合法凭证滥用隐蔽访问(Legitimate Credential Abuse for Stealthy Access)是指攻击者通过窃取或社会工程获取的有效身份凭证,以合法用户身份访问信息存储库的技术。该技术利用目标系统对已验证身份的信任机制,绕过基于异常登录检测的防护体系,通过模拟正常用户操作模式(如访问频率、时间窗口、交互路径)实现数据窃取的隐蔽化。攻击者通常结合凭证盗窃(如T1552)与权限维持(如T1098)技术,确保对存储库的长期低可见访问。
该技术的匿迹性源于身份可信度与行为模式仿真的双重保护。攻击者首先通过钓鱼攻击或密码喷洒获取具有存储库访问权限的合法凭证,利用目标系统对身份认证的信任机制规避登录异常检测。在操作层面,严格遵循目标组织的业务时间规律(如工作日9:00-18:00)、采用人类操作节奏(如页面停留时间随机化、鼠标移动轨迹模拟)以及控制单次数据获取量(如每次下载不超过10份文档),使访问行为与正常用户画像高度吻合。技术实现需解决凭证生命周期管理(定期更新失效凭证)、权限梯度利用(优先使用低权限账户避免触发特权监控)以及日志清洗(清除或篡改访问日志记录)等关键问题,最终形成"身份合法、行为合规"的隐蔽数据窃取通道。
This type of attack technique cannot be easily mitigated with preventive controls since it is based on the abuse of system features.
Coming soon