情報(bào)收集是情報(bào)機(jī)構(gòu)獲取可靠、高價(jià)值信息資源的一種重要方式。本文介紹情報(bào)信息收集的主要分類，重點(diǎn)介紹國(guó)外情報(bào)機(jī)構(gòu)常用的第四方收集是什么及其細(xì)節(jié)描述。

據(jù)卡巴斯基資深安全專家Juan AndrésGuerrero-Saad在于 2017年10月在Virus Bulletin會(huì)議上發(fā)表的論文

《WALKING IN YOUR ENEMY’S SHADOW: WHEN FOURTH-PARTYCOLLECTION BECOMES ATTRIBUTION HELL 》[1]中指出，依據(jù)執(zhí)行信息收集行為的主體與對(duì)象的不同、以及生成方式的不同，大致可以分為以下五類：

1. 第一方收集(First-party collection) – 機(jī)構(gòu)A通過(guò)主動(dòng)或被動(dòng)的方式進(jìn)行信息收集。

2. 第二方收集(Second-party collection) – 由機(jī)構(gòu)A的合作伙伴 P (情報(bào)機(jī)構(gòu))共享獲得的信息，需要注意的是：機(jī)構(gòu)P的數(shù)據(jù)來(lái)源并不一定要求是合作伙伴 P 的第一方收集。

3. 第三方收集(Third-party collection) – 機(jī)構(gòu)A通過(guò)無(wú)論是有意的、自愿的還是其他方式訪問(wèn)一些戰(zhàn)略組織所獲取的信息，這些戰(zhàn)略組織可以包括互聯(lián)網(wǎng)服務(wù)商、電信服務(wù)商、社交媒體、以及其他生成并獲取大量目標(biāo)數(shù)據(jù)的公司等。機(jī)構(gòu) A可以通過(guò)收集這些看上去無(wú)關(guān)痛癢的數(shù)據(jù)，為最終的情報(bào)目標(biāo)服務(wù)。

4. 第四方收集(Fourth-party collection) – 它包括從外部情報(bào)機(jī)構(gòu)截獲所有可能配置的“計(jì)算機(jī)網(wǎng)絡(luò)攻擊( CNE ：Computer Network Exploitation) ” 行為，它還可以分為兩種收集方式：主動(dòng)方式和被動(dòng)方式。

• 主動(dòng)方式是指：利用各種各樣的網(wǎng)絡(luò)攻擊行動(dòng)能力來(lái)進(jìn)行信息收集、替換、甚至破壞對(duì)手網(wǎng)絡(luò)攻擊行動(dòng)的方式。
• 被動(dòng)方式是指：在對(duì)手的基礎(chǔ)設(shè)施網(wǎng)絡(luò)中進(jìn)行監(jiān)聽，這主要依靠的是數(shù)據(jù)在互聯(lián)網(wǎng)中傳輸?shù)目梢娦?，以此獲取受害主機(jī)到遠(yuǎn)程控制服務(wù)器C&C的數(shù)據(jù)傳輸。

5. 第五方收集(Fifth-party collection) – 這種收集方式又稱“獨(dú)角獸情報(bào)收集 ” (unicorn of intelligence collection)，它主要指機(jī)構(gòu)在進(jìn)行情報(bào)收集時(shí)并非故意獲得的意外發(fā)現(xiàn)信息。舉個(gè)栗子，機(jī)構(gòu) A 成功以第四方收集了機(jī)構(gòu)B的信息，而此時(shí)在數(shù)據(jù)中又意外收集到了機(jī)構(gòu) C 的信息。機(jī)構(gòu) C的這部分信息就是第五方收集。

在上述五種情報(bào)信息收集方式中，第四方數(shù)據(jù)收集被國(guó)外著名情報(bào)機(jī)構(gòu)使用，尤其在網(wǎng)絡(luò)安全對(duì)抗中的情報(bào)收集中使用更加廣泛。第四方收集是一個(gè)有趣的、不間斷的行動(dòng)，對(duì)網(wǎng)絡(luò)間諜活動(dòng)具有顯著的影響力

(Fourth-party collection is an interesting and ongoing practicewith a palpable impact on cyber espionage operations )[1]。斯諾登曝光的文檔[3]也曾說(shuō)明了 NSA是如何利用第四方收集在非合作伙伴的網(wǎng)絡(luò)攻擊中進(jìn)行信息收集的。通過(guò)了解第四方收集，我們能夠?qū)W習(xí)到國(guó)外先進(jìn)的情報(bào)機(jī)構(gòu)是如何收集情報(bào)的，尤其是在網(wǎng)絡(luò)安全對(duì)抗中。

根據(jù)斯諾登曝光文檔[2]的闡述，第四方收集可以包括以下四種方式：1. 被動(dòng)獲取;2.主動(dòng)獲取; 3. 受害主機(jī)共享 /竊取;4. 目標(biāo)重定位。

1. 被動(dòng)收集

被動(dòng)獲取是在情報(bào)信息收集方在其他網(wǎng)絡(luò)攻擊組織的真實(shí)C&C與攻擊中間節(jié)點(diǎn)(攻擊基礎(chǔ)設(shè)施)，以及中間節(jié)點(diǎn)到被攻陷主機(jī)間的通信鏈路上進(jìn)行信息收集和監(jiān)聽的方式。這種收集方式通常需要情報(bào)收集方對(duì)所捕獲的數(shù)據(jù)進(jìn)行解密、解碼、解混淆等操作，以此還原數(shù)據(jù)的真實(shí)內(nèi)容。

如下圖所示，國(guó)家A利用屬于US 、國(guó)家X、國(guó)家Y 的主機(jī)作為攻擊基礎(chǔ)設(shè)施，對(duì)國(guó)家 V的主機(jī)進(jìn)行網(wǎng)絡(luò)攻擊，而被攻陷主機(jī)的泄露數(shù)據(jù)也將依次通過(guò)受害主機(jī)到中間跳板的鏈路、以及中間跳板到國(guó)家 A 的 C&C的鏈路進(jìn)行數(shù)據(jù)回傳，第四方收集的被動(dòng)方式就是在這回傳的鏈路上進(jìn)行信息數(shù)據(jù)的收集。(圖中紫色標(biāo)注的位置)

2. 主動(dòng)收集

主動(dòng)收集與被動(dòng)收集相似，但其收集數(shù)據(jù)的未知來(lái)源在國(guó)家A所掌握的攻擊行動(dòng)基礎(chǔ)設(shè)施上進(jìn)行，甚至包括國(guó)家A 掌握的真實(shí)C&C;換句話說(shuō)，這種收集方式就是信息收集方主動(dòng)出擊，攻陷其他攻擊組織發(fā)動(dòng)攻擊行動(dòng)的基礎(chǔ)設(shè)施或真實(shí) C&C ，從主機(jī)上收集需要的數(shù)據(jù)，這樣便不用想被動(dòng)收集那樣對(duì)數(shù)據(jù)進(jìn)行解碼等操作。如下圖所示，情報(bào)收集方通過(guò)拿下攻擊組織位于US 、國(guó)家 X 、Y的行動(dòng)基礎(chǔ)設(shè)施以及國(guó)家 A 的 C&C，從這些主機(jī)上收集需要的情報(bào)數(shù)據(jù)。

3. 受害主機(jī)的共享/竊取

受害主機(jī)共享/竊取的情報(bào)收集方式，是利用外部攻擊行動(dòng)組織行動(dòng)時(shí)所植入惡意代碼或C&C 系統(tǒng)的漏洞來(lái)獲取到受害主機(jī)的訪問(wèn)權(quán)限、或接管植入的惡意代碼(將反彈連接的域名或IP接管)、或替換為自己的惡意代碼。也就是說(shuō)情報(bào)收集方可以共享、接管、替換已被其他組織攻陷的受害主機(jī)的訪問(wèn)權(quán)限，來(lái)獲得受害主機(jī)的數(shù)據(jù)，甚至可以監(jiān)控其他攻擊組織的行動(dòng)。如下圖所示，通過(guò)信息收集方通過(guò)接管或共享其他攻擊組織掌握的國(guó)家 X的行動(dòng)基礎(chǔ)設(shè)施主機(jī)以及Country V的被攻陷主機(jī)來(lái)進(jìn)行情報(bào)收集。

4. 目標(biāo)重定向

目標(biāo)重定向的收集方式，是利用捕獲的其他攻擊組織所使用的網(wǎng)絡(luò)入侵組件(植入代碼、漏洞利用等)來(lái)縮短自己網(wǎng)絡(luò)入侵攻擊的開發(fā)周期，也就是將別人的攻擊代碼為我所用。信息收集方可以直接利用捕獲的惡意代碼工具等，將受害主機(jī)”一鍋端 “，也就是”黑吃黑 ” 。如下圖所示，信息收集方可以直接將國(guó)家V的所有被攻陷主機(jī)重定向到自己希望的 C&C 或行動(dòng)基礎(chǔ)設(shè)施上來(lái)。

結(jié)尾語(yǔ)

第四方收集是一種難度高，但卻高效的信息收集方式，早已被國(guó)外高級(jí)情報(bào)機(jī)構(gòu)使用，在斯諾登所公布的一批泄露的文檔中，我們可以看到已經(jīng)有許多成功的案例了。對(duì)于網(wǎng)絡(luò)攻擊的情報(bào)機(jī)構(gòu)而言，第四方收集具備快速、投入小、效益高的特點(diǎn)，以最小的代價(jià)獲取最大的效益，而且在國(guó)家級(jí)網(wǎng)絡(luò)對(duì)抗、信息情報(bào)獲取中更具意義。第四方收集也具備很強(qiáng)的隱藏性和潛伏性，畢竟這種收集方式不能讓被收集方(攻擊組織)所察覺(jué)，因而曝光度低。從前段時(shí)間美國(guó)起訴俄羅斯 APT-28(Fancy Bear) 的案例來(lái)看，美國(guó)借助其“長(zhǎng)臂管轄”的法律途徑，在本國(guó)法庭判決由美國(guó)微軟公司接管 APT-28組織掌握的部分涉及侵權(quán)微軟公司的域名，也就是將訪問(wèn)這些域名的流量重定向到微軟，這與第四方收集方式中的目標(biāo)重定向具有異曲同工之妙，其中的意味大家細(xì)細(xì)品吧。