/ Intelligence Collection

第四方收集


0.第四方收集

第四方收集是当前情报收集的一种有效方式,第四方收集可以包括以下四种方式:
1.被动获取
2.主动获取
3.受害主机共享/窃取
4.目标重定位

1.被动收集

被动获取是在真实远端C&C与攻击中间节点(攻击基础设施),以及中间节点到被攻陷主机间的通信链路上进行信息收集(监听),通常需要被动收集方需要对捕获的数据进行解密、解码、解混淆等操作还原数据真实内容。如下图所示,国家A利用US、国家X、国家Y的主机作为攻击基础设施对国家V的主机进行网络攻击,而泄露的数据也将通过依次通过受害主机到中间跳板的链路、以及中间跳板到国家A的C&C的链路,被动收集就是在这些回传的链路上进行收集。
1

2.主动收集

主动收集与被动收集相似,其捕获数据的来源是在国家A所掌握的攻击行动基础设施,甚至包括其真实C&C上获取,换句话说就是数据收集方直接主动拿下攻击行动基础设施或真实C&C,提取想收集的数据。如下图所示:
2

3.受害主机共享/窃取

受害主机共享/窃取的收集方式,是利用外部攻击行动所植入恶意代码或C&C系统的漏洞,来获取到受害主机的访问权限、或接管植入的恶意代码(将反弹连接的域名或IP接管)、或替换为自己的恶意代码。如下图所示,攻击者可以共享、接管、替换已被其他组织攻陷的受害主机的访问权限,来获得受害主机的数据,甚至可以监控其他攻击组织的行动。
3

4.目标重定位

重定目标的收集方式,是利用捕获的外部网络入侵组件(植入代码、漏洞利用等)来缩短自己网络入侵攻击的开发周期,也就是将别人的攻击代码为我所用。如下图所示,信息收集方可以将捕获的恶意代码工具等直接利用,将受害主机"一锅端",也就是"黑吃黑"。
4

结尾语:第四方收集是一种难度高但却高效的信息收集方式,已被国外的情报收集机构使用,其所获取的数据价值是非常高的。

扩展阅读:信息收集方式