密态对抗中的影响释放战术是指攻击者在实施破坏性操作时,通过时序分离、行为解耦、痕迹伪装等手段将恶意影响转化为可归因于系统固有缺陷或正常运维行为的策略体系。
在影响释放阶段,匿迹战术聚焦于构建破坏行为与系统运行异常之间的因果模糊性。攻击者采用渐进式破坏机制,将单次大规模破坏动作拆解为多阶段、低强度操作,通过合法业务操作接口实施隐蔽参数篡改或逻辑干扰。在数据销毁层面,攻击者通过系统内置维护功能实现数据擦除,或利用存储介质物理特性设计不可逆但符合硬件规范的数据损坏模式。针对关键业务链路的破坏行为,攻击者构建与系统高负载状态相耦合的资源耗尽模型,使异常现象呈现自然故障特征。在攻击时序维度,采用延迟触发、环境关联激活等机制实现破坏效果的滞后显现,切断操作指令与最终影响间的直接关联。
匿迹战术使破坏性攻击具备环境自适应性,将传统显性攻击转化为难以追溯的"完美事故"。攻击者通过降低单次操作强度与提升行为合法性,有效规避基于异常行为阈值的检测机制,确保攻击链在最终阶段仍保持隐蔽性。破坏效果与系统运行状态的深度耦合显著提升了事件归因难度,迫使防御方需投入更高成本进行攻击意图验证。这种隐蔽化的影响释放模式不仅延长了攻击者的驻留时间窗口,还为后续二次攻击创造了战略欺骗空间。
匿迹战术对传统基于行为特征匹配的防御体系形成降维打击,其破坏模式与系统固有脆弱性的高度重合导致根本原因分析失效。防御方需构建多维行为基线分析系统,通过业务逻辑完整性验证、操作意图逆向推导等技术识别隐蔽破坏链。同时应建立全生命周期影响评估模型,结合数据血缘追踪与状态快照比对技术,实现对渐进式破坏的早期感知。在架构层面,需推行可信执行环境与零信任数据访问机制,从根本上阻断非授权操作对关键业务组件的隐蔽影响路径。
| ID | Name | Description | |
| T1495 | 固件篡改 | 固件篡改是指攻击者通过修改设备固件破坏系统功能或阻止设备启动的攻击技术,常导致硬件永久性损坏。传统防御手段聚焦于固件完整性校验(如UEFI Secure Boot)、更新包签名验证、以及BIOS写保护机制,通过监控固件存储区域异常写入行为进行检测。 | |
| T1486 | 数据加密以实现影响 | 数据加密以实现影响是攻击者通过加密关键数据破坏目标系统可用性的终极攻击手段,常见于勒索软件攻击链的最终阶段。传统检测方法主要依赖识别异常文件修改模式(如大规模文件重命名、加密头特征)、监控系统工具滥用(如vssadmin删除卷影副本)以及检测加密进程行为特征。防御方可通过文件完整性监控、存储快照保护和进程行为分析等手段进行缓解。 | |
| .001 | 动态加密算法轮换 | 动态加密算法轮换(Dynamic Encryption Algorithm Rotation)是一种通过周期性变更加密算法核心参数实现特征混淆的隐蔽加密技术。攻击者在单次攻击过程中采用多种加密算法(如AES、RSA、ChaCha20等)的混合应用,并实时调整密钥长度、初始化向量或填充模式等参数,使得加密过程产生的数据特征无法形成稳定指纹。该技术可有效对抗基于静态算法特征的检测模型,确保每次加密操作在密码学层面呈现差异化特征,同时保持数据破坏的最终效果。 | |
| .002 | 合法进程注入加密 | 合法进程注入加密(Legitimate Process Injection Encryption)是指将加密操作嵌入到系统可信进程(如explorer.exe、svchost.exe)或常用应用软件(如压缩工具、办公软件)内存空间中执行的技术。该技术通过进程空洞注入或DLL劫持等方式,劫持合法程序的加密API调用链,将恶意加密任务伪装成正常应用程序的数据处理行为,从而绕过基于进程白名单或行为基线模型的检测机制。 | |
| .003 | 分阶段加密延迟触发 | 分阶段加密延迟触发(Phased Encryption with Delayed Activation)是一种通过时间维度分散加密操作的新型数据破坏技术。攻击者将加密任务拆分为初始化、准备、触发三个阶段:初期仅对少量非关键文件进行测试性加密,中期通过低强度加密建立行为基线,最终在预设条件(如特定时间、事件触发)下启动全盘加密。这种渐进式策略旨在规避基于突发性大规模文件修改的检测模型,同时通过长期潜伏收集系统防御情报。 | |
| .004 | 云存储API滥用加密 | 云存储API滥用加密(Cloud Storage API Abuse Encryption)是针对云环境设计的隐蔽数据破坏技术。攻击者通过窃取的云服务凭证或利用配置错误的IAM策略,调用云平台原生加密API(如AWS KMS、Azure Storage Service Encryption)对存储对象实施二次加密。该技术将恶意加密操作伪装成合规的数据保护行为,利用云服务商的内置加密功能覆盖原始数据,并通过保留合法API调用日志规避云安全态势管理(CSPM)工具的异常检测。 | |
| T1565 | 数据操控 | 数据操控指攻击者通过插入、删除或篡改数据影响业务决策或隐藏恶意活动的技术手段,其直接威胁数据完整性并可能引发级联破坏。传统防御依赖文件哈希校验、日志审计及传输层完整性验证等手段,通过识别异常数据特征或操作记录发现攻击痕迹。然而,复杂系统的数据处理流程与加密通信机制为攻击者提供了隐匿篡改行为的可乘之机。 | |
| .001 | 隐蔽数据注入 | 隐蔽数据注入(Covert Data Injection)是一种通过模仿合法数据模式实现恶意内容植入的技术。攻击者通过分析目标系统的数据输入规范,构建符合业务逻辑的虚假数据记录,将恶意操作伪装成正常事务处理流程。该技术利用系统对数据完整性的信任机制,在保持数据格式合规性的前提下,将篡改行为融入常规业务操作,例如在金融交易中插入伪造的转账指令,或在工业控制系统中注入隐蔽的参数修改命令。 | |
| .002 | 数据时间线混淆 | 数据时间线混淆(Data Timeline Obfuscation)是通过伪造数据时间戳与操作日志,破坏事件序列关联性的高级隐匿技术。攻击者利用系统日志的时间同步漏洞或审计机制缺陷,对数据操作记录进行跨时区、跨节点的时序重构,制造虚假的时间轨迹。该技术可针对数据库事务日志、文件修改记录及系统审计事件,通过逆向修改时间元数据,使得数据篡改行为在时间维度上呈现"合法历史操作"特征。 | |
| .003 | 加密载荷隐写 | 加密载荷隐写(Encrypted Payload Steganography)是将恶意数据篡改指令嵌入加密通信流的新型攻击手法。攻击者利用传输层安全协议(如TLS)的密文不可读特性,在加密信道中传输经过特殊编码的操控指令,使中间防御设备无法通过流量解密识别攻击意图。该技术特别适用于针对云数据库、分布式存储系统的隐蔽攻击,通过在加密数据包中植入微小的结构扰动,引发后端系统的非预期数据变更。 | |
| .004 | 动态模式变换 | 动态模式变换(Dynamic Pattern Alteration)是一种基于机器学习的数据操控隐匿技术。攻击者通过持续监测目标系统的数据访问模式,动态调整数据篡改策略,使恶意操作特征始终与正常业务波动保持同步。该技术利用对抗生成网络(GAN)模拟合法用户的访问规律,在数据修改频率、操作类型及资源访问路径等维度实现自适应伪装。 | |
| T1485 | 数据销毁 | 数据销毁是指攻击者通过覆盖、删除或其他破坏性手段使目标系统数据不可恢复,旨在破坏业务可用性或掩盖攻击痕迹。传统数据销毁技术通常表现为大规模文件修改、异常磁盘写入或突发性存储资源删除,可通过监控文件系统变更事件、存储I/O模式异常及云平台删除API调用频率进行检测。防御措施包括部署文件完整性监控、实施最小权限访问控制以及建立云操作审计机制。 | |
| .001 | 加密覆盖销毁 | 加密覆盖销毁(Encrypted Overwrite Destruction)是一种通过加密算法对目标数据进行多次覆写的深度销毁技术。攻击者采用符合国际标准的加密算法(如AES-256)生成随机数据流,对目标文件进行多轮覆盖操作,同时将加密密钥与原始数据绑定销毁,确保数据恢复的数学不可行性。该技术通过密码学手段实现数据不可逆损毁,既规避了传统文件删除的可恢复性缺陷,又利用加密过程掩盖数据销毁行为的恶意特征。 | |
| .002 | 合法工具滥用擦除 | 合法工具滥用擦除(Legitimate Tool Abuse Erasure)是指攻击者利用操作系统或第三方软件提供的标准数据清理工具实施隐蔽销毁。通过调用系统内置工具(如Linux的shred、Windows的cipher.exe)或商业数据擦除软件(如Eraser),攻击者将恶意删除行为伪装成合规的数据清理作业。该技术充分利用白名单工具的信任优势,规避基于进程签名的检测机制,同时借助工具的多线程和日志过滤功能实现操作隐匿。 | |
| .003 | 时间延迟分阶段删除 | 时间延迟分阶段删除(Time-Delayed Phased Deletion)是一种通过时间维度分散数据销毁行为的持久性攻击技术。攻击者将大规模数据销毁任务拆解为多个低强度子任务,按照预设时间序列在数周或数月内逐步执行,每次仅删除有限数量的文件或数据库条目。该技术通过延长攻击时间线降低单次操作的异常性,同时利用系统日常维护活动的噪声掩盖销毁行为。 | |
| .004 | 云服务API伪装擦除 | 云服务API伪装擦除(Cloud Service API Camouflage Erasure)是针对云环境设计的隐蔽数据销毁技术。攻击者通过劫持云管理凭据,调用云平台原生API(如AWS S3 DeleteObject、Azure Storage Blob Delete)实施资源删除,同时伪造审计日志使操作表现为合规的资源回收行为。该技术利用云服务自动化特性,将恶意删除融入正常的资源生命周期管理流程。 | |
| T1489 | 服务停止 | 服务停止是攻击者通过终止关键系统服务破坏目标业务连续性的破坏性技术,通常用于阻碍应急响应、加剧系统瘫痪或为数据破坏操作创造条件。传统防御手段通过监控服务控制事件(如SCM日志)、分析进程树异常、检测未授权服务配置变更等方式进行防护,依赖服务操作行为的合法性与合规性审查。 | |
| .001 | 服务维护操作模拟 | 服务维护操作模拟(Service Maintenance Simulation)是一种通过模仿合法系统维护流程实施服务终止的隐蔽攻击技术。攻击者通过复现系统管理员的标准操作序列(如使用计划任务定期重启服务、调用系统内置管理工具等),在预设维护时间窗口内执行服务停止操作,并同步生成虚假维护日志,使恶意行为在时间特征、操作模式、日志记录等方面与正常维护活动保持高度一致。该技术充分利用组织内部运维规律,将攻击行为嵌入日常管理流程中,有效规避基于操作异常性的检测机制。 | |
| .002 | 合法工具滥用 | 合法工具滥用(Legitimate Tool Abuse)是攻击者通过操控系统内置管理工具(如Windows的sc.exe、PowerShell或Linux的systemctl)或远程访问工具执行服务终止操作的隐蔽攻击技术。该技术利用操作系统原生工具的可信执行特征,将恶意服务停止指令嵌入正常的系统管理流程中,规避基于进程白名单或行为特征匹配的检测机制。攻击者通过精确模拟管理员操作模式,在合法工具使用场景中隐藏恶意服务终止行为,使安全监控系统难以区分正常维护与恶意破坏活动。 | |
| .003 | 间歇性服务干扰 | 间歇性服务干扰(Intermittent Service Disruption)是一种通过周期性服务启停制造非持续性故障的隐蔽攻击模式。攻击者以分钟级或小时级时间间隔交替执行服务停止与启动操作,使目标服务呈现"偶发性宕机"特征,同时保持服务状态在多数时间内处于正常运行区间。该技术通过将攻击行为离散化,破坏服务异常检测的时间连续性,使防御方难以将短时服务中断与恶意活动建立关联。 | |
| T1561 | 磁盘擦除 | Adversaries may wipe or corrupt raw disk data on specific systems or in large numbers in a network to interrupt availability to system and network resources. With direct write access to a disk, adversaries may attempt to overwrite portions of disk data. Adversaries may opt to wipe arbitrary portions of disk data and/or wipe disk structures like the master boot record (MBR). A complete wipe of all disk sectors may be attempted. | |
| .001 | 合法磁盘工具链滥用擦除 | 合法磁盘工具链滥用擦除(Legitimate Disk Toolchain Abuse)指攻击者利用操作系统内置或第三方合规磁盘管理工具(如Windows DiskPart、Linux dd命令)实施数据销毁,通过调用系统级API执行底层磁盘操作。该技术通过合法工具的正常功能路径完成破坏性操作,规避安全软件对非授权程序的检测。攻击者通常结合权限提升技术获取磁盘的原始写入权限,并通过工具的标准参数配置实现特定扇区或全盘覆盖,使擦除行为在系统审计日志中呈现为正常管理操作。 | |
| .002 | 时间延迟分阶段擦除 | 时间延迟分阶段擦除(Time-Delayed Phased Wiping)是一种将破坏性操作拆解为多个低强度阶段执行的隐蔽擦除技术。攻击者在初始入侵阶段植入具有条件触发机制的擦除模块,根据预设策略(如特定时间阈值、系统负载状态或外部指令)分批次覆盖磁盘数据。每个阶段仅擦除有限数量的扇区或特定类型文件,使单次操作强度低于文件系统监控阈值,同时通过长周期任务调度将完整破坏过程隐匿在系统正常维护周期内。 | |
| .003 | 隐蔽扇区覆盖与元数据伪造 | 隐蔽扇区覆盖与元数据伪造(Covert Sector Overwriting with Metadata Spoofing)是通过精确控制磁盘写入位置与文件系统元数据,实现数据破坏与痕迹消除协同作用的进阶擦除技术。攻击者不仅覆盖目标数据所在物理扇区,还同步篡改文件分配表、分区表等元数据结构,制造"数据逻辑存在但物理不可读"的假象。该技术通常结合固件级访问能力,直接操纵磁盘控制器的写入指令,绕过操作系统文件系统的完整性校验机制。 | |
| T1491 | 篡改 | 篡改是指攻击者通过修改目标系统可视化内容(如网页、界面元素)来破坏信息完整性的网络攻击行为,通常用于实施恐吓、政治宣传或虚假信息传播。传统防御手段主要通过监控内容哈希值变化、分析Web日志异常操作、部署Web应用防火墙(WAF)规则等方式进行检测,依赖静态特征匹配与操作行为基线分析来识别未授权修改。 | |
| .001 | 动态内容替换 | 动态内容替换(Dynamic Content Replacement)是一种基于上下文感知的隐蔽篡改技术。攻击者通过劫持目标系统的内容分发机制,根据访问者属性(如地理位置、用户代理、访问时间)动态返回篡改内容,而对常规检测系统呈现原始页面。该技术利用反向代理或中间人攻击实现内容层动态切换,针对不同检测主体实施差异化响应,确保篡改行为仅对特定目标群体可见,同时规避自动化监测系统的检测。 | |
| .002 | 合法账户凭证伪装 | 合法账户凭证伪装(Legitimate Account Credential Camouflage)指攻击者通过窃取或仿冒具有内容管理权限的合法用户身份实施篡改操作。该技术利用目标系统既有的权限管理体系,将恶意修改行为伪装成授权用户的正常操作,规避基于异常行为分析的检测机制。攻击者重点针对具有多因素认证绕过漏洞的账户,或通过钓鱼攻击获取高权限会话令牌,使篡改操作在审计日志中呈现为合规的内容更新流程。 | |
| .003 | 加密载荷分段注入 | 加密载荷分段注入(Encrypted Payload Segmented Injection)是一种针对现代Web应用架构设计的隐蔽篡改技术。攻击者将篡改内容进行分块加密处理,通过多个合法请求通道(如API调用、资源加载)分批次注入目标系统,在客户端执行时进行动态重组。该技术利用HTTPS加密流量保护分块内容,使中间防护设备无法通过单次请求解析完整攻击载荷,同时规避内容完整性校验机制。 | |
| .004 | 基于时间触发的延迟篡改 | 基于时间触发的延迟篡改(Time-Triggered Delayed Defacement)是通过在系统潜伏阶段预设篡改逻辑,待特定条件满足后自动执行的隐蔽攻击技术。攻击者利用Web应用的定时任务机制或客户端浏览器缓存特性,将篡改代码以无害形式植入系统,直至预设时间节点或外部指令触发后激活。该技术通过分离攻击植入与效果显现的时间维度,破坏攻击行为的时序关联性,增加防御方溯源取证的难度。 | |
| T1529 | 系统关机/重启 | 系统关机/重启技术是指攻击者通过执行操作系统或硬件级指令强制中断目标系统运行状态,通常用于阻碍应急响应、放大破坏效果或掩盖攻击痕迹。传统防御手段依赖进程监控(如检测shutdown.exe调用链)、日志分析(Windows事件ID 1074/6006)和网络设备CLI审计(如记录reload命令执行)。通过建立系统操作白名单机制和硬件管理接口的异常行为基线,可有效识别未授权关机行为。 | |
| .001 | 伪造系统维护进程关机 | 伪造系统维护进程关机(Maintenance Process Spoofing Shutdown)是通过仿冒合法系统管理进程执行关机/重启操作的高级隐匿技术。攻击者利用操作系统内置的系统管理工具(如Windows的PsShutdown、Linux的shutdown命令)或计划任务服务,将恶意关机指令嵌入到正常维护流程中,通过模仿系统更新、硬件维护等场景的操作特征,使关机行为在进程树和日志记录中呈现合法进程调用特征。该技术重点在于构建完整的进程调用链上下文,包括伪造父进程关联、参数格式标准化以及操作时序合规性。 | |
| .002 | 硬件级断电伪装 | 硬件级断电伪装(Hardware-Level Power Cutoff Camouflage)是通过直接操纵物理硬件设备实现系统断电的深度隐匿技术。该技术突破传统操作系统层面的关机命令调用模式,转而利用智能电源管理接口(如IPMI)、机房PDU远程控制协议或设备固件漏洞,直接触发物理断电操作。其核心在于制造与真实电力故障高度相似的系统宕机现象,规避操作系统审计日志的生成,并利用硬件设备日志的存储局限性消除攻击痕迹。 | |
| T1490 | 系统恢复抑制 | 系统恢复抑制是指攻击者通过禁用或破坏操作系统及应用程序的恢复机制,阻止受害系统从故障或攻击中复原的破坏性技术。该技术常被用于勒索软件攻击链的最后阶段,通过删除卷影副本、清除备份目录、禁用自动修复功能等手段,确保数据加密破坏的不可逆性。传统防御手段主要依赖进程监控(如vssadmin、wbadmin调用检测)、事件日志分析(如Windows事件ID 524)和备份完整性校验等方法来识别异常恢复抑制行为。 | |
| .001 | 合法工具链组合擦除 | 合法工具链组合擦除(Legitimate Toolchain Combination Wiping)是指攻击者通过组合使用操作系统内置管理工具(如vssadmin、wbadmin、diskshadow等),以看似合规的操作序列执行系统恢复功能破坏。该技术通过将恶意删除操作拆解为多个符合系统管理规范的单步指令,并利用工具间的功能互补性实现全维度恢复点清除。攻击者通常会按照正常系统维护的操作逻辑编排命令序列,例如先查询后删除、分批次执行操作,以此规避基于单条高危命令的检测规则。 | |
| .002 | 备份元数据加密破坏 | 备份元数据加密破坏(Backup Metadata Cryptographic Sabotage)是针对备份恢复体系设计的定向破坏技术,通过加密备份索引文件而非直接删除实体数据,导致恢复系统无法识别有效备份内容。该技术利用备份管理系统对元数据的强依赖性,使用对称加密算法对Windows Backup Catalog、SQL Server备份日志等关键元数据进行加密,同时保留原始文件的时间戳和数字签名信息,使防御方误判备份系统完整性未受破坏,实则已丧失恢复能力。 | |
| .003 | 云端备份同步污染 | 云端备份同步污染(Cloud Backup Synchronization Contamination)是针对混合云环境设计的持续性破坏技术,通过劫持云存储同步机制实现备份文件的隐蔽覆盖或版本清除。攻击者利用云服务客户端(如OneDrive、Dropbox)的本地-云端同步特性,在本地备份目录中植入恶意文件触发同步覆盖,或通过API调用删除云端保留的历史版本。更高级的变种会篡改云服务配置,禁用版本控制功能或缩短版本保留周期,使备份污染操作难以通过版本回溯进行恢复。 | |
| T1499 | 终端拒绝服务 | 终端拒绝服务攻击通过消耗目标系统资源或触发致命错误导致服务不可用,传统防御主要依赖流量基线分析、协议异常检测和资源监控。典型缓解措施包括部署网络流量清洗设备、实施协议合规性检查、配置资源使用阈值告警等。防御方通过监控TCP连接速率、异常协议行为、CPU/内存使用率等指标识别攻击活动。 | |
| .001 | 分布式低频资源耗尽攻击 | 分布式低频资源耗尽攻击(Distributed Low-Resource Exhaustion Attack)是一种新型的隐蔽式拒绝服务攻击技术。攻击者通过控制分布式僵尸网络,以低速率、长周期的方式持续消耗目标系统的关键资源(如CPU、内存、线程池),使资源枯竭过程呈现渐进式特征,避免触发基于流量峰值的传统检测机制。该技术通过将高强度攻击分解为多节点协同的低频操作,在维持服务降级效果的同时降低单节点行为显著性。 | |
| .002 | 协议模拟反射攻击 | 协议模拟反射攻击(Protocol-Emulated Reflection Attack)是一种基于协议栈特性实现攻击流量隐蔽化的高级DoS技术。攻击者通过精确模拟合法协议交互过程,构造符合RFC规范的恶意请求包,利用中间设备或服务作为反射节点放大攻击流量。该技术特别针对应用层协议(如HTTP/2、gRPC、QUIC)设计畸形请求,触发目标服务进入异常处理状态,同时确保网络层流量特征与正常业务流完全一致。 | |
| .003 | 加密载荷洪水攻击 | 加密载荷洪水攻击(Encrypted Payload Flood Attack)是通过完全加密的攻击载荷实施服务压制的隐蔽DoS技术。攻击者建立大量TLS/SSL加密会话,在安全信道内传输经过特殊构造的高复杂度计算请求(如精心设计的数据库查询、加密文件解析指令),迫使目标系统在解密和处理过程中消耗超额计算资源。该技术充分利用加密流量的内容不可见性,使传统基于载荷特征分析的防御体系失效。 | |
| .004 | 零日漏洞驱动型服务崩溃攻击 | 零日漏洞驱动型服务崩溃攻击(Zero-Day Vulnerability-Driven Service Crash)是利用未公开漏洞直接导致目标服务进程崩溃的精准DoS技术。攻击者通过逆向分析目标系统关键组件(如网络协议栈、内存管理器),发现可触发不可恢复错误的代码路径,构造特定输入使服务进入崩溃状态而不产生明显异常流量。该技术通过漏洞利用的精准性实现攻击效果最大化与行为特征最小化的统一。 | |
| T1498 | 网络拒绝服务 | 网络拒绝服务(DDoS)通过耗尽目标系统的网络带宽或服务资源实现服务可用性破坏,攻击手段包括但不限于流量洪泛、协议漏洞利用、资源耗尽等。传统防御依赖于流量基线分析、协议异常检测、源IP信誉库等技术,通过识别异常流量峰值、非法协议格式或已知攻击指纹进行缓解。缓解措施通常部署在网络边界设备或云清洗中心,采用流量整形、速率限制、SYN Cookie等机制过滤恶意流量。 | |
| .001 | 分布式反射放大攻击 | 分布式反射放大攻击(Distributed Reflective Amplification Attack)是一种利用互联网协议设计缺陷实现流量放大的高级DDoS技术。攻击者伪造目标IP地址向具有响应放大特性的网络服务(如DNS、NTP、Memcached)发送小型请求,诱导大量第三方服务器向目标系统发送超大规模响应数据包。该技术通过反射节点作为攻击媒介,使实际攻击源与目标系统无直接流量交互,形成多层跳转的攻击链路,显著增强攻击流量的匿名性和溯源难度。 | |
| .002 | 低频脉冲攻击 | 低频脉冲攻击(Low-Frequency Burst Attack)是一种通过间歇性发送高强度短时脉冲流量实施服务压制的DDoS技术。该技术采用非持续性的攻击模式,在特定时间窗口(如业务高峰期)发动毫秒级超高带宽攻击,随后立即停止或切换至低强度背景流量,通过动态调整攻击节奏规避传统基于流量持续性的检测模型。其核心在于利用人类响应延迟和检测系统采样周期之间的时间差,在防御方完成流量分析前终止攻击,形成"闪现式"服务中断。 | |
| .003 | 协议模拟攻击 | 协议模拟攻击(Protocol Emulation Attack)是一种通过深度模仿合法业务协议实施的DDoS技术。该技术精确复现目标系统核心业务交互协议(如金融交易协议、视频流传输协议或物联网控制协议),构造符合协议状态机规范的恶意请求,使攻击流量在协议解析层面与正常业务流量完全一致。攻击者通过逆向工程获取目标私有协议规范,或利用标准协议未明确定义的模糊字段构造合法但资源密集型的请求,实现基于协议合规性的服务资源耗尽。 | |
| T1657 | 财务窃取 | 财务窃取是攻击者通过技术手段或社会工程非法转移资金资产的行为,涵盖勒索软件加密勒索、商业邮件欺诈、加密货币盗窃等多种形态。传统防御主要依赖交易异常检测(如大额转账监控)、身份验证强化(多因素认证)以及区块链地址黑名单等手段,通过分析资金流动模式识别可疑活动。 | |
| T1531 | 账号访问移除 | 账号访问移除是指攻击者通过删除、锁定或篡改凭证等手段阻断合法用户账户访问权限的攻击技术,通常作为勒索攻击或数据破坏行动的前置步骤。传统检测方法依赖进程监控(如net.exe、PowerShell使用模式)和Windows事件日志分析(ID 4723/4724/4726/4740),但存在误报率高、响应滞后等缺陷。防御方需结合用户行为基线分析,将账户变更事件与其它攻击指标进行关联研判。 | |
| .001 | 凭证操作日志伪装 | 凭证操作日志伪装(Credential Operation Log Camouflage)是一种通过伪造合法凭证操作记录实现隐蔽账户控制的技术。攻击者在执行账户密码修改、权限变更或账户删除操作时,同步篡改或注入伪造的日志条目,使安全审计系统记录的账户变更事件与正常管理员操作记录具有相同的元数据特征。该技术通过深度解析目标系统的日志生成机制,精确模拟合法操作的日志格式、时间戳序列和操作上下文,确保恶意操作在日志审计层面呈现合规性特征。 | |
| .002 | 系统管理工具链寄生执行 | 系统管理工具链寄生执行(System Management Toolchain Parasitic Execution)是一种利用合法系统管理工具和运维流程实施隐蔽账户控制的技术。攻击者通过劫持目标环境中已授权的管理工具(如Microsoft SCCM、Ansible等),将恶意账户操作指令嵌入标准化运维任务中,利用工具链自身的权限继承和日志脱敏特性实现攻击隐匿。该技术通过混淆恶意操作与日常系统维护行为的边界,使得账户访问移除操作在进程树、权限上下文和网络通信层面均呈现合法特征。 | |
| .003 | 分布式时间延迟账户锁定 | 分布式时间延迟账户锁定(Distributed Time-Delayed Account Lockout)是一种通过时空维度解耦攻击链的隐蔽账户封锁技术。攻击者将账户锁定任务分解为多个低强度操作指令,通过受控的分布式节点在长时间跨度内分阶段实施,避免触发基于单节点高频账户变更的检测规则。该技术结合了僵尸网络控制与智能任务调度算法,使每个节点执行的账户操作在时间、空间和操作模式上均符合正常用户行为特征。 | |
| T1496 | 资源劫持 | 资源劫持是攻击者非法控制受害系统计算资源以执行加密货币挖矿、代理转发等恶意活动的技术手段。其通过滥用CPU、GPU、内存等资源,不仅影响系统性能,还可能破坏关键业务运行。传统防御手段主要通过监控异常资源占用率(如持续高CPU使用)、检测已知挖矿软件特征,或分析异常网络连接(如矿池通信)进行识别。 | |
| .001 | 容器化隐匿劫持 | 容器化隐匿劫持(Containerized Stealth Hijacking)是一种利用容器虚拟化技术实施资源窃取的隐蔽攻击方法。攻击者通过渗透云原生环境,在合法容器集群中部署恶意负载(如加密货币挖矿程序),利用容器编排系统的资源调度机制隐藏异常活动。该技术通过容器镜像签名伪造、资源配额伪装、微服务架构掩护等手段,将恶意进程与业务容器混同运行,规避基于主机层监控的检测机制。 | |
| .002 | 合法进程注入劫持 | 合法进程注入劫持(Legitimate Process Injection Hijacking)是一种通过代码注入技术劫持系统资源的高级攻击方式。攻击者将恶意负载(如加密矿工程序)注入到可信进程(如浏览器、办公软件)的内存空间,复用宿主进程的资源和权限执行非法计算任务。该技术通过进程空心化(Process Hollowing)、线程劫持(Thread Hijacking)等方式,使恶意代码的执行过程完全依附于合法进程,规避基于进程树分析的检测机制。 | |
| .003 | 动态资源配额调整劫持 | 动态资源配额调整劫持(Dynamic Resource Quota Hijacking)是一种基于智能算法的自适应资源窃取技术。攻击者通过实时监控宿主系统的资源使用状态,动态调整恶意负载的计算强度,使整体资源消耗始终维持在系统负载的弹性区间内。该技术结合机器学习模型预测目标系统的空闲资源窗口,在业务低谷期提升计算强度,在业务高峰期主动降频,避免触发基于资源阈值的异常告警。 | |