云基础设施发现: 合法凭证伪装探测

合法凭证伪装探测（Legitimate Credential Camouflage Probing）是攻击者利用已获取的合法云服务凭证（如IAM用户密钥、服务账号令牌）进行基础设施探测的技术。该技术通过模仿正常管理操作模式，调用云服务商提供的标准API接口（如AWS DescribeInstances、Azure ListVM），在权限边界内执行资源枚举操作。攻击者通常结合凭证窃取或权限提升手段，确保探测行为在授权范围内完成，规避基于异常身份验证的检测机制，使基础设施发现行为呈现出合法用户操作的表面特征。

该技术的匿迹机制建立在"权限内操作"与"行为模式模仿"的双重策略上。攻击者首先通过钓鱼攻击、配置错误利用或横向移动获取有效凭证，确保API调用具有合法的身份标识。在操作实施阶段，严格遵循目标云平台的标准API调用规范，包括请求参数格式、频率限制和访问控制策略，避免触发基于非常规操作模式的检测规则。技术实现中采用三大关键策略：一是凭证生命周期管理，通过短期令牌轮换降低单组凭证的异常调用频次；二是请求参数伪装，将恶意探测指令分解为符合业务逻辑的连续查询（如分页查询实例列表）；三是日志污染，在探测过程中穿插真实业务操作（如配置检查、监控数据读取），形成混合型操作日志干扰行为分析。这种技术通过将攻击行为完全纳入授权操作范畴，使得传统基于权限越界或非法访问的检测模型失效，实现基础设施发现行为的深度隐匿。