 | 内存驻留型权限枚举 | 内存驻留型权限枚举(Memory-Resident Privilege Enumeration)是一种完全在内存中执行权限组发现操作的高级攻击技术。该技术通过进程注入或反射加载方式,将权限查询代码直接注入到可信进程(如explorer.exe、svchost.exe)的内存空间,利用目标进程的合法身份与系统权限执行本地或域内权限组扫描。所有查询操作均通过内存交互完成,避免在磁盘留存恶意文件或命令行日志,同时规避基于进程创建行为的检测机制。 | |
| .003 | 时间离散化凭证缓存提取 | 时间离散化凭证缓存提取(Time-Decoupled Credential Cache Extraction)是一种结合凭证窃取与权限发现的组合型匿迹技术。攻击者通过周期性提取系统凭证缓存(如Windows LSASS内存、Linux gpg-agent),从中解析组权限关联信息,而非直接执行显式的权限查询命令。该技术将权限发现任务拆解为多个低强度操作,利用合法身份认证过程中产生的缓存数据间接推导权限拓扑,规避对敏感API或管理接口的直接调用。 | |
| .004 | API钩取式权限信息隐蔽采集 | API钩取式权限信息隐蔽采集(API Hooking-Based Stealthy Privilege Harvesting)是通过篡改系统权限管理API函数实现透明化数据收集的技术。攻击者在内核层或用户层植入定制化钩子,在系统执行常规权限校验时同步捕获组策略数据,将权限发现过程与合法业务操作深度融合。该技术不产生独立的权限查询行为痕迹,而是将数据采集嵌入到系统正常的身份验证、访问控制等业务流程中,实现"无感化"信息收集。 | |
| T1012 | 查询注册表 | 查询注册表是攻击者通过访问Windows注册表数据库获取系统配置、软件信息及安全策略的常见技术。注册表包含系统运行的关键参数,攻击者通常使用reg.exe命令行工具或API接口进行键值查询,为后续权限提升、防御规避等行为提供情报支撑。防御方可通过监控注册表敏感路径访问、分析异常进程的API调用序列以及审计管理工具使用日志等手段进行检测。 | |
| T1217 | 浏览器信息发现 | 浏览器信息发现是攻击者通过提取浏览器存储的用户数据(如书签、历史记录、自动填充凭证)进行情报收集的技术,旨在获取用户行为特征、内部系统访问记录等敏感信息。传统检测手段主要通过监控浏览器进程的异常文件访问行为(如读取Login Data数据库)、检测未经授权的API调用,或分析可疑的远程调试会话。防御方通常结合浏览器沙箱机制、内存保护技术和云同步日志审计进行防护。 | |
| .001 | 浏览器扩展注入发现 | 浏览器扩展注入发现(Browser Extension Injection Discovery)是通过植入或劫持合法浏览器扩展程序实现用户信息隐蔽收集的技术。攻击者利用浏览器扩展的API权限,在用户授权范围内获取书签、浏览历史、表单数据等敏感信息,同时规避传统进程监控的检测。该技术通过扩展商店审核机制漏洞或社会工程传播恶意扩展,将数据窃取功能与扩展声明功能混合实现,使恶意行为具备数字签名验证的合法性外衣。 | |
| .002 | 云同步数据劫持 | 云同步数据劫持(Cloud Sync Data Hijacking)是通过攻击浏览器云服务账户间接获取用户浏览器数据的隐蔽技术。攻击者利用用户浏览器(如Chrome、Firefox)的云端同步功能,通过窃取账户凭证或中间人攻击获取同步至云端的书签、密码库、浏览历史等数据,避免在目标主机留下本地操作痕迹。该技术将攻击面从终端设备转移到云服务接口,利用云平台API的标准化数据访问流程实现信息窃取。 | |
| .003 | 内存残留信息提取 | 内存残留信息提取(Memory Residual Extraction)是通过直接读取浏览器进程内存空间获取敏感信息的无文件攻击技术。该技术利用浏览器内存中暂存的表单数据、会话Cookie、解密后的密码等易失性数据,通过进程注入或调试接口提取未加密的敏感信息,避免触发文件系统监控机制。攻击者通过Hook浏览器内存管理函数或利用合法调试工具(如WinDbg)实现信息提取,规避传统基于文件访问行为的检测。 | |
| .004 | 合法API滥用 | 合法API滥用(Legitimate API Abuse)是通过调用浏览器提供的标准开发者接口实现信息收集的技术。攻击者利用浏览器内置的调试协议(如Chrome DevTools Protocol)或管理接口(如BrowserManagement API),通过模拟合法管理操作获取用户数据。该技术完全遵循浏览器接口调用规范,将恶意请求伪装成用户行为分析或远程调试等正常业务操作。 | |
| T1614 | 系统位置发现 | Adversaries may gather information in an attempt to calculate the geographical location of a victim host. Adversaries may use the information from System Location Discovery during automated discovery to shape follow-on behaviors, including whether or not the adversary fully infects the target and/or attempts specific actions. | |
| .001 | 合法API隐蔽调用 | 合法API隐蔽调用(Legitimate API Stealth Invocation)是一种通过调用操作系统内置函数获取地理信息的隐蔽技术。攻击者利用系统原生API(如Windows的GetLocaleInfoW、GetKeyboardLayoutList等),以合法程序行为为掩护,通过内存加载、动态链接库注入等方式间接触发地理位置信息查询。该技术规避了传统基于进程行为特征的检测机制,使信息收集行为与正常应用程序操作具有相同的API调用序列和内存访问模式,有效隐藏恶意意图。 | |
| .002 | 地理位置间接查询 | 地理位置间接查询(Indirect Geolocation Query)是通过多层代理和第三方服务中转实现IP地理定位的隐蔽技术。攻击者将传统直接访问IP地理数据库(如ip-api.com)的行为转化为间接查询链路:首先通过被控IoT设备或云函数发起代理请求,然后利用商业地图API、CDN服务商提供的边缘节点信息接口,甚至社交媒体位置标签服务等合法渠道,以数据聚合方式推导目标IP地理位置。该技术通过分散查询路径和混淆数据来源,破坏防御系统对地理定位服务的流量特征识别能力。 | |
| T1082 | 系统信息发现 | 系统信息发现是攻击者通过操作系统接口、管理工具或网络协议获取目标系统软硬件配置信息的技术,旨在为后续攻击提供环境适配依据。传统检测方法主要监控异常进程创建(如未知可执行文件调用)、非常用命令执行(如突然出现的wmic命令)以及异常API调用序列(如短时间内密集访问注册表项)。防御措施包括限制普通用户权限、监控系统工具使用日志、实施网络设备命令审计等。 | |
| .001 | 合法系统工具调用 | 合法系统工具调用(Legitimate System Tool Invocation)是攻击者利用操作系统内置管理工具(如systeminfo、wmic、df等)实施系统信息收集的隐蔽技术。该技术通过调用系统白名单程序执行信息枚举操作,规避基于可执行文件哈希值的检测机制。攻击者通常结合批处理脚本或计划任务,将信息收集指令嵌入日常运维操作流程,利用系统工具固有的业务合法性掩盖恶意行为。通过精确控制命令参数与输出处理方式,攻击者能够在不触发安全告警的前提下,获取操作系统版本、硬件配置、磁盘分区等核心系统数据。 | |
| .002 | 分散化信息收集 | 分散化信息收集(Distributed Information Gathering)是攻击者通过低频、长周期的隐蔽操作逐步收集目标系统信息的技术。与传统的一次性批量查询不同,该技术通过将系统侦察任务拆解为多个低强度、间歇性执行的操作,使其行为模式更接近于日常运维活动,从而降低检测风险。攻击者可能利用计划任务、定时脚本、WMI 事件订阅等机制,在不同时间点、不同进程环境下执行查询操作,以分散系统信息收集的时间特征。此外,还可能结合多种系统接口交错执行,进一步降低单一工具的调用频率,以规避基于命令模式匹配的检测。 | |
| T1033 | 系统所有者/用户发现 | 系统所有者/用户发现是攻击者识别目标系统用户身份、权限及活动状态的关键侦察技术,通常通过查询系统API、分析进程所有权或解析日志数据实现。防御方可通过监控敏感命令执行、分析进程创建行为及审计用户管理日志等手段进行检测,重点关注非常用工具的用户查询操作和非常规时段的账户枚举行为。 | |
| .001 | 合法系统工具隐蔽查询 | 合法系统工具隐蔽查询(Legitimate System Tool Stealth Query)是一种通过滥用操作系统内置管理工具实现用户信息隐蔽获取的技术。攻击者利用系统预装的命令行工具(如whoami、w、dscl)或脚本解释器(如PowerShell、Python)执行用户发现操作,将恶意查询指令嵌入正常的系统管理流程中。该技术通过规避第三方工具部署,直接利用可信进程执行侦察任务,有效降低安全软件对异常进程行为的警觉性。 | |
| .002 | 日志动态注入与痕迹擦除 | 日志动态注入与痕迹擦除(Log Dynamic Injection and Trace Erasure)是一种通过操纵系统日志实现用户发现行为隐匿的技术。攻击者在执行用户枚举操作时,同步篡改系统审计日志(如Windows事件日志、Linux syslog),删除或伪造相关操作记录。该技术结合实时日志编辑和日志流劫持两种手段,确保用户发现行为在操作系统层面不留痕迹,同时构建虚假日志条目混淆事后取证分析。 | |
| T1124 | 系统时间发现 | 系统时间发现是攻击者通过本地或远程方式获取目标系统时间、时区或运行时间的侦察技术,通常用于构建攻击时间线、触发定时任务或辅助地理定位。攻击者可能使用net time、w32tm等命令行工具或系统API(如GetTickCount)实施探测,防御方可通过对异常命令行操作监控、网络设备AAA日志审计等方式进行检测,但由于合法进程频繁调用时间接口,传统检测方法存在高误报率缺陷。 | |
| .001 | 合法进程时间戳读取 | 合法进程时间戳读取(Legitimate Process Timestamp Reading)是一种通过劫持系统正常进程的时间查询功能实现隐蔽时间采集的技术。攻击者通过注入或挂钩(Hook)系统进程(如系统监控工具、杀毒软件等),利用其固有的时间戳获取接口(如GetSystemTimeAsFileTime)间接读取系统时间信息,避免直接调用敏感API或执行显式时间查询命令。该技术将恶意时间发现行为嵌入可信进程的执行流中,使安全检测系统难以区分正常业务操作与攻击行为。 | |
| .002 | 分布式时间戳采集 | 分布式时间戳采集(Distributed Timestamp Collection)是通过多节点协同方式分散时间查询行为的新型隐匿技术。攻击者将系统时间发现任务拆解为多个子任务,分发给受控的僵尸节点、云服务器或物联网设备执行,每个节点仅执行有限次数的低精度时间查询。通过全球分布的节点网络动态获取目标系统的时间信息,利用地理分散性稀释时间查询流量的集中特征,同时结合时区差异自动校准数据,构建跨地域的时间基准画像。 | |
| T1007 | 系统服务发现 | 系统服务发现是攻击者通过查询操作系统服务配置信息来识别潜在攻击面的关键侦察技术,通常使用系统内置工具(如sc、net)或API接口获取服务状态、依赖关系和权限配置。传统检测手段主要监控异常进程创建(如未知可执行文件调用服务管理API)、可疑命令行参数(如批量服务枚举操作)以及非常规WMI查询事件。防御建议包括启用详细进程审计、限制低权限用户的服务查询操作,以及部署用户行为分析(UEBA)系统识别异常服务访问模式。 | |
| .001 | 合法管理工具隐蔽调用 | 合法管理工具隐蔽调用(Legitimate Management Tool Stealth Invocation)是一种通过操作系统内置服务管理组件执行服务发现的高级隐蔽技术。攻击者通过调用系统原生命令解释器(如cmd.exe、powershell.exe)执行内置服务查询指令(如sc query、net start),利用系统白名单机制规避安全检测。该技术通过精确控制命令参数和输出处理,将服务发现行为伪装成系统管理员日常维护操作,规避基于进程行为特征的检测模型。 | |
| .002 | 服务元数据碎片化采集 | 服务元数据碎片化采集(Service Metadata Fragmented Collection)是一种通过长周期、多维度分散查询实现隐蔽服务发现的技术。攻击者将完整的服务发现任务拆解为多个互不关联的元数据查询操作,通过注册表键值读取、事件日志解析、WMI属性检索等多种渠道逐步拼凑服务信息。每个独立操作仅获取部分服务属性(如显示名称、服务类型),避免触发完整服务枚举行为的检测规则,最终通过跨源数据关联重建完整的服务拓扑图。 | |
| T1049 | 系统网络连接发现 | 系统网络连接发现是攻击者通过查询本地或远程系统的网络连接信息,获取目标网络拓扑结构的关键技术,通常为后续横向移动、数据渗透或命令控制提供支撑。攻击者可能使用系统内置工具(如netstat、lsof)、云平台管理接口或网络设备CLI命令实施探测。防御方可通过监控异常命令行参数、非标准用户的CLI操作以及Windows管理工具(如WMI、PowerShell)的非常规使用行为进行检测。 | |
| .001 | 合法网络管理工具滥用 | 合法网络管理工具滥用(Legitimate Network Tool Abuse)是指攻击者利用目标系统预装的网络诊断工具或云平台管理接口实施隐蔽的网络连接发现。该技术通过调用PowerShell的Get-NetTCPConnection、Azure CLI的az network list-connections或AWS EC2的DescribeNetworkInterfaces等合规命令,将恶意探测行为伪装成系统管理员的标准运维操作。攻击者通过研究目标环境的管理工具使用模式,精确匹配命令参数、执行频率及数据访问范围,使得恶意活动融入正常的网络运维流量中。 | |
| .002 | 低频分布式网络拓扑测绘 | 低频分布式网络拓扑测绘(Low-Frequency Distributed Topology Mapping)是通过控制多个已入侵节点协同执行网络连接发现的隐匿技术。攻击者在不同网络区域部署轻量级探测代理,每个代理按照预设时间窗口(如每24小时激活10分钟)对本地区域执行有限范围的连接扫描,结果通过P2P网络进行分布式存储和聚合。采用区块链技术实现任务分配与数据完整性验证,确保单个节点被清除不影响整体测绘进程。通过控制扫描频率低于常见检测系统的阈值(如每IP每小时不超过5次查询),并将请求分布到多个协议(如同时使用SNMP、NETCONF和gRPC),使得传统基于流量突发检测或协议异常分析的防御机制失效。 | |
| T1016 | 系统网络配置发现 | 系统网络配置发现是攻击者通过查询网络接口参数、路由表、ARP缓存等信息,获取目标网络拓扑结构的关键侦察技术。传统检测手段主要通过监控非常规管理工具使用、异常CLI命令执行频率以及大规模配置查询行为来识别攻击。防御方通常采用网络设备命令审计、主机进程行为分析、网络流量基线建模等方法进行防护。 | |
| .001 | 合法工具滥用隐蔽采集 | 合法工具滥用隐蔽采集(Legitimate Tool Abuse for Covert Collection)是一种通过操作系统内置管理工具实施网络配置发现的隐蔽技术。攻击者利用目标系统预装的网络诊断工具(如ipconfig、arp、route等),通过非交互式脚本调用或进程注入方式执行配置查询,将恶意行为伪装成正常系统管理操作。该技术通过合法二进制文件的白名单属性规避安全软件检测,同时采用碎片化执行策略,将完整的网络拓扑测绘任务拆解为多个独立命令执行事件,降低行为关联性。 | |
| .002 | 网络协议元数据隐蔽解析 | 网络协议元数据隐蔽解析(Network Protocol Metadata Stealth Parsing)是指通过分析网络协议交互过程中的非显性元数据,间接推导目标系统网络配置的技术。该技术不直接执行敏感配置查询命令,而是通过监听ARP广播、DHCP协商、路由协议更新等常规网络通信,从协议报文的固有字段中提取IP地址分配、子网划分、网关配置等关键信息,实现无主动探测行为的被动式情报收集。 | |
| .003 | 分布式低频配置信息采集 | 分布式低频配置信息采集(Distributed Low-Frequency Configuration Harvesting)是通过多节点协同、长周期分阶段实施网络配置发现的匿迹技术。攻击者将完整的网络拓扑探测任务分解为多个低敏感度的原子操作,由分布在网络不同区域的受控节点按预设节奏分时执行。每个节点仅收集局部配置信息(如所在VLAN的默认网关),通过加密信道将碎片化数据传回控制端进行聚合分析,最终重构出完整的网络配置图谱。 | |
| T1615 | 组策略发现 | 组策略发现是攻击者为识别域环境中的权限配置和安全策略,通过查询组策略对象(GPO)获取域管理架构信息的技术手段。攻击者通常使用gpresult命令、PowerShell的ActiveDirectory模块或直接访问SYSVOL共享路径,收集策略应用范围、安全设置等数据,为后续权限提升或策略篡改提供情报支撑。防御方可通过监控异常LDAP查询、检测PowerShell远程加载行为,以及分析Windows事件日志4661(目录服务访问)来识别潜在的组策略发现行为。 | |
| T1135 | 网络共享发现 |
网络共享发现是攻击者通过枚举网络共享资源定位敏感数据存储位置和潜在横向移动路径的关键技术,主要依赖SMB、NFS等协议的特性实施探测。传统检测手段通过监控异常共享查询请求(如短时间内大量net view命令)、分析SMB协议流量模式(如非常规树连接操作)以及审计安全日志中的可疑账户行为来实现威胁识别。防御方通常采用网络分段、共享访问权限最小化和协议深度检测等策略进行防护。
|
|
| .001 | 合法工具隐蔽枚举 | 合法工具隐蔽枚举(Legitimate Tool-based Stealth Enumeration)是通过滥用操作系统内置命令或授权管理工具执行网络共享发现的高级隐蔽技术。攻击者利用系统原生组件(如Windows的net命令、PowerShell脚本或macOS的sharing命令)发起共享资源查询,将恶意行为嵌入合法管理操作流程,规避安全软件对非授权进程的检测。该技术通过精准控制命令参数和执行上下文,使共享发现行为在系统审计日志中呈现为正常管理行为,同时利用白名单机制绕过应用层监控。 | |
| .002 | 低频分布式共享嗅探 | 低频分布式共享嗅探(Low-Frequency Distributed Share Sniffing)是一种结合网络流量特征隐藏与行为节奏控制的隐蔽侦察技术。攻击者通过部署分布式代理节点,以低于常规检测阈值的请求频率对目标网络共享资源进行长周期探测,同时利用多节点协同机制将扫描请求分散至不同网络区域。每个代理节点遵循自适应时间间隔算法,根据目标网络的流量基线动态调整探测节奏,确保单节点行为特征始终处于目标安全系统的白噪声容忍范围内。 | |
| .003 | 加密通道共享探测 | 加密通道共享探测(Encrypted Channel Share Discovery)是通过加密协议隧道实施网络共享侦察的隐蔽技术。攻击者利用SMB over QUIC、IPsec隧道或自定义加密通道对共享发现流量进行端到端加密,同时通过协议嵌套技术将探测指令封装在HTTPS等加密协议载荷中传输。该技术不仅隐藏了共享查询的具体内容,还通过加密握手过程的特征伪装,使网络流量表现出与合法业务通信相同的数据包特征,规避深度包检测(DPI)系统的识别。 | |
| T1040 | 网络嗅探 | 网络嗅探是攻击者通过监控网络通信流量获取敏感信息的侦察技术,涉及捕获未加密的认证凭证、业务数据及网络拓扑信息。传统防御手段主要依赖流量加密、网络分段、ARP监控及云镜像服务审计,通过检测异常端口镜像配置、识别未加密协议使用情况等手段进行防护。监测重点包括网络设备配置变更、异常流量模式及中间人攻击特征。 | |
| .001 | 加密协议隧道嗅探 | 加密协议隧道嗅探(Encrypted Protocol Tunnel Sniffing)是一种将捕获的敏感数据通过加密隧道实时传输的隐蔽嗅探技术。攻击者在实施网络流量监听时,使用TLS、SSH或自定义加密协议对窃取的数据进行端到端加密传输,防止中间节点对数据内容的解析与识别。该技术特别适用于云环境,攻击者通过劫持虚拟机的流量镜像功能,将加密后的嗅探数据混杂在正常业务流量中传输至外部控制服务器,规避基于内容特征的检测机制。 | |
| .002 | 合法流量镜像伪装 | 合法流量镜像伪装(Legitimate Traffic Mirroring Camouflage)是通过滥用云服务商提供的流量镜像功能实施隐蔽嗅探的技术。攻击者通过窃取的权限配置虚拟网络流量镜像规则,将目标系统的网络流量副本定向传输至攻击者控制的云存储或计算实例,利用云平台内部数据传输通道的信任关系规避边界安全设备的检测。该技术将恶意嗅探行为伪装成合规的运维监控操作,实现攻击行为与合法业务操作的深度耦合。 | |
| .003 | 微流量切片回传 | 微流量切片回传(Micro-Flow Slicing Exfiltration)是一种基于流量分片与时间离散化的隐蔽数据回传技术。攻击者将捕获的大规模网络流量切割为若干符合正常业务流量特征的微片段,通过多协议、多通道的混合传输策略,将数据碎片隐匿在合法通信流中。该技术突破传统网络嗅探集中式回传的模式,通过流量特征的微观化改造规避基于流量规模或传输模式的检测机制。 | |
| .004 | 协议隐蔽隧道 | 协议隐蔽隧道(Protocol Covert Tunnel)是通过协议语义劫持实现嗅探数据隐蔽传输的技术。攻击者利用标准网络协议(如DNS、HTTP/2、QUIC)的扩展字段或冗余空间,将窃取的网络流量编码嵌入协议交互过程中。例如,在DNS嗅探隧道中,通过将数据编码为子域名查询请求,利用递归DNS解析过程实现数据外传;在HTTP/2嗅探隧道中,则利用头部压缩机制HPACK的索引表动态更新特性隐藏传输内容。 | |
| T1046 | 网络服务发现 | 网络服务发现是攻击者识别目标网络中可用服务及其配置信息的关键侦察技术,通常涉及端口扫描、协议探测和拓扑映射等操作。攻击者通过获取运行中的服务类型、版本及关联漏洞信息,为后续攻击链构建提供支撑。传统检测手段主要依赖流量异常分析(如端口扫描频率检测)、协议合规性验证(如非常规协议交互识别)以及云API调用审计等手段进行防御,通过关联多源日志识别可疑服务探测行为。 | |
| .001 | 分布式代理节点轮询探测 | 分布式代理节点轮询探测(Distributed Proxy Node Polling Detection)是一种利用分布式代理网络执行服务发现的高级隐匿技术。攻击者通过控制分布在多个地理区域的代理节点,将服务探测任务拆解为离散的探测请求,并按照预设的时间间隔在节点间轮转执行。每个代理节点仅执行有限次数的端口探测或协议握手操作,随后切换至新的网络出口节点,使得探测流量在空间维度和时间维度上均呈现分散特征。该技术特别注重代理节点的动态更新机制,通常采用暗网节点池或公共代理服务实现身份隐匿。 | |
| .002 | 协议模拟交互探测 | 协议模拟交互探测(Protocol Simulation Interaction Detection)是一种通过深度模拟合法协议交互过程实现服务识别的隐匿技术。攻击者不再依赖传统的端口扫描或Banner抓取,而是构建全协议栈模拟环境,以业务逻辑合规的交互流程探测目标服务。例如模拟物联网设备的MQTT协议订阅请求、复制工业控制系统的Modbus/TCP寄存器读取操作,或伪装成视频监控系统的RTSP会话协商,通过分析协议响应中的细微差异推断服务类型及版本信息,而非依赖显式服务标识。 | |
| T1497 | 虚拟化/沙盒规避 | 虚拟化/沙盒规避技术是攻击者用于检测并逃避虚拟化环境或沙盒分析的关键对抗手段,通过识别分析环境特征改变恶意代码行为,防止核心功能暴露。传统检测方法依赖静态环境特征比对(如特定注册表项、进程列表),防御方可利用行为监控、硬件指纹混淆等技术进行应对。但随着对抗升级,攻击者发展出更隐蔽的规避手法,形成多维立体的环境感知与动态适应体系。 | |
| .001 | 环境指纹动态检测 | 环境指纹动态检测(Dynamic Environment Fingerprint Detection)是一种通过实时采集系统运行特征识别虚拟化或沙盒环境的高阶规避技术。该技术构建多层次检测指标体系,涵盖硬件特征(如CPU指令集差异)、软件配置(如特定驱动文件)、运行时行为(如内存分配模式)等维度,采用多因子加权决策模型判断当前执行环境属性。区别于传统静态特征检测,其通过注入探针代码实时捕获系统调用轨迹,结合机器学习算法动态生成环境可信度评分,在保持检测精度的同时避免触发沙盒监控机制。 | |
| .002 | 沙盒环境感知型代码混淆 | 沙盒环境感知型代码混淆(Sandbox-Aware Code Obfuscation)是一种根据运行时环境特征动态调整代码结构的自适应混淆技术。该技术构建包含控制流扁平化、指令集随机化、元数据剥离等多重混淆策略的策略库,在代码加载阶段通过环境探针检测结果选择最优混淆方案。当检测到沙盒监控迹象时,自动启用深度混淆模式,插入大量无害代码分支干扰控制流分析;在真实用户环境则降低混淆强度以提升执行效率。 | |
| T1652 | 设备驱动程序探测 | 设备驱动程序探测是攻击者通过枚举系统加载的驱动信息来识别安全防御机制、虚拟化环境或潜在漏洞的侦察技术。攻击者通常利用系统内置工具(如Windows的driverquery或Linux的lsmod)、API接口或注册表查询获取驱动版本、加载状态及关联服务等情报,为后续权限提升或防御规避提供支撑。传统防御手段主要依赖驱动加载监控、系统工具行为分析以及注册表变更检测等技术,通过识别非常规驱动查询行为或异常API调用模式进行威胁发现。 | |
| T1622 | 调试器规避 | 调试器规避是攻击者检测并规避调试分析环境的关键对抗技术,涉及对系统调试接口、运行时环境和时序特征的深度利用。传统防御依赖于监控敏感API调用(如IsDebuggerPresent)和分析异常进程行为(如频繁环境检查),通过行为沙箱或动态污点分析捕获反调试企图。现代终端检测与响应(EDR)系统可结合机器学习模型识别可疑的调试器交互模式。 | |
| T1087 | 账号发现 | 账号发现是攻击者通过枚举系统或环境中有效账户信息来支持后续攻击的关键侦察技术,涉及本地系统账户、域账户、云服务账户等多类目标的识别。传统检测手段通过监控账户管理命令(如net user)、异常API调用模式以及高频查询行为进行防御,重点关注进程创建日志、身份验证事件和目录服务操作等数据源。 | |
| .001 | 合法API接口伪装查询 | 合法API接口伪装查询(Legitimate API Interface Camouflage Query)是一种利用目标系统或云平台提供的标准接口实施隐蔽账户枚举的技术。攻击者通过模拟合法客户端行为,调用系统内置的账户管理API(如Azure AD Graph API、AWS IAM ListUsers接口),将恶意查询请求伪装成正常的业务操作。该技术充分利用现代IT架构中API接口普遍存在的特性,通过精确控制请求参数和调用频率,使账户枚举行为融入日常运维流量,规避基于异常接口调用的检测机制。 | |
| .002 | 凭证模糊化异步遍历 | 凭证模糊化异步遍历(Credential Obfuscation Asynchronous Traversal)是一种基于模糊查询和分布式任务调度的隐蔽账户探测技术。攻击者通过构造非精确查询条件(如部分匹配用户名、模糊邮箱域名),利用目标系统账户检索功能的容错机制,以多线程异步方式实施分布式低强度探测。该技术避免传统账户枚举中高频精准匹配的特征,通过将单次高风险的枚举操作转化为大量低置信度查询,在获取有效账户信息的同时规避基于请求模式识别的防御系统。 | |
| .003 | 元数据隐蔽提取技术 | 元数据隐蔽提取技术(Metadata Stealth Extraction)是一种通过解析非结构化数据中的账户痕迹实现隐蔽信息收集的方法。攻击者利用目标系统日志文件、文档属性、缓存数据等非敏感数据源,通过深度内容挖掘提取潜在账户信息。该技术规避了直接查询账户数据库或API接口的风险,通过合法文件访问操作获取敏感信息,显著降低行为异常性。 | |
| T1518 | 软件发现 | 软件发现是攻击者通过枚举系统或云环境中安装的软件及其版本来收集情报的技术,通常用于识别潜在攻击面(如存在漏洞的软件版本)或安全防护措施(如杀毒软件)。传统检测方法通过监控进程创建事件、命令行参数特征以及异常API调用序列来识别恶意枚举行为,防御措施侧重限制敏感工具的访问权限和实施最小特权原则。 | |
| .001 | 合法管理工具劫持 | 合法管理工具劫持(Legitimate Management Tool Hijacking)指攻击者通过劫持系统内置管理组件(如WMIC、PowerShell)执行软件枚举操作的技术。该技术通过调用操作系统原生接口获取软件信息,将恶意查询指令封装在合法管理命令中,利用白名单机制绕过应用控制策略。攻击者通常会构造复合型命令脚本,将软件发现任务与系统维护操作混合执行,实现恶意行为的上下文伪装。 | |
| .002 | 软件信息碎片化嗅探 | 软件信息碎片化嗅探是一种基于旁路数据聚合的渐进式软件识别技术。攻击者通过收集目标系统产生的碎片化版本痕迹(如软件更新临时文件、崩溃报告元数据、浏览器用户代理字符串),结合跨平台的关联分析,逐步构建完整的软件清单。例如:解析Windows事件日志中的.NET Framework加载记录、提取Linux包管理器缓存中的部分事务ID、捕获网络流量中的TLS协议指纹等,通过多源异构数据的融合分析推断出安装的软件及其版本。 | |
| T1057 | 进程发现 | 进程发现是攻击者通过枚举系统运行进程获取环境信息的技术,通常使用系统内置工具或API调用来识别关键进程(如安全软件、监控代理),为后续权限提升、防御规避或横向移动提供情报支撑。防御方可通过监控敏感API调用、分析异常命令行参数、检测非常规进程树结构等手段进行防护,重点关注低权限账户执行系统级进程查询、多进程信息批量导出等异常行为。 | |
| .001 | 内存驻留规避扫描 | 内存驻留规避扫描(Memory-Resident Evasion Scanning)是一种通过完全驻留内存执行进程发现操作的技术。该技术利用无文件攻击原理,将进程枚举代码注入到合法进程的内存空间中运行,避免在磁盘留下可检测的恶意文件。通过调用系统原生API(如Windows的NtQuerySystemInformation或Linux的/proc虚拟文件系统接口),直接从内存中提取进程列表及详细信息,同时采用动态内存擦除机制,确保每次操作后清除内存痕迹。该技术有效规避了传统基于磁盘特征扫描和进程创建日志的检测手段。 | |
| .002 | 合法系统工具滥用 | 合法系统工具滥用(Legitimate System Tool Abuse)指攻击者利用操作系统内置管理工具执行进程发现操作的技术。通过调用系统预装的命令行工具(如Windows的tasklist、PowerShell的Get-Process,或Linux的ps命令),构造符合正常运维场景的查询参数,将恶意进程发现行为伪装成系统管理员的标准操作。攻击者会精心设计命令参数组合,例如在Windows中采用tasklist /V /FO CSV格式输出,模拟自动化运维脚本的标准调用方式,同时利用工具本身的数字签名绕过应用程序白名单检测。 | |
| .003 | 进程树注入发现 | 进程树注入发现(Process Tree Injection Discovery)是通过将进程发现代码注入到具有合法父子关系的进程链中实现隐蔽侦察的技术。攻击者首先识别目标系统中存在稳定进程继承关系的服务(如Windows服务控制管理器启动的svchost.exe实例簇),然后通过线程注入或DLL侧载等方式,在子进程创建时植入进程枚举模块。该模块随进程树自然扩展而自动执行,利用进程间的信任关系规避安全软件的子进程监控,并将发现结果通过进程间通信(IPC)通道回传至父进程。 | |
| .004 | 低频时间混淆查询 | 低频时间混淆查询(Low-Frequency Temporal Obfuscation Query)是通过随机化进程发现操作的时间分布特征实现隐匿的技术。攻击者将传统的集中式进程枚举拆解为多个微操作,以不规则时间间隔分布在数小时甚至数天内执行。每次仅查询有限数量的进程属性(如每次获取2-3个进程的CPU占用率),并通过多维度参数随机化(包括时间戳偏移、查询字段组合、输出格式变换)确保每次操作具备唯一性特征,避免触发基于行为模式匹配的检测规则。 | |
| T1018 | 远程系统发现 | 远程系统发现是攻击者通过各类网络协议和系统工具识别目标环境中可用设备及其拓扑关系的技术手段,通常为后续横向移动和权限提升提供关键情报。传统检测方法主要监控异常进程行为(如短时间内连续执行ping、net view命令)、分析协议交互特征(如非常规端口扫描模式)以及识别非常规工具使用(如渗透测试框架中的网络发现模块)。防御措施包括强化网络设备日志审计、实施严格的权限隔离策略以及部署网络流量异常检测系统。 | |
| .001 | 协议合规化网络拓扑测绘 | 协议合规化网络拓扑测绘(Protocol-Compliant Network Topography Mapping)是一种通过完全遵循标准协议规范实施网络节点探测的隐蔽技术。攻击者深度研究目标网络环境中的合法管理协议(如SNMP、LLDP、CDP等),构造符合协议标准的查询请求,利用网络设备间的正常管理通信机制获取拓扑信息。该技术的关键在于精确模拟网络管理员日常运维行为,确保每个探测数据包在协议字段、交互时序、载荷结构等方面与合法流量保持高度一致,避免触发基于协议异常检测的安全机制。 | |
| .002 | 基于云服务元数据API的隐蔽发现 | 基于云服务元数据API的隐蔽发现(Cloud Metadata API-Based Stealth Discovery)是攻击者利用云计算平台提供的元数据服务实施节点探测的新型技术。该技术通过向目标云实例的元数据接口(如AWS的169.254.169.254、Azure的169.254.169.254)发送标准化API请求,在不触发网络层监控的情况下获取虚拟机的网络配置、安全组规则及相邻节点信息。攻击者通过伪装成云平台授权服务身份,将恶意查询指令嵌套在云服务正常的元数据更新流程中,利用HTTPS加密通道和IAM权限验证机制实现探测行为的深度隐匿。 | |
| .003 | 分布式低频存活探测 | 分布式低频存活探测(Distributed Low-Frequency Liveness Detection)是通过多节点协同实施超低频率网络存活检测的隐蔽技术。攻击者将传统高强度的ICMP扫描或端口探测任务拆解为多个子任务,通过僵尸网络或云函数集群进行分布式调度,每个节点仅执行极少量探测请求(如每日1-2次),且请求间隔遵循泊松分布模式。该技术通过将探测行为在时间和空间维度双重稀释,使单节点活动强度低于常见检测系统的阈值设定,同时利用多源IP的天然分散特性破坏行为关联分析。 | |
| .004 | 合法管理协议劫持 | 合法管理协议劫持(Legitimate Management Protocol Hijacking)是指攻击者通过控制已授权的网络管理通道实施隐蔽节点发现的技术。该技术利用目标网络中既有的监控系统(如Zabbix、Nagios)或配置管理工具(如Ansible、Puppet),通过注入恶意探测指令或篡改配置参数,将节点发现任务嵌入正常的运维工作流程。攻击者通过窃取管理凭证或利用漏洞获取系统权限,使探测行为在身份认证、协议交互、日志记录等层面均呈现合法特征,实现深度潜伏式网络测绘。 | |