多阶段链式触发(Multi-Stage Chained Trigger)通过将攻击链拆解为多个由系统脚本触发的独立操作步骤,实现恶意行为的隐蔽串联。该技术利用不同系统脚本的功能特性设计递进式攻击流程,例如首阶段脚本负责建立持久化机制,次阶段脚本实现权限提升,最终阶段脚本执行核心攻击载荷。各阶段之间通过注册表项、环境变量或命名管道等隐式通信机制进行指令传递,避免在命令行参数或日志记录中暴露完整攻击意图。
该技术的匿迹思路聚焦于攻击链的模块化分解与间接关联。攻击者首先对目标系统的脚本执行环境进行深度分析,选择功能互补的多个系统脚本构建攻击链。每个阶段脚本仅执行有限功能,且其操作参数符合该脚本的常规使用模式。例如通过schtasks.vbs创建计划任务时,使用经过编码的任务XML配置来隐藏后续阶段脚本的触发逻辑。阶段间采用时间延迟触发或事件驱动机制,确保各环节执行间隔超过常规监控窗口期。这种分阶段、低关联的攻击链设计,使得防御方难以通过单点检测发现完整攻击意图,同时增加了行为关联分析的复杂度。
This type of attack technique cannot be easily mitigated with preventive controls since it is based on the abuse of system features.
Coming soon