情報收集是情報機(jī)構(gòu)獲取可靠、高價值信息資源的一種重要方式。本文介紹情報信息收集的主要分類，重點(diǎn)介紹國外情報機(jī)構(gòu)常用的第四方收集是什么及其細(xì)節(jié)描述。

據(jù)卡巴斯基資深安全專家Juan AndrésGuerrero-Saad在于 2017年10月在Virus Bulletin會議上發(fā)表的論文

《WALKING IN YOUR ENEMY’S SHADOW: WHEN FOURTH-PARTYCOLLECTION BECOMES ATTRIBUTION HELL 》[1]中指出，依據(jù)執(zhí)行信息收集行為的主體與對象的不同、以及生成方式的不同，大致可以分為以下五類：

1. 第一方收集(First-party collection) – 機(jī)構(gòu)A通過主動或被動的方式進(jìn)行信息收集。

2. 第二方收集(Second-party collection) – 由機(jī)構(gòu)A的合作伙伴 P (情報機(jī)構(gòu))共享獲得的信息，需要注意的是：機(jī)構(gòu)P的數(shù)據(jù)來源并不一定要求是合作伙伴 P 的第一方收集。

3. 第三方收集(Third-party collection) – 機(jī)構(gòu)A通過無論是有意的、自愿的還是其他方式訪問一些戰(zhàn)略組織所獲取的信息，這些戰(zhàn)略組織可以包括互聯(lián)網(wǎng)服務(wù)商、電信服務(wù)商、社交媒體、以及其他生成并獲取大量目標(biāo)數(shù)據(jù)的公司等。機(jī)構(gòu) A可以通過收集這些看上去無關(guān)痛癢的數(shù)據(jù)，為最終的情報目標(biāo)服務(wù)。

4. 第四方收集(Fourth-party collection) – 它包括從外部情報機(jī)構(gòu)截獲所有可能配置的“計算機(jī)網(wǎng)絡(luò)攻擊( CNE ：Computer Network Exploitation) ” 行為，它還可以分為兩種收集方式：主動方式和被動方式。

• 主動方式是指：利用各種各樣的網(wǎng)絡(luò)攻擊行動能力來進(jìn)行信息收集、替換、甚至破壞對手網(wǎng)絡(luò)攻擊行動的方式。
• 被動方式是指：在對手的基礎(chǔ)設(shè)施網(wǎng)絡(luò)中進(jìn)行監(jiān)聽，這主要依靠的是數(shù)據(jù)在互聯(lián)網(wǎng)中傳輸?shù)目梢娦?，以此獲取受害主機(jī)到遠(yuǎn)程控制服務(wù)器C&C的數(shù)據(jù)傳輸。

5. 第五方收集(Fifth-party collection) – 這種收集方式又稱“獨(dú)角獸情報收集 ” (unicorn of intelligence collection)，它主要指機(jī)構(gòu)在進(jìn)行情報收集時并非故意獲得的意外發(fā)現(xiàn)信息。舉個栗子，機(jī)構(gòu) A 成功以第四方收集了機(jī)構(gòu)B的信息，而此時在數(shù)據(jù)中又意外收集到了機(jī)構(gòu) C 的信息。機(jī)構(gòu) C的這部分信息就是第五方收集。

在上述五種情報信息收集方式中，第四方數(shù)據(jù)收集被國外著名情報機(jī)構(gòu)使用，尤其在網(wǎng)絡(luò)安全對抗中的情報收集中使用更加廣泛。第四方收集是一個有趣的、不間斷的行動，對網(wǎng)絡(luò)間諜活動具有顯著的影響力

(Fourth-party collection is an interesting and ongoing practicewith a palpable impact on cyber espionage operations )[1]。斯諾登曝光的文檔[3]也曾說明了 NSA是如何利用第四方收集在非合作伙伴的網(wǎng)絡(luò)攻擊中進(jìn)行信息收集的。通過了解第四方收集，我們能夠?qū)W習(xí)到國外先進(jìn)的情報機(jī)構(gòu)是如何收集情報的，尤其是在網(wǎng)絡(luò)安全對抗中。

根據(jù)斯諾登曝光文檔[2]的闡述，第四方收集可以包括以下四種方式：1. 被動獲取;2.主動獲取; 3. 受害主機(jī)共享 /竊取;4. 目標(biāo)重定位。

1. 被動收集

被動獲取是在情報信息收集方在其他網(wǎng)絡(luò)攻擊組織的真實(shí)C&C與攻擊中間節(jié)點(diǎn)(攻擊基礎(chǔ)設(shè)施)，以及中間節(jié)點(diǎn)到被攻陷主機(jī)間的通信鏈路上進(jìn)行信息收集和監(jiān)聽的方式。這種收集方式通常需要情報收集方對所捕獲的數(shù)據(jù)進(jìn)行解密、解碼、解混淆等操作，以此還原數(shù)據(jù)的真實(shí)內(nèi)容。

如下圖所示，國家A利用屬于US 、國家X、國家Y 的主機(jī)作為攻擊基礎(chǔ)設(shè)施，對國家 V的主機(jī)進(jìn)行網(wǎng)絡(luò)攻擊，而被攻陷主機(jī)的泄露數(shù)據(jù)也將依次通過受害主機(jī)到中間跳板的鏈路、以及中間跳板到國家 A 的 C&C的鏈路進(jìn)行數(shù)據(jù)回傳，第四方收集的被動方式就是在這回傳的鏈路上進(jìn)行信息數(shù)據(jù)的收集。(圖中紫色標(biāo)注的位置)

2. 主動收集

主動收集與被動收集相似，但其收集數(shù)據(jù)的未知來源在國家A所掌握的攻擊行動基礎(chǔ)設(shè)施上進(jìn)行，甚至包括國家A 掌握的真實(shí)C&C;換句話說，這種收集方式就是信息收集方主動出擊，攻陷其他攻擊組織發(fā)動攻擊行動的基礎(chǔ)設(shè)施或真實(shí) C&C ，從主機(jī)上收集需要的數(shù)據(jù)，這樣便不用想被動收集那樣對數(shù)據(jù)進(jìn)行解碼等操作。如下圖所示，情報收集方通過拿下攻擊組織位于US 、國家 X 、Y的行動基礎(chǔ)設(shè)施以及國家 A 的 C&C，從這些主機(jī)上收集需要的情報數(shù)據(jù)。

3. 受害主機(jī)的共享/竊取

受害主機(jī)共享/竊取的情報收集方式，是利用外部攻擊行動組織行動時所植入惡意代碼或C&C 系統(tǒng)的漏洞來獲取到受害主機(jī)的訪問權(quán)限、或接管植入的惡意代碼(將反彈連接的域名或IP接管)、或替換為自己的惡意代碼。也就是說情報收集方可以共享、接管、替換已被其他組織攻陷的受害主機(jī)的訪問權(quán)限，來獲得受害主機(jī)的數(shù)據(jù)，甚至可以監(jiān)控其他攻擊組織的行動。如下圖所示，通過信息收集方通過接管或共享其他攻擊組織掌握的國家 X的行動基礎(chǔ)設(shè)施主機(jī)以及Country V的被攻陷主機(jī)來進(jìn)行情報收集。

4. 目標(biāo)重定向

目標(biāo)重定向的收集方式，是利用捕獲的其他攻擊組織所使用的網(wǎng)絡(luò)入侵組件(植入代碼、漏洞利用等)來縮短自己網(wǎng)絡(luò)入侵攻擊的開發(fā)周期，也就是將別人的攻擊代碼為我所用。信息收集方可以直接利用捕獲的惡意代碼工具等，將受害主機(jī)”一鍋端 “，也就是”黑吃黑 ” 。如下圖所示，信息收集方可以直接將國家V的所有被攻陷主機(jī)重定向到自己希望的 C&C 或行動基礎(chǔ)設(shè)施上來。

結(jié)尾語

第四方收集是一種難度高，但卻高效的信息收集方式，早已被國外高級情報機(jī)構(gòu)使用，在斯諾登所公布的一批泄露的文檔中，我們可以看到已經(jīng)有許多成功的案例了。對于網(wǎng)絡(luò)攻擊的情報機(jī)構(gòu)而言，第四方收集具備快速、投入小、效益高的特點(diǎn)，以最小的代價獲取最大的效益，而且在國家級網(wǎng)絡(luò)對抗、信息情報獲取中更具意義。第四方收集也具備很強(qiáng)的隱藏性和潛伏性，畢竟這種收集方式不能讓被收集方(攻擊組織)所察覺，因而曝光度低。從前段時間美國起訴俄羅斯 APT-28(Fancy Bear) 的案例來看，美國借助其“長臂管轄”的法律途徑，在本國法庭判決由美國微軟公司接管 APT-28組織掌握的部分涉及侵權(quán)微軟公司的域名，也就是將訪問這些域名的流量重定向到微軟，這與第四方收集方式中的目標(biāo)重定向具有異曲同工之妙，其中的意味大家細(xì)細(xì)品吧。