wow收集情报 浅谈情报信息收集方式

情报收集是情报机构获取可靠、高价值信息资源的重要途径。本文介绍了情报信息收集的主要类别，重点介绍了什么是国外情报机构常用的第四方收集及其详细描述。

根据卡巴斯基高级安全专家胡安·安德烈斯·格雷罗-萨阿德在2017年10月病毒公告大会上发表的论文《行走在你敌人的阴影里:当第四方收集成为归属H》中，根据“ell”，根据信息收集的主体和对象不同，以及生成方式的不同，大致可以分为以下五类:

1.第一方收集)-组织a通过主动或被动的方式收集信息。

2.第二方收集)-获得的信息由机构a的伙伴P共享，需要注意的是，机构P的数据源不一定需要由伙伴P的第一方收集。

3.第三方收集)-组织A通过访问一些战略组织获得的信息，无论是有意、自愿还是无意。这些战略组织可能包括互联网服务提供商、电信服务提供商、社交媒体以及生成和获取大量目标数据的其他公司。A机构可以通过收集这些看似无关紧要的数据来服务于最终的情报目标。

4.第四方收集)——包括拦截所有可能来自外部情报机构的“计算机网络剥削”行为，也可以分为主动和被动两种收集方式。

主动模式是指利用各种网络攻击能力，对对方的网络攻击进行收集、替换甚至摧毁的模式。

被动模式是指:在对手的基础网络中进行监控，主要依靠网络中数据传输的可见性，从而获得受害主机对远程控制服务器C & ampc数据传输。

5.第五方收集)——这种收集方式也被称为“情报收集独角兽”，主要是指某机构在收集情报时意外发现的信息。比如A组织成功收集了B组织的信息被第四方收集，而C组织的信息在数据中被意外收集。机构c的这部分信息由第五方收集。

在以上五种情报信息收集方式中，第四方数据收集被国外著名情报机构采用，尤其是在网络安全对抗的情报收集中。第四方收集是一个有趣而不间断的行动，对网络间谍活动有着重大影响。斯诺登曝光的文件还解释了美国国家安全局如何利用第三方收集非合作伙伴网络攻击的信息。通过了解第四方收集，可以了解国外先进情报机构是如何收集情报的，尤其是在网络安全对抗中。

根据斯诺登曝光文件，第四方收集可以包括以下四种方式:

1.被动习得；2.主动获取；3.受害主机共享/窃取；4.目标转移。

1.被动收集

被动获取是情报信息收集者在其他网络攻击中组织的真实C & ampc .攻击中间节点和中间节点到受损主机的通信链路上的信息收集和监控方法。这种收集方法通常需要情报收集器对捕获的数据进行解密、解码和去混淆，以恢复数据的真实内容。

如下图所示，A国利用属于美国、X国、Y国的主机作为攻击基础设施，对V国主机进行攻击，被泄露的主机数据也会通过受害主机到中间跳板的链接，以及中间跳板到A国C & ampc，而第四方收集的被动方式是收集这个返回链接上的信息和数据。

2.活动集合

主动收集类似被动收集，但其收集数据的未知来源是在A国掌握的攻击基础设施上进行的，甚至包括A国掌握的真实C & ampc；换句话说，这种收集方式是信息收集者主动攻击并捕获其他攻击组织的基础设施或真实C & ampc、从主机收集需要的数据，这样就不需要像被动收集一样对数据进行解码。如下图所示，情报收集者通过拿下攻击组织了位于美国、X国和Y国以及A国C&的行动基础设施；c、从这些主机收集必要的情报数据。

3.共享/窃取受害主机

受害主机共享/窃取的情报收集方式是利用外部攻击组织行动时植入的恶意代码或C & ampc系统漏洞获取对受害主机的访问，或者接管植入的恶意代码，或者用自己的恶意代码替换。也就是说，情报收集者可以共享、接管和替换其他组织已经捕获的受害主机的访问权限，以获取受害主机的数据，甚至监控其他攻击组织的行为。如下图所示，信息收集者通过接管或共享X国的移动基础设施主机和V国的受损主机来收集情报，这些主机被其他攻击组织所掌握。

4.目标重定向

目标重定向的收集方法是使用捕获的网络入侵组件。)被其他攻击组织用来缩短自己网络入侵攻击的开发周期，也就是把别人的攻击代码用在自己身上。信息收集器可以直接使用捕获的恶意代码工具等。来“吃黑”受害者主人。如下图所示，信息收集器可以直接将第五个国家的所有受损主机重定向到它们想要的C & ampc或者移动基础设施。

结束语:第四方收集是一种困难但高效的信息收集方式，国外高层情报机构已经在使用。在斯诺登公布的一批泄密文件中，我们可以看到已经有很多成功的案例。对于网络攻击的情报机构来说，第四方收集具有快速、低投入、高效率的特点，能够以最低的成本获得最大的收益，在国家网络对抗和信息情报获取中更有意义。第四方采集也有很强的隐蔽性和潜伏性。毕竟这种收集方式被收集方无法察觉，所以曝光率低。从前段时间美国起诉俄罗斯APT-28一案来看，美国借助其“长臂管辖”的法律途径，在自己的法院裁定，美国微软公司接管了APT-28组织持有的部分域名，涉及侵犯微软公司的域名，即把访问这些域名的流量重定向到微软，类似于第四方收集法中的目标重定向，这意味着大家要认真研究。

参考文献:

1.JA Guerrero-Saade，C Raiu。行走在敌人的阴影中:当第四方收藏变成归属地狱。病毒公告发布会，2016，10。

2.fourth PartY Opportunities . https://www . eff . org/files/2015/01/23/2015 01 17-speigel-NSA _ fourth _ PartY _ access _-_ I _饮料_ your _奶昔_。可移植文档格式文件的扩展名（portable document format的缩写）

3.4方收集:利用非合作伙伴计算机网络开发活动。http://www.spiegel.de/media/media-35680.pdf

*作者:奈特克斯，转载请注明来自FreeBuf.COM。