合法服务伪装(Legitimate Service Masquerading)是通过模仿系统服务特征实现持久化驻留的匿迹技术。攻击者逆向分析目标系统服务属性,创建具有相同显示名称、描述信息和依赖关系的恶意服务,或直接劫持已停用系统服务的配置参数。该技术充分利用Windows服务控制管理器(SCM)的信任机制,使恶意服务在服务列表和进程树中呈现合法特征。
匿迹效果源于服务元数据克隆与行为特征模拟的双重策略。首先精确复制目标服务的ServiceDll、DisplayName等关键属性,并设置相同的服务启动类型(如延迟启动)和故障恢复策略。其次通过进程空洞注入或DLL侧加载技术,将恶意代码注入合法服务宿主进程(如svchost.exe),实现内存驻留与执行环境融合。高阶变种会篡改服务描述符表(SDT)或劫持服务控制分发例程,动态切换合法/恶意功能模块。这种深度伪装使得传统基于服务名称黑名单或哈希验证的检测手段失效,需依赖服务行为异常性分析才能识别。
This type of attack technique cannot be easily mitigated with preventive controls since it is based on the abuse of system features.
Coming soon