合法进程注入加密(Legitimate Process Injection Encryption)是指将加密操作嵌入到系统可信进程(如explorer.exe、svchost.exe)或常用应用软件(如压缩工具、办公软件)内存空间中执行的技术。该技术通过进程空洞注入或DLL劫持等方式,劫持合法程序的加密API调用链,将恶意加密任务伪装成正常应用程序的数据处理行为,从而绕过基于进程白名单或行为基线模型的检测机制。
该技术的匿迹机制建立在系统信任链的滥用与行为上下文的混淆之上。攻击者通过逆向分析目标系统常用软件的加密功能调用路径,构建精准的API挂钩框架,将恶意加密操作插入到合法加密流程中。例如,劫持压缩软件的加密模块,在用户执行常规文件压缩时同步实施恶意加密。技术实现需精确控制加密操作的时序与资源占用,确保进程行为特征符合原始基线。内存级加密操作避免产生额外的磁盘I/O特征,同时利用可信进程的数字签名规避静态检测。这种深度寄生策略使得加密行为在进程行为树中呈现合法上下文关联,有效对抗基于异常进程创建的检测规则。
This type of attack technique cannot be easily mitigated with preventive controls since it is based on the abuse of system features.
Coming soon