合法系统工具调用(Legitimate System Tool Invocation)是攻击者利用操作系统内置管理工具(如systeminfo、wmic、df等)实施系统信息收集的隐蔽技术。该技术通过调用系统白名单程序执行信息枚举操作,规避基于可执行文件哈希值的检测机制。攻击者通常结合批处理脚本或计划任务,将信息收集指令嵌入日常运维操作流程,利用系统工具固有的业务合法性掩盖恶意行为。通过精确控制命令参数与输出处理方式,攻击者能够在不触发安全告警的前提下,获取操作系统版本、硬件配置、磁盘分区等核心系统数据。
该技术的匿迹核心在于"白名单程序滥用"与"操作节奏控制"。攻击者深入研究目标系统管理工具的功能边界,选择具有信息输出能力的可信程序构建指令链。例如在Windows环境中,通过组合使用systeminfo与findstr命令提取特定注册表项;在Linux系统中利用/proc文件系统接口读取进程信息。技术实施时采用分段执行策略,将完整的信息收集任务拆解为多个独立命令,通过时间间隔控制降低行为集中度。输出结果通常采用Base64编码或分段存储,避免在磁盘留存完整日志文件。该手法有效规避传统EDR对恶意进程启动的监控,同时利用系统工具与合法管理行为的协议级相似性,使得网络流量分析与行为审计难以有效区分攻击活动。
This type of attack technique cannot be easily mitigated with preventive controls since it is based on the abuse of system features.
Coming soon