合法工具滥用擦除(Legitimate Tool Abuse Erasure)是指攻击者利用操作系统或第三方软件提供的标准数据清理工具实施隐蔽销毁。通过调用系统内置工具(如Linux的shred、Windows的cipher.exe)或商业数据擦除软件(如Eraser),攻击者将恶意删除行为伪装成合规的数据清理作业。该技术充分利用白名单工具的信任优势,规避基于进程签名的检测机制,同时借助工具的多线程和日志过滤功能实现操作隐匿。
该技术的匿迹机制建立在信任链劫持与操作混淆双重策略上。攻击者通过合法账户权限调用系统级数据擦除工具,使安全监控系统将恶意擦除识别为正常维护行为。在操作层面,攻击者会配置工具参数模拟常规清理任务,例如设置与业务系统日志滚动周期一致的删除时间窗口,或限定单次擦除文件数量低于告警阈值。同时利用工具的日志重定向功能消除操作记录,或向系统审计组件注入伪造的清理任务ID,使得事后取证难以区分恶意删除与合法操作。这种深度利用可信工具特性的手法,极大提高了攻击行为的隐蔽性。
This type of attack technique cannot be easily mitigated with preventive controls since it is based on the abuse of system features.
Coming soon