域或租户策略修改: 隐蔽式凭证注入策略变更

隐蔽式凭证注入策略变更（Covert Credential Injection in Policy Modification）是通过篡改身份验证策略参数实现持久化访问的技术。攻击者修改域或租户的身份联合配置（如SAML令牌签名证书、OAuth客户端密钥），将攻击者控制的凭证信息嵌入系统核心认证流程。该技术通过策略层级的凭证注入，使得攻击者能够生成被目标系统信任的合法身份令牌，同时保持策略配置表面完整性，规避基于配置审计的检测手段。

该技术的核心匿迹思路在于"合法化非法凭证"。攻击者通过修改域联合信任策略，将恶意证书指纹添加至合法证书链中，或篡改OAuth应用注册的策略参数注入后门重定向URI。在Golden SAML攻击中，攻击者通过修改AD FS服务器配置植入恶意令牌签名证书，使其签发的SAML断言可被任意云服务信任。由于策略变更操作符合微软管理规范且签名证书在验证流程中具备合法效力，防御方难以通过常规配置审查发现异常。技术实现需解决密钥材料的隐蔽存储（如使用云密钥保管库服务）、策略变更的原子性操作（确保单次API调用完成完整攻击链）、以及凭证使用阶段的流量伪装（模拟合法用户的地理位置与行为特征）。此类技术使得攻击者能够在完全不触碰终端设备的情况下，通过策略层的隐蔽修改建立全域信任的持久化通道。