通过可移动媒体通信: 傀儡文件元数据触发通信

傀儡文件元数据触发通信（Decoy File Metadata Triggered Communication）是通过操纵文件系统元数据构建隐蔽通信信道的跨网渗透技术。攻击者利用NTFS交换数据流、扩展文件属性或文档元数据字段存储加密指令，通过预设触发条件（如文件打开时间戳、访问权限变更）激活通信模块。该技术将恶意代码执行与合法文件操作深度绑定，使通信行为呈现高度场景化特征，有效规避基于行为异常的检测机制。

匿迹实现依托"元数据武器化"和"环境感知触发"两大核心策略。攻击者首先在可移动媒体中预置包含恶意元数据的文档文件，利用Windows特性（如Alternate Data Streams）或文档格式特性（如PDF XMP元数据）存储加密控制指令。当介质接入目标主机时，驻留内存的监控进程自动解析特定目录下的文件元数据，通过预定义密钥解密指令并执行。通信响应数据则写入新创建的文件元数据区域，等待介质再次接入控制节点时提取。该过程通过将通信数据碎片化存储于多个文件的非结构化数据区，并依赖合法文件操作流程触发传输，使得传统文件完整性监控及进程行为分析难以有效检测。