| ID | Name |
|---|---|
| T1005.001 | 内存驻留数据提取 |
| T1005.002 | 合法系统工具链式调用 |
| T1005.003 | 数据分片隐匿传输 |
| T1005.004 | 时间延迟渐进式收集 |
| T1005.005 | 文件属性伪装与元数据伪造 |
时间延迟渐进式收集(Time-Delayed Progressive Collection)是一种通过延长数据采集周期降低检测概率的隐蔽技术。攻击者将传统的高强度批量数据窃取行为,拆解为多个低强度、长间隔的微量采集任务。通过匹配目标系统的业务周期(如季度报表生成时段)或运维窗口(如夜间备份时段),在合法操作的时间缝隙中执行数据收集,使单次行为特征低于检测阈值。
该技术的匿迹机制基于"时序特征稀释"与"上下文环境适配"。攻击者首先通过长期潜伏观察,建立目标系统的操作时间模型(如用户活跃时段、批处理作业周期),据此设计采集任务的执行时刻与持续时间。在数据存储环节,采用隐写术将采集结果嵌入日志文件、缩略图缓存等非敏感数据的元数据字段,利用系统自身的存储机制实现临时隐匿。传输阶段则与合法数据流同步触发(如跟随VPN心跳包发送数据片段),利用业务通信的周期性特征掩盖异常。这种长周期、低强度的攻击模式使得传统基于短期行为分析的检测系统难以有效识别。
This type of attack technique cannot be easily mitigated with preventive controls since it is based on the abuse of system features.
Coming soon