系统脚本代理执行: 合法脚本参数混淆

合法脚本参数混淆（Legitimate Script Parameter Obfuscation）是一种利用系统内置脚本工具的参数化特性实现恶意代码隐蔽执行的技术。攻击者通过解析受信任系统脚本（如Windows环境下的PubPrn.vbs、SyncAppvPublishingServer.vbs）的合法功能参数，将恶意代码执行指令嵌入符合语法规范的参数配置中，使脚本在正常业务逻辑执行过程中触发恶意负载。该技术充分利用操作系统对签名脚本的信任机制，将恶意行为伪装成合法的管理任务，规避基于进程白名单的防御体系。

该技术的匿迹实现基于"功能参数武器化"和"信任链传递"双重机制。首先，攻击者深入研究目标系统脚本的参数处理逻辑，识别可被用于远程资源加载或动态代码执行的接口参数（如URLMoniker调用、远程服务器路径指定）。其次，通过构造符合数字签名验证规范的参数组合，将恶意指令编码为看似合法的参数输入。例如，在SyncAppvPublishingServer.vbs脚本中利用"Server"参数指定远程恶意脚本URL，借助脚本内置的HTTP下载功能实现无文件攻击。关键匿迹点在于：1）恶意指令完全遵循脚本设计规范，避免触发参数校验告警；2）执行过程继承系统脚本的数字签名身份，绕过应用控制策略；3）攻击载荷通过内存加载或临时文件自毁机制消除磁盘痕迹。该技术成功将恶意行为深度嵌套在系统管理任务的执行链中，使防御方难以区分正常运维操作与攻击行为。