合法文件镜像克隆(Legitimate File Image Cloning)是一种通过精确复制目标系统内合法文件属性(包括文件名、图标、数字签名及元数据),构造具有双重功能的恶意可执行文件的技术。攻击者利用用户对可信文件的认知惯性,将恶意载荷与合法程序捆绑,当用户通过可移动媒体打开克隆文件时,恶意代码将在合法进程掩护下执行横向移动或初始访问操作。
该技术通过多层伪装机制实现深度隐匿。首先,在文件系统层面,攻击者采用哈希碰撞技术生成与合法文件具有相同校验值的恶意文件,规避基于哈希值的白名单检测。其次,利用代码注入技术将恶意模块嵌入合法应用程序的资源段,通过进程空心化(Process Hollowing)实现内存加载执行,避免恶意文件落地。最后,结合社会工程学手段,根据目标环境定制文件名和图标(如伪装成设备驱动安装程序),增强用户主动执行的可能性。技术实施过程中需解决动态行为隐匿问题,例如通过挂钩系统API调用拦截杀毒软件的进程扫描请求,或利用合法程序的网络通信通道进行C2数据传输。此类技术使得恶意文件在静态检测、动态行为及用户感知三个维度均呈现合法特征,极大提高防御方的识别难度。
This type of attack technique cannot be easily mitigated with preventive controls since it is based on the abuse of system features.
Coming soon