认证函数Hook注入(Authentication Function Hooking)是通过篡改操作系统核心认证组件的函数调用链实现身份验证绕过的技术。攻击者通过注入恶意代码劫持LSASS、PAM模块或SecurityAgentPlugins中的关键函数(如NtCreateToken、pam_authenticate),在认证流程中植入逻辑后门。该技术可绕过双因素认证机制,直接伪造令牌或修改认证结果判定,使非法会话获得合法凭证特征。其隐蔽性体现在恶意代码驻留在系统进程内存中,不产生持久化文件或注册表痕迹。
该技术的匿迹实现依赖于运行时内存操作与合法函数调用链的深度融合。攻击者首先通过进程注入技术将恶意载荷植入认证进程(如lsass.exe),利用API Hook或IAT Hook重定向关键认证函数至恶意代码段。在函数执行流中,恶意代码动态修改身份验证参数(如密码哈希比对结果),或直接生成伪造的访问令牌。为规避检测,攻击链采用无文件驻留技术,仅在内存中维护Hook结构,并利用进程合法性掩盖恶意行为。部分高级变种通过劫持系统调试接口(如ETW)抑制日志记录,或通过内存加密保护Hook代码完整性,使得传统基于磁盘扫描或签名匹配的防御机制失效。
This type of attack technique cannot be easily mitigated with preventive controls since it is based on the abuse of system features.
Coming soon