安全服务动态卸载(Dynamic Security Service Unloading)是一种针对运行时防御机制的隐蔽对抗技术。攻击者通过内存操作或系统API调用,在保持安全服务进程存续表象的前提下,动态卸载其核心防御模块的功能组件。该技术利用安全软件热加载机制的特性,通过移除关键驱动模块或禁用行为监控钩子,使防御系统丧失实时检测能力,同时避免触发服务异常告警。例如通过修改Windows Defender的MPSSVC服务配置,动态卸载反恶意软件扫描接口(AMSI)的检测功能。
该技术的匿迹性体现在对防御系统状态完整性的欺骗维持。攻击者采用"功能剥离"而非"进程终止"的操作路径,通过合法系统接口(如Windows的sc.exe或PowerShell命令)调整服务加载参数,使安全软件界面仍显示运行正常,但实际检测引擎已被静默卸载。关键技术包括:利用白名单进程执行卸载指令(如通过svchost.exe加载恶意DLL)、采用时间窗口触发机制(在防御系统例行维护期实施操作)、以及注册表项镜像克隆(保持服务配置项表面完整性)。这种动态卸载方式避免了传统杀进程行为引发的安全告警,同时保留服务外壳作为迷惑防御者的"数字替身",实现了防御削弱的持续性隐匿。
This type of attack technique cannot be easily mitigated with preventive controls since it is based on the abuse of system features.
Coming soon