间接命令执行: 合法系统工具代理执行

合法系统工具代理执行（Legitimate System Tool Proxy Execution）是指攻击者利用操作系统内置的合法程序（如Forfiles、pcalua.exe等）作为命令执行载体，通过参数注入或配置篡改实现恶意指令传递的技术。该技术通过调用具有白名单特性的系统组件执行高危操作，规避基于进程黑名单或命令行特征匹配的检测机制。攻击者深入研究目标系统管理工具的执行逻辑，将恶意代码分解为符合工具参数规范的指令序列，利用系统工具与命令解释器之间的隐式调用关系构建隐蔽执行链。

该技术的匿迹效果源于对系统信任机制的深度利用。攻击者通过三个维度实现行为隐蔽：首先，选择具有合法数字签名且被安全策略允许的宿主进程，确保进程创建事件不触发异常告警；其次，将恶意指令拆解为符合工具标准用法的参数序列，例如利用Forfiles的/c参数承载命令片段，或通过pcalua.exe加载伪装成兼容性配置的恶意脚本；最后，利用工具自身的错误处理机制构造冗余参数，干扰安全设备的命令行解析逻辑。在行为层面，该技术通过"工具代理-参数承载-隐式调用"的三层架构，将高危操作嵌套在系统管理工具的常规业务场景中，使得传统基于进程树检测或命令行正则匹配的防御体系难以有效识别攻击意图。