搜索闭源指攻击者通过非公开渠道获取目标组织敏感信息的情报收集行为,涉及暗网市场交易、商业数据库订阅、私有漏洞库查询等活动。与传统开源情报收集不同,闭源搜索具有信息价值密度高、获取渠道隐蔽的特点,常为高级持续性威胁提供关键攻击要素。防御方通常难以直接监测此类行为,需通过监控暗网数据泄露、分析第三方平台异常查询日志等手段进行间接防御。
为规避传统闭源搜索存在的身份溯源风险与交易特征暴露缺陷,攻击者发展出多层身份隔离、查询语义混淆、跨平台行为分散等新型匿迹手法,将情报收集过程深度嵌入商业服务生态链,形成难以追溯的"合法化"侦察范式。
当前闭源搜索匿迹技术的核心演进路径集中于身份层与数据流的双重隐匿。在身份维度,通过合成身份生成、权限凭证盗用、企业身份伪造等手段,构建符合商业平台认证要求的合法数字身份,使恶意查询行为获得表面合规性。在数据流维度,利用区块链混币、加密通信、中间代理等渠道,切断信息获取路径与攻击者的直接关联。具体而言:暗网匿名购买技术通过暗网生态的自治特性实现完全匿名交易;商业情报身份伪造利用企业身份认证体系的漏洞获取高级数据权限;私有漏洞库查询则通过漏洞验证的灰色地带间接提取目标信息;跨平台聚合代理更是创造性地将情报收集任务转嫁给第三方服务商。这些技术的共性在于突破传统单点对抗模式,通过合法商业服务的业务逻辑重构攻击链,使防御方既无法通过技术手段阻断访问,也难以通过法律途径追究责任。
匿迹技术的应用导致传统基于日志审计或交易监控的防御手段逐渐失效,防御方需建立暗网情报监测体系,开发深度伪造身份检测算法,并推动商业数据平台实施多方安全计算等隐私增强技术,从信息源头遏制隐蔽侦察行为。
| 效应类型 | 是否存在 |
|---|---|
| 特征伪装 | ✅ |
| 行为透明 | ✅ |
| 数据遮蔽 | ✅ |
| 时空释痕 | ❌ |
攻击者通过伪造商业身份和合规查询行为,将恶意情报搜索伪装成正常的商业数据采购或安全研究活动。例如使用虚假企业资料订阅商业数据库,或通过漏洞验证工单间接提取目标信息,使得闭源搜索行为在协议交互和业务逻辑层面与合法操作完全同构。
信息收集过程并不需要直接访问目标网络或系统,而是通过购买或订阅封闭数据源,获得与目标相关的情报信息。这类间接的信息收集方式避免了在目标组织的网络环境中产生任何可疑行为或异常流量,防御方难以通过流量监控等方式察觉到攻击者的收集意图。
在暗网交易和跨平台代理等场景中,攻击者利用Tor网络加密通信和HTTPS数据加密,遮蔽查询参数和交易内容。加密货币支付与混币技术的应用,进一步阻断了资金流向与攻击者的关联,实现全链路的数据不可见性。
| ID | Name | Description |
|---|---|---|
| G1011 | EXOTIC LILY |
EXOTIC LILY has searched for information on targeted individuals on business databases including RocketReach and CrunchBase.[1] |
| ID | Mitigation | Description |
|---|---|---|
| M1056 | Pre-compromise |
This technique cannot be easily mitigated with preventive controls since it is based on behaviors performed outside of the scope of enterprise defenses and controls. Efforts should focus on minimizing the amount and sensitivity of data available to external parties. |
Much of this activity may have a very high occurrence and associated false positive rate, as well as potentially taking place outside the visibility of the target organization, making detection difficult for defenders.
Detection efforts may be focused on related stages of the adversary lifecycle, such as during Initial Access.