服务账户伪装(Service Account Masquerading)是通过模仿系统服务账户属性实现隐蔽驻留的技术。攻击者创建名称、描述信息与合法服务账户高度相似的恶意账户(如"SQL_Backup_Svc"),并配置相同的服务主体名称(SPN)和登录权限。此类账户通常被授予本地系统权限,但其活动会混杂在大量合法的服务账户操作中,难以通过常规审计手段识别。
该技术通过语义混淆与行为模仿实现匿迹。在账户创建阶段,攻击者使用Windows服务控制管理器(SCM)或SC.exe工具为恶意账户注册虚拟服务,并复制合法服务账户的SPN配置(如MSSQLSvc/sqlserver.corp.com)。在权限配置层面,采用组策略首选项(GPP)或受限组策略,使恶意账户自动加入本地管理员组。操作过程中严格遵循服务账户的典型行为模式,包括固定时间段的计划任务执行、与特定端口的周期性通信等。技术进阶形态包括注入恶意代码到合法服务进程,通过父进程欺骗技术将账户活动关联至系统核心服务,从而规避基于进程树分析的检测手段。
This type of attack technique cannot be easily mitigated with preventive controls since it is based on the abuse of system features.
Coming soon