| ID | Name |
|---|---|
| T1597.001 | 暗网交易市场匿名购买 |
| T1597.002 | 合法情报服务身份伪装 |
| T1597.003 | 跨平台情报聚合代理 |
合法情报服务身份伪装(Legitimate Intelligence Service Identity Camouflage)指攻击者通过伪造合规身份接入商业情报平台的技术。通过构建虚拟企业资质(如伪造营业执照、行业许可证)、模拟正常用户行为模式(包括查询频率、数据下载量、访问时段等),将恶意情报收集行为隐藏在合法商业数据采购流程中。技术实施需破解目标平台的用户画像模型,确保伪造身份的行为特征与真实企业用户保持统计一致性。
该技术的匿迹核心在于构建双重合法性:身份资质合法性与行为模式合法性。攻击者首先通过深度伪造技术生成全套企业数字证件,并利用傀儡公司完成平台资质认证。在行为模拟层面,采用强化学习算法分析平台历史访问日志,构建符合行业特征的查询模式,包括工作日访问偏好、数据下载量级分布、搜索关键词关联性等。查询请求通过中间代理服务器发送,其网络特征与真实企业办公网络保持高度一致(包括IP地址段、SSL证书指纹、TCP窗口大小等)。数据接收端采用混合云存储架构,将获取的情报与正常业务数据混合存储,利用数据湖的异构特性掩盖异常访问痕迹。
This type of attack technique cannot be easily mitigated with preventive controls since it is based on the abuse of system features.
Coming soon