| ID | Name |
|---|---|
| T1059.001 | 内存驻留无文件执行 |
| T1059.002 | 合法系统工具链式调用 |
| T1059.003 | 动态代码混淆与反射加载 |
| T1059.004 | 低频时序触发型脚本执行 |
| T1059.005 | 跨进程注入式解释器劫持 |
动态代码混淆与反射加载(Dynamic Code Obfuscation with Reflective Loading)是一种通过实时变换代码特征并绕过模块加载监控的技术。攻击者在脚本解释器运行时动态生成混淆代码(如随机变量名替换、控制流平坦化),并通过反射机制将恶意模块直接加载到内存空间,避免传统导入表挂钩检测。该技术结合了代码形态动态变异和内存加载规避的双重隐匿策略。
匿迹机制的核心在于破坏静态特征检测和动态加载监控的有效性。攻击脚本在每次执行时通过元编程技术重构代码结构,生成语法合法但特征唯一的变体,使得基于特征签名的检测失效。反射加载技术则通过解释器的内部函数(如PowerShell的[Reflection.Assembly]::Load)直接映射恶意DLL到内存,绕过文件系统监控和模块加载审计。为进一步增强隐蔽性,攻击者可注入垃圾代码模拟合法脚本的代码熵特征,并利用延迟执行机制规避沙箱的时间敏感性检测。
This type of attack technique cannot be easily mitigated with preventive controls since it is based on the abuse of system features.
Coming soon