| ID | Name |
|---|---|
| T1059.001 | 内存驻留无文件执行 |
| T1059.002 | 合法系统工具链式调用 |
| T1059.003 | 动态代码混淆与反射加载 |
| T1059.004 | 低频时序触发型脚本执行 |
| T1059.005 | 跨进程注入式解释器劫持 |
合法系统工具链式调用(Legitimate Toolchain Chained Invocation)指攻击者按特定顺序组合调用操作系统内置的多个合法工具(如certutil、msbuild、wmic),通过工具间的输入输出传递恶意载荷。该技术将单个攻击动作拆解为多个合规工具的标准操作,利用工具间的功能互补性完成恶意目标,同时规避基于单一工具异常使用的检测规则。
匿迹实现依托于系统白名单工具的天然信任优势。攻击者通过多工具协同将恶意操作转化为看似合规的管理行为:例如使用certutil解码加密载荷,通过msbuild编译内存加载器,再借助wmic执行远程命令。每个工具仅执行其设计范围内的功能,但组合后形成完整的攻击链。该技术通过工具链的上下文关联性稀释恶意特征,使得基于单点日志分析的防御系统难以识别攻击意图。同时,攻击者通过插入冗余操作(如添加无害参数、执行合法查询)增强行为迷惑性,并利用工具自带的日志清理功能(如PowerShell的-WindowStyle Hidden)消除操作痕迹。
This type of attack technique cannot be easily mitigated with preventive controls since it is based on the abuse of system features.
Coming soon