密态对抗中的数据渗出战术是指攻击者在实施数据窃取过程中,通过协议仿形、载荷隐匿、传输降维等系统性手段,消除或混淆数据外传行为特征,规避传统安全机制检测的隐蔽化操作范式。
在数据渗出阶段,匿迹战术聚焦于重构数据泄露的生命周期特征,构建与正常业务传输行为难以区分的隐蔽通道。攻击者采用多层级载荷分割技术将目标数据离散化,通过时间维度稀释传输密度,使单次数据包载荷特征低于常规检测阈值。传输路径设计上,通过复用目标系统内已授权的通信协议、云服务接口或供应链协作链路,将窃密流量嵌套于合法业务交互中。针对数据封装环节,攻击者创新应用自适应编码机制,动态调整加密模式与元数据结构,实现数据特征与载体媒介的深度耦合。此外,攻击者建立具备环境感知能力的传输调控体系,根据网络流量态势实时调整渗出速率与连接模式,确保外传行为符合目标环境的基线波动范围。
匿迹战术显著降低了数据渗出行为的时空集中性与协议异常性,使得传统基于流量阈值告警或固定特征匹配的检测机制面临失效风险。攻击者通过将窃密过程拆解为多阶段、低关联的微操作序列,有效规避了全流量审计系统的行为建模。动态化的传输控制机制使攻击者能够持续维持数据渗出通道,在长期潜伏中完成大规模信息窃取。该战术还通过构建与业务实体强绑定的传输路径,迫使防御方在阻断恶意流量与保障正常业务之间陷入决策困境,大幅提升攻击行为的可持续性与操作安全性。
匿迹战术对依赖协议深度解析或静态行为特征库的数据防泄露系统形成实质性突破。传统基于数据指纹识别或传输频率统计的防御模型,难以应对动态编码与协议嵌套的新型渗出方式。防御方需构建基于数据流转态势感知的防护体系,通过数据血缘追踪、上下文敏感检测等技术识别非常规传输链路的逻辑异常。同时,应建立跨终端、网络、应用层的多维行为基线分析框架,结合数据访问权限的动态评估机制,实现对隐蔽渗出行为的早期发现与精准阻断。引入对抗性机器学习模型对自适应编码行为进行特征解构,可有效提升对新型匿迹渗出技术的检测鲁棒性。
| ID | Name | Description | |
| T1537 | 传输数据至云账户 | 传输数据至云账户是指攻击者利用云服务提供商的原生功能,将窃取的数据转移至其控制的云账户。该技术通过滥用云平台的数据共享API、备份服务及跨账户传输机制,规避传统基于网络边界监控的数据渗出检测。防御措施主要包括监控账户间的异常数据共享行为、分析云日志中的可疑API调用(如AWS CloudTrail的ModifySnapshotAttribute事件)以及审查临时访问凭证的签发记录。 | |
| .001 | 多云账户数据分片聚合 | 多云账户数据分片聚合技术通过将待渗出数据分割为多个加密片段,分别传输至不同云服务商的受控账户,最后在云端进行重组。攻击者利用企业多云架构中存在的合法跨云通信通道(如AWS Direct Connect与Azure ExpressRoute的混合连接),将数据片段伪装成跨云负载均衡流量或分布式存储同步流量。每个片段传输过程均遵循对应云平台的数据传输规范,且片段尺寸经过精心设计以匹配目标账户的正常业务流量模型。 | |
| T1030 | 数据传输大小限制 | 数据传输大小限制指攻击者通过控制单次传输数据量来规避检测的技术手段,通常将窃取数据分割为符合网络监控阈值的碎片化单元进行传输。传统检测方法通过分析异常数据流特征(如客户端持续发送固定大小数据包)、检查协议合规性(如非标准分片行为)以及识别非常规网络连接进行防御。防御方需结合流量基线分析、协议深度解析和端点行为监控构建多维检测体系。 | |
| .001 | 分块加密传输 | 分块加密传输(Chunked Encrypted Transfer)是一种通过将数据切割为固定大小的加密数据块进行传输的隐蔽数据外泄技术。攻击者将待窃取数据分割为符合网络设备检测阈值的碎片化单元,每个数据块单独进行端到端加密处理,并通过正常业务交互通道(如HTTPS会话)进行传输。该技术通过双重隐匿机制——数据分块降低单次传输特征、加密处理隐藏内容语义——规避传统基于流量阈值告警和内容特征检测的防御体系,同时保持数据传输的完整性。 | |
| .002 | 协议内分片传输 | 协议内分片传输(Protocol-Embedded Fragmentation)是一种利用标准协议固有特性实现数据隐蔽传输的高级匿迹技术。攻击者深入研究目标网络允许的协议规范(如TCP分段机制、HTTP Range请求),将窃取数据伪装成协议规定的合法分片操作,通过长时间、低速率的分片传输完成数据外泄。该技术通过协议合规性规避内容审查,利用协议容错机制实现数据重组,使得防御系统难以从海量协议分片中识别恶意载荷。 | |
| .003 | 云存储分段上传 | 云存储分段上传(Cloud Storage Multipart Upload)是一种利用云服务API特性实现数据隐蔽外泄的技术。攻击者将窃取数据分割为符合云平台分段上传接口规范的多个片段,通过合法账户凭证调用云服务API接口,将数据片段上传至预先创建的存储容器中。该技术通过云服务流量白名单特性规避网络层检测,利用云平台的数据持久化机制实现碎片化数据的远程重组,形成"化整为零-云端聚合"的隐蔽传输链路。 | |
| T1048 | 替代协议渗出 | Adversaries may steal data by exfiltrating it over a different protocol than that of the existing command and control channel. The data may also be sent to an alternate network location from the main command and control server. | |
| .001 | 合法云服务API滥用渗出 | 合法云服务API滥用渗出(Legitimate Cloud Service API Abuse Exfiltration)是指攻击者利用公有云平台提供的标准化API接口,将窃取数据伪装成正常业务请求进行隐蔽传输的技术。该技术通过合法身份认证接入云服务(如AWS S3、Microsoft Graph API),将敏感数据嵌入文件上传、日志导出等合规操作流程,利用云服务海量的日常API调用流量掩盖渗出行为。攻击者通常伪造正常用户行为模式,严格遵守API调用频率限制,使数据渗出过程完全融入企业常规云业务交互中,规避传统基于协议异常性或目标黑名单的检测机制。 | |
| .002 | 协议嵌套加密渗出 | 协议嵌套加密渗出(Protocol Encapsulation with Encrypted Exfiltration)是指攻击者将渗出数据封装在常见网络协议的应用层载荷中,并通过加密手段隐藏数据特征的隐蔽传输技术。该技术通常选择DNS、ICMP或HTTP/2等具有高网络容忍度的协议,将窃取信息进行分层加密后嵌入协议规范允许的字段(如DNS TXT记录、HTTP头部扩展字段),利用协议自身的合法性与普遍性规避深度检测。攻击者通过构建协议合规的外层数据包,确保中间网络设备仅执行基础协议解析而不触发内容审查,同时在内层实施AES-GCM等强加密算法保护数据机密性。 | |
| .003 | 低频分片式渗出 | 低频分片式渗出(Low-Frequency Fragmented Exfiltration)是通过将大量窃取数据分割为多个微小片段,并经由不同协议、不同时间窗口进行缓慢渗出的隐蔽传输技术。该技术将传统高带宽的单次渗出行为解构为数百个低速率、长周期的传输事件,每个事件的数据量严格控制在目标网络流量基线波动范围内。攻击者采用自适应分片算法,根据目标网络实时带宽利用率动态调整分片大小与传输间隔,确保渗出流量始终低于异常检测阈值。同时结合多协议交替传输策略,将数据片段通过HTTP POST、SMTP附件、SMB文件写入等多种渠道分散输出,破坏数据完整性的可重构性。 | |
| .004 | 协议模拟与流量伪装 | 协议模拟与流量伪装(Protocol Simulation and Traffic Camouflage)是指攻击者精确模仿特定应用或服务的协议交互模式,使渗出流量在行为特征层面与合法业务流量高度一致的技术。该技术通过逆向工程目标网络中的主流应用协议(如视频流传输、物联网设备遥测),构建具备完整协议状态机的渗出工具,确保每个数据包在时序、载荷结构、错误重试等维度与真实业务流量无统计学差异。例如,将渗出数据编码为视频流中的RTP时间戳偏移量,或嵌入工业控制系统的Modbus寄存器更新指令中,利用协议容错性实现隐蔽传输。 | |
| T1020 | 自动化渗出 | 自动化渗出指攻击者通过预设脚本或程序自动执行数据窃取与传输的过程,通常与数据收集阶段紧密衔接。该技术利用程序化操作实现高效持续的数据渗出,常通过命令控制信道(C2)或替代协议(如DNS、HTTP)进行传输。防御方可通过监控异常文件访问模式(如非业务进程遍历多目录)、检测非常规网络连接(如内部主机与未知外部端点持续通信)等手段进行识别,并采用数据流分析识别未授权传输行为。 | |
| .001 | 分片混淆渗出 | 分片混淆渗出(Fragmented Obfuscation Exfiltration)是一种将窃取数据分割为多个片段并嵌入正常业务流量进行传输的隐蔽渗出技术。攻击者利用数据分片算法将敏感信息拆解为多个微片段,通过动态混淆技术将数据包与合法业务数据(如HTTP文件传输、邮件附件、云同步流量)混合,同时采用多层编码(如Base64嵌套、自定义字符替换)改变数据特征。该技术通过分而治之的策略规避传统数据泄露防护系统(DLP)对完整数据结构的检测能力,实现数据窃取行为的碎片化隐匿。 | |
| .002 | 合法协议隧道化渗出 | 合法协议隧道化渗出(Legitimate Protocol Tunneling Exfiltration)是通过建立符合标准协议规范的加密隧道实现数据隐蔽传输的技术。攻击者利用HTTPS、SSH、MQTT等合法协议的内置加密机制,构建端到端加密通道,将窃取数据封装在协议载荷中进行传输。通过严格遵循协议交互规范(如TLS握手流程、HTTP/2帧结构),该技术使渗出流量在协议层面呈现完全合规特征,同时利用协议扩展字段(如HTTP头部X-Forwarded-For)或载荷填充区嵌入控制指令,实现渗出行为的深度隐藏。 | |
| .003 | 低频时序渗出 | 低频时序渗出(Low-Frequency Temporal Exfiltration)是通过精确控制数据渗出节奏实现行为隐匿的技术。攻击者采用自适应时序算法,根据目标网络流量基线动态调整渗出周期,将数据包发送间隔控制在正常业务波动范围内(通常大于30分钟)。通过结合节假日模式识别、目标业务高峰预测等上下文感知技术,确保渗出时段与合法流量高峰重叠,同时采用随机抖动算法(如泊松分布)破坏传输时序规律性,使渗出行为完全融入背景流量。 | |
| T1041 | 通过C2信道渗出 | 通过C2信道渗出是指攻击者利用已建立的命令控制通道秘密传输窃取数据的技术,其通过复用现有通信链路避免创建新连接引发的检测风险。传统检测方法主要监控异常数据流向(如客户端异常上传量)和协议行为偏差(如端口使用不符合预期协议)。防御措施包括深度包检测、流量基线分析和协议合规性验证。 | |
| T1011 | 通过其他网络介质渗出 | 通过其他网络介质渗出是指攻击者利用非标准网络通道(如蓝牙、射频信号、物理连接等)传输窃取数据的技术手段。与常规网络渗出不同,该技术规避企业网络安全边界防护,利用辅助通信接口或物理层媒介建立隐蔽传输通道。防御措施主要包括监控非常规网络接口的异常活动、分析设备驱动程序行为异常,以及检测未授权无线电信号发射等。 | |
| .001 | 短距无线通信隐蔽传输 | 短距无线通信隐蔽传输(Short-Range Wireless Covert Transmission)是利用蓝牙、NFC、ZigBee等近场通信协议实现数据渗出的隐蔽渗透技术。攻击者通过劫持或仿冒合法设备的无线通信接口,将窃取数据编码嵌入到符合协议规范的数据帧中,利用物理距离限制和协议碎片化传输特性规避传统网络流量监控。该技术通常需要预先植入的恶意程序建立非IP通信通道,利用设备固件层协议栈实现数据封装,并通过动态调整发射功率控制信号覆盖范围,确保渗出行为仅能在物理邻近区域被捕获。 | |
| .002 | 低频射频信号分片渗出 | 低频射频信号分片渗出(Low-Frequency RF Fragmented Exfiltration)是通过调制低频电磁波实现数据渗出的高级隐匿技术。攻击者将窃取信息编码为特定频段的电磁信号,利用计算机主板、外设接口或IoT设备的电磁辐射特性实施隐蔽传输。该技术通过分时复用多个硬件组件的电磁发射特征,将完整数据集分割为多个信号片段,结合跳频技术和伪随机时序调度算法,使渗出过程在频谱维度呈现离散化、非连续的特征分布,规避射频信号检测设备的持续监控。 | |
| .003 | 合法IoT设备通信流量寄生渗出 | 合法IoT设备通信流量寄生渗出(Legitimate IoT Traffic Parasitic Exfiltration)是通过劫持物联网设备的正常通信链路实现数据渗出的隐蔽技术。攻击者逆向分析目标IoT设备与云端服务的交互协议,在保持设备基础功能正常运作的前提下,将窃取数据嵌入设备状态上报数据包或固件升级请求中。该技术充分利用IoT设备通信固有的间歇性、低带宽特性,通过时间戳混淆、数据字段复用等手法,使渗出流量在业务逻辑和协议结构层面均符合设备制造商规范,实现恶意数据与合法流量的深度耦合。 | |
| T1052 | 通过物理介质渗出 | 通过物理介质渗出是指攻击者利用可移动存储设备或特殊硬件,将数据从目标系统转移至物理载体进行非法传输的技术手段。传统防御措施主要依赖物理访问控制、可移动存储设备监控以及介质挂载行为分析等手段,通过检测异常文件操作或未授权外设连接来阻断渗出行为。典型防护方案包括部署设备指纹识别系统、实施介质加密策略,以及监控USB接口的电力消耗模式。 | |
| .001 | 隐蔽式微型存储介质植入 | 隐蔽式微型存储介质植入(Covert Micro Storage Implantation)是针对物理隔离网络设计的特殊数据渗出技术。攻击者通过改造微型存储设备(如纳米级SD卡、嵌入式闪存芯片),将其物理尺寸缩小至常规检测设备的识别阈值之下,或伪装成电子元件(如电容、电阻)集成到合法外设中。此类介质通常具备自动休眠、电磁屏蔽、容量动态分配等特性,可在不触发物理安检警报的前提下,通过供应链污染或社会工程手段渗透至目标环境,实现数据隐蔽存储与物理运输。 | |
| .002 | 合法外设功能复合型渗出 | 合法外设功能复合型渗出(Legitimate Peripheral Function Hybridization)是通过改造商用电子设备实现数据隐蔽传输的技术形态。攻击者将数据渗出功能与设备原生功能(如电源管理、信号转换)深度耦合,例如在USB充电器中集成Wi-Fi模块,或在视频会议摄像头中植入蓝牙传输单元。此类设备通过硬件层面的功能叠加,在完成正常业务操作的同时,利用非标通信协议建立隐蔽信道,使数据渗出过程完全融合于设备标准工作流程中。 | |
| .003 | 无线近场非接触式数据迁移 | 无线近场非接触式数据迁移(Wireless Near-Field Contactless Data Migration)是利用电磁场或光信号实现短距离隐蔽传输的创新渗出方式。该技术通过改造设备物理接口,在无需直接物理接触或可见无线连接的情况下,利用近场通信(NFC)、红外激光或超声波等载体传输数据。例如,将计算机总线信号调制为特定频率的电磁辐射,通过放置在附近的接收设备进行捕获解码,或使用屏幕背光频闪编码传输数据至光学传感器。 | |
| T1567 | 通过网络服务渗出 | 通过网络服务渗出是指攻击者利用合法Web服务(如云存储、社交媒体或企业API)作为数据外传通道的技术,通过滥用这些服务预设的信任关系和加密通信机制,规避传统基于协议特征或流量异常的检测手段。防御方通常通过监控非常规数据流向(如客户端异常上传量)、检测未授权服务访问或分析用户行为模式来识别潜在渗出行为。 | |
| .001 | 分块加密云存储渗出 | 分块加密云存储渗出是一种利用主流云存储服务(如Google Drive、Dropbox)实现数据隐蔽传输的技术。攻击者将待渗出的数据分割为多个加密片段,通过合法账户分批次上传至云存储空间,随后通过其他渠道传递解密密钥或重组指令。该技术利用云服务的高信誉度和HTTPS加密特性,将数据渗出行为伪装成正常的文件同步操作,有效规避传统基于流量内容检测的防御机制。 | |
| .002 | 社交媒体隐写渗出 | 社交媒体隐写渗出是通过社交媒体平台(如Twitter、Instagram)的媒体文件共享功能实施数据渗出的隐蔽技术。攻击者利用数字隐写术将敏感数据嵌入图片EXIF元数据、视频帧间冗余区域或音频频谱空隙,通过正常内容发布流程完成数据传输。该技术借助社交媒体平台庞大的用户基数和高频交互特性,使渗出流量完全融入用户生成内容(UGC)生态,形成天然的隐蔽通道。 | |
| .003 | 合法API滥用渗出 | 合法API滥用渗出是指攻击者劫持企业已授权的第三方服务API(如Slack、Microsoft Graph),将渗出数据封装为合规API请求进行传输的技术。通过分析目标组织的常用集成服务,攻击者构造符合业务逻辑的API调用序列(如文件上传、日志上报),在正常业务交互中夹带渗出数据。该技术利用企业网络对可信API端口的开放策略,实现渗出流量与合法业务流量的深度混淆。 | |
| T1029 | 预定传输 | 预定传输是指攻击者通过预设时间策略实施数据外泄的技术,其核心特征是将传输行为与目标系统的合法业务周期相耦合,降低异常流量被检测的概率。传统检测方法主要依赖传输行为的时间规律性识别(如固定周期心跳)、数据包完整性分析(如大文件传输特征)以及协议合规性验证(如异常字段内容)。防御措施包括监控进程的周期性网络活动、分析传输时间模式异常以及检测非常规协议使用等。 | |
| .001 | 多节点离散化低频传输 | 多节点离散化低频传输(Multi-node Discretized Low-Frequency Transfer)是一种通过分布式架构重构数据传输特征的隐匿技术。该技术将待外传数据分割为多个微载荷,分配至不同地理位置的跳板节点执行分阶段传输,每个节点仅承担有限数据量的低频次转发任务。通过引入动态路由算法,构建传输路径的时空离散化拓扑结构,使得单次传输行为在时间上呈现非周期性、在空间上呈现多源分散性,有效破坏传统检测系统对连续数据传输模式的识别能力。 | |
| .002 | 合法协议嵌入传输 | 合法协议嵌入传输(Legitimate Protocol Embedded Transfer)是通过劫持目标网络中的合规协议通道实现数据隐蔽外泄的高级技术。攻击者深度解析目标环境中的业务协议(如HTTP/2、MQTT、gRPC),将外泄数据编码后嵌入协议规范允许的扩展字段或心跳包冗余位,利用业务系统固有通信周期完成数据传输。该技术在云环境数据窃取、物联网设备信息泄露等场景中被广泛应用,典型案例包括利用视频监控系统的RTSP协议元数据字段传输敏感信息。 | |