合法管理工具劫持(Legitimate Management Tool Hijacking)指攻击者通过劫持系统内置管理组件(如WMIC、PowerShell)执行软件枚举操作的技术。该技术通过调用操作系统原生接口获取软件信息,将恶意查询指令封装在合法管理命令中,利用白名单机制绕过应用控制策略。攻击者通常会构造复合型命令脚本,将软件发现任务与系统维护操作混合执行,实现恶意行为的上下文伪装。
匿迹效果主要通过三重机制实现:第一层是命令语义混淆,将敏感查询参数拆解为多个无害变量,在运行时动态拼接成完整指令。第二层是上下文环境适配,根据目标系统角色调整查询范围(如仅检索特定厂商软件),使行为特征与正常管理工作相符。第三层是输出结果隐蔽化,采用内存直接处理或加密通道回传数据,避免在本地存储敏感信息。技术实施中会利用管理工具的数字签名验证特性,通过签名进程执行恶意代码,有效规避基于父进程可信度的检测模型。
This type of attack technique cannot be easily mitigated with preventive controls since it is based on the abuse of system features.
Coming soon