非活跃账户劫持(Dormant Account Hijacking)是攻击者通过控制长期未使用的合法账户实施隐蔽攻击的技术。该技术聚焦于组织内部处于休眠状态的用户账户(如离职员工账户、临时测试账户),利用其保留的系统权限但缺乏日常审计的特性,实施低可见度的横向移动与权限维持。攻击者通过密码喷洒、默认凭证利用或权限继承漏洞获取账户控制权后,刻意维持账户的低频活动特征,使其登录行为与历史活动模式保持统计学一致性,从而规避基于异常登录检测的安全机制。
该技术的匿迹性源于对账户生命周期管理和行为基线的双重利用。攻击者首先通过分析目标组织的账户管理体系,识别具有有效权限但缺乏监控的休眠账户(如保留管理员权限的离职人员账户)。在控制此类账户后,通过精准的会话频率控制(如每月单次登录)、时间窗口选择(匹配历史活跃时段)和操作内容模仿(复现账户原有业务行为),使得账户活动特征与正常模式高度吻合。技术实现需解决三个核心问题:休眠账户的自动化发现(通过LDAP查询或云目录遍历)、权限有效性验证(在不触发告警的前提下测试账户权限)、以及行为伪装算法(基于历史日志生成操作序列)。最终形成的攻击链具有"低活动量、高权限保留、行为模式继承"的特性,使得传统基于登录频率告警或权限变更检测的防御机制难以有效识别。
This type of attack technique cannot be easily mitigated with preventive controls since it is based on the abuse of system features.
Coming soon