| ID | Name |
|---|---|
| T1111.001 | 硬件令牌代理劫持 |
| T1111.002 | 键盘记录隐蔽传输 |
| T1111.003 | SIM卡服务劫持中继 |
| T1111.004 | 中间人动态认证接口伪装 |
键盘记录隐蔽传输(Stealthy Keylogging Transmission)是针对软令牌认证体系的定向窃密技术。攻击者通过修改系统输入处理链(如键盘驱动层或API Hook),精确捕获用户输入的动态验证码,并通过多层加密与流量混淆机制实现数据外传。该技术重点突破传统键盘记录检测机制,采用基于上下文感知的触发式记录策略,仅在检测到特定认证界面(如MFA验证弹窗)时激活窃密模块,最大限度降低行为暴露风险。
该技术的匿迹机制构建于时空维度的精准控制与数据流的深度伪装。在时间维度,采用事件驱动模式仅捕获目标时段的敏感输入(如30秒有效期的OTP码),避免全时段记录产生的异常进程行为。在空间维度,将窃密模块注入受信任系统进程(如explorer.exe),利用白进程的合法网络连接通道传输数据。数据封装层面,采用AES-CTR加密结合Base85编码,将验证码信息嵌入DNS TXT查询或HTTP Cookie字段,形成符合协议规范的隐蔽信道。同时引入流量整形技术,使外传数据包的时序分布与用户正常网络行为模式保持一致,有效规避基于流量突发性检测的防御体系。
This type of attack technique cannot be easily mitigated with preventive controls since it is based on the abuse of system features.
Coming soon