| ID | Name |
|---|---|
| T1552.001 | 跨进程凭证碎片化重组 |
| T1552.002 | 凭证窃取日志注入 |
| T1552.003 | 合法凭证管理工具滥用 |
凭证窃取日志注入(Credential Theft Log Injection)是一种通过污染系统日志记录实现隐蔽凭证提取的技术。攻击者在对目标系统进行凭证搜索时,通过篡改日志生成机制或注入伪造日志条目,掩盖其访问敏感凭证文件的行为。该技术通常利用系统日志审计规则的漏洞,将凭证读取操作伪装成合法进程行为或正常维护操作,使安全日志无法真实反映攻击痕迹。技术实施需要深度理解目标系统的日志生成机制,并精准控制文件访问时序以实现操作遮蔽。
该技术的匿迹机制基于日志可信性与完整性破坏的双重策略。攻击者在执行凭证搜索前,首先注入伪造的日志条目(如模拟系统备份进程访问凭证文件),构建虚假的"凭证合法访问"时间线。在真实窃取操作时,通过HOOK日志写入函数或修改日志文件时间戳,将恶意行为的时间特征与预先注入的合法记录重叠。技术实现需解决三个关键问题:日志审计策略绕过(利用白名单进程身份执行操作)、日志时序混淆(通过NTP协议偏移制造时间差)、以及日志内容仿生(精确复制系统日志格式)。最终形成具有表面合规性的日志记录体系,使得基于日志审计的异常检测机制难以识别真实攻击行为。
This type of attack technique cannot be easily mitigated with preventive controls since it is based on the abuse of system features.
Coming soon