第三方供应链数据窃取(Third-party Supply Chain Data Exfiltration)是指攻击者通过入侵目标组织的供应商、合作伙伴或服务提供商,间接获取受害者主机信息的技术。该技术聚焦于软件更新服务器、IT运维平台、远程管理工具等供应链节点,利用其与目标主机的信任关系,通过日志窃取、配置同步接口滥用等方式批量获取主机资产数据。攻击者通常采用水坑攻击、漏洞利用等手段渗透第三方系统,在数据收集阶段保持最低权限访问,使异常行为隐藏在供应链的正常业务流量中。
该技术的匿迹效果来源于攻击链的间接性与数据获取的被动性。攻击者通过供应链节点的信任隧道,将主动探测转化为被动监听,利用目标系统与第三方服务的标准通信协议(如SNMP、Syslog)获取主机信息。在行为特征层面,攻击流量具有明确的服务端身份认证与合规API调用路径,且数据获取节奏与供应链业务周期同步。技术实现需解决三个核心问题:供应链节点的选择(需具备与目标主机的持续数据交互)、攻击痕迹的清理(利用日志滚动机制覆盖操作记录)、以及数据聚合的隐蔽性(采用隐写术或合法文件格式封装)。这种攻击方式使得传统基于主机端行为监控的防御体系难以追溯数据泄露源头。
This type of attack technique cannot be easily mitigated with preventive controls since it is based on the abuse of system features.
Coming soon