合法系统工具滥用(Legitimate System Tool Abuse)指攻击者利用操作系统内置管理工具执行进程发现操作的技术。通过调用系统预装的命令行工具(如Windows的tasklist、PowerShell的Get-Process,或Linux的ps命令),构造符合正常运维场景的查询参数,将恶意进程发现行为伪装成系统管理员的标准操作。攻击者会精心设计命令参数组合,例如在Windows中采用tasklist /V /FO CSV格式输出,模拟自动化运维脚本的标准调用方式,同时利用工具本身的数字签名绕过应用程序白名单检测。
该技术的隐蔽性源于对系统管理行为的深度模仿。攻击者通过研究目标环境的运维模式,精确复制合法管理工具的使用特征:在时间维度上选择系统维护窗口期执行操作,在命令维度上混合进程发现指令与其他无害系统查询命令(如联合执行netstat和tasklist),在输出维度上将结果重定向至临时文件并立即加密传输。此外,攻击者会利用受限语言模式(如PowerShell Constrained Language Mode)或降权执行环境,使工具调用行为符合普通用户权限的常规操作特征。防御方难以通过单次命令执行判定恶意意图,必须结合多命令序列关联分析才能识别异常。
This type of attack technique cannot be easily mitigated with preventive controls since it is based on the abuse of system features.
Coming soon