| ID | Name |
|---|---|
| T1059.001 | 内存驻留无文件执行 |
| T1059.002 | 合法系统工具链式调用 |
| T1059.003 | 动态代码混淆与反射加载 |
| T1059.004 | 低频时序触发型脚本执行 |
| T1059.005 | 跨进程注入式解释器劫持 |
跨进程注入式解释器劫持(Cross-Process Interpreter Hijacking)通过将恶意脚本解释器实例注入到可信进程内存空间,实现执行环境的深度隐匿。该技术利用进程注入技术(如APC注入、线程劫持)将PowerShell、Python等解释器运行时加载至浏览器、办公软件等高频使用进程,并在此环境中执行恶意脚本,使得所有操作在宿主进程的合法上下文中完成。
匿迹效果通过执行环境融合与权限继承实现。恶意脚本在注入进程的内存空间中运行,继承宿主进程的用户权限和安全上下文,规避基于进程树异常关系的检测(如explorer.exe衍生出powershell.exe)。同时,攻击者利用进程的合法网络通信通道(如浏览器的HTTPS连接)进行C2通信,使得恶意流量与正常业务流量难以区分。技术实施需解决解释器运行时与宿主进程的兼容性问题,通常通过DLL侧加载或COM劫持实现无缝注入,并利用进程的持久化机制(如浏览器扩展)维持攻击链的连续性。
This type of attack technique cannot be easily mitigated with preventive controls since it is based on the abuse of system features.
Coming soon