分阶段加密延迟触发(Phased Encryption with Delayed Activation)是一种通过时间维度分散加密操作的新型数据破坏技术。攻击者将加密任务拆分为初始化、准备、触发三个阶段:初期仅对少量非关键文件进行测试性加密,中期通过低强度加密建立行为基线,最终在预设条件(如特定时间、事件触发)下启动全盘加密。这种渐进式策略旨在规避基于突发性大规模文件修改的检测模型,同时通过长期潜伏收集系统防御情报。
该技术的匿迹效果源于对加密行为时间特征的重新构造。在初始化阶段,采用文件内容抽样加密与元数据保留策略,保持文件表面完整性;准备阶段通过修改文件访问控制列表(ACL)预置加密入口点,但暂不实施加密;最终触发阶段利用合法系统工具(如vssadmin)批量执行加密。时间维度上,各阶段间隔可长达数周,利用系统正常维护窗口实施操作。空间维度上,采用目录树随机遍历算法分散加密目标,避免形成集中式I/O模式。这种时空解耦的攻击节奏使得传统基于实时行为监控的防御体系难以建立有效关联。
This type of attack technique cannot be easily mitigated with preventive controls since it is based on the abuse of system features.
Coming soon