合法API劫持(Legitimate API Hijacking)是通过滥用系统或应用程序提供的标准接口实现隐蔽凭证窃取的技术。攻击者通过逆向工程分析目标应用的密码存储机制,构造符合规范的API调用序列,伪装成合法组件请求凭证解密服务。例如,利用浏览器扩展API获取已保存的登录凭据,或通过操作系统密钥环接口批量导出加密密钥,实现"合规化"的凭证提取。
该技术的匿迹核心在于对系统信任链的逆向利用。攻击者首先通过代码签名或进程伪装获得合法调用权限,随后按照目标API的输入输出规范构造请求参数,使得凭证提取行为在系统审计日志中呈现为正常业务操作。为实现深度隐蔽,攻击者采用分阶段调用策略:第一阶段仅获取加密后的凭证存储文件,第二阶段在受控环境进行离线解密,避免触发实时监控。同时,通过劫持API的返回结果处理流程,对获取的凭证数据进行即时加密与分片传输,确保内存中不保留完整凭证副本。此类技术成功规避了基于异常API调用频率或参数特征的检测模型,使防御方难以区分正常业务请求与恶意凭证窃取行为。
This type of attack technique cannot be easily mitigated with preventive controls since it is based on the abuse of system features.
Coming soon