威胁猎人彭巍:扒一扒黑产的前世今生

-回复 -浏览
楼主 2021-04-03 06:46:48
举报 只看此人 收藏本贴 楼主
Web应用安全编者按:如果说业务安全在 2012 年之前还只是以阿里、腾讯及携程等为主的局部战场,近些年随着垂直电商、社交、移动游戏和 O2O 等领域的快速发展,业务安全及反欺诈受到了更多的关注。但现实情况是,大多数厂商并没有像阿里和腾讯一样与黑产相爱相杀一起成长,面对黑产的攻击会一时无措。作为防守方,除了对抗技术外,更要增强对黑产的认知,了解当前在一些业务核心问题上的对抗阶段和思路。最近,在看雪安全开发者峰会上,来自威胁猎人的彭巍,通过多个黑产案例证明多数甲方在业务安全及反欺诈上很被动的主要原因是缺乏对黑产的认知,并帮助甲方研发梳理业务安全对抗思路并对当前主要的一些风险场景具体说明。以下为彭巍演讲实录,(:)整理。本次分享的主题是业务安全的发展趋势以及对抗思路,我之前在金山毒霸负责系统和引擎开发,解决终端安全问题。今年年初加入了威胁猎人团队,这是一个专注业务安全相关黑灰产研究的团队,我的职务是产品总监加服务端研发负责人。 这是我分享的三个部分,第一,业务安全是什么。第二,业务安全昨天和今天。第三,针对对抗中的一些核心问题,提出对抗思路。业务安全是什么业务安全,顾名思义就是指企业业务上发生的安全问题。业务安全范围内比较被大家所了解的场景包括:账号安全、内容安全、运营活动安全三大部分。下面是它的详细分支,包括黄牛刷单、羊毛党等属于业务安全的范畴。业务安全解决的问题,大部分的情况就是去识别访问业务的是机器还是人,这个人是恶意用户还是正常用户。业务安全的昨天和今天业务安全的历史,首先按照移动互联网的爆发分为两个大的阶段,PC互联网又可以分为两个部分:第一个阶段,2007年之前,这个阶段可以总结为刚起步的黑产对抗腾讯阿里等企业。因为在这个阶段,2007年之前腾讯阿里等厂商因为各自业务逐渐开始涉及到庞大社交、游戏、线上交易等场景,于是黑产开始盯上这一块利益,厂商也开始逐步重视。这个阶段的特点其实是攻防节奏比较慢,防守方也是简单风控规则。第二个阶段,2008-2010年,这个阶段黑产开始形成成熟的产业链,分工明确,各点击穿,同时防护方也开始形成立体的风控手段,这个阶段业务安全开始作为企业安全的重要一环,被互联网所认知。目前为止攻守双方是你来我往。第三阶段,随着互联网快速普及,各个细分领域快速增长,黑产逐渐健壮,大厂商是小步快跑以及新互联网企业的崛起情况,这个时候攻守双方逐渐拉开了距离。在目前的阶段,两点明显的趋势:1.场景爆发带来的业务安全问题陡增。这是一张监控部分接码平台项目列表得出的分析报表,可以看到2011-2017年,薅羊毛产业链主要目标O2O、互联网金融、电商等都是极速增长,并且每天都有新的项目出现。▲通过撞库供给线路图,每一年都有新增的出现黑产的魔爪已经无处不在,这是快销行业常见的“再来一瓶”,也是我们通过接码平台发现快销行业的各种关键词,东鹏特饮、康师傅等。这个二维码不知道大家是否见过,现在快销行业为了提高再来一瓶的体验,直接会把二维码印在瓶身上,扫码之后就可以关注它的号或者,然后抽奖领红包,但这些瓶盖最终会流向废品站,废品站再集中回收流入黑产,黑产把这些二维码数字化之后,通过海量的小号套取红包,这样导致厂商营销费用的损失,明明以前可以花1000万做5000万的事,现在得花3000万。2.黑产技术飞跃式的发展。黑产技术发展超乎想象,人多,耗的钱也多,举两个例子。①获取IP资源的技术。IP作为互联网的紧缺资源,一直是厂商最重要的风控方案之一,如何获得 IP 资源也是黑灰产最先要解决的问题。黑产获得 IP 资源的方式也度过了几个阶段。最先开始通过匿名代理,然后挂机平台批量获取个人 ADSL 拨号 IP ,再到现在虚拟化 ADSL 实现海量 IP 资源获取。(秒拨)。最后一个阶段我们所说“秒拨”,目前黑产获取 IP 资源的成本已经大大降低。这是一个秒拨的截图,看起来像 ADSI 家用的一样,实际不是,这里会有一个启用换 IP,还有某宝上搜索关键词,大量类似服务都可以买到。②接码平台技术手机黑卡的流转以前一直是影响黑产效率的问题,设备的流转和卡的流转不方便,耗费成本。现在卡商和羊毛党通过接码平台实现了手机黑卡无缝流转,提高了黑产的生产效率,同时也对防守方产生很大的压力。上面是是接码平台的截图,是接受验证码平台。核心问题这是网上看到的图。这就是业务安全最核心的问题,就是有一群人比你聪明,他们比你有更多的资源。那你怎么办?言归正传。业务安全防守方目前核心问题是攻守双方信息严重不对称的问题,体现在三个方面。1.从攻击方来说,攻击场景爆发带来攻击平面快速增长。2.这导致防守方的安全管理难度增大,守方对黑产认知盲区增加,有一些触网的大企业根本不知道这个面临业务安全问题是什么。3.传统安全管理失控,传统的安全团队都是期望与内部业务部门制定标准,但是随着业务的不断发展,安全团队其实是无法感知业务安全上接口风险,因为你甚至都不知道某一个业务新增的接口,这今天总结起来防守方都不知道自己被攻击了,都是事后被发现的。这是认知盲区的例子,是前段时间从某拼车APP血泪教育中的图,虽然不是导致他们倒在资本寒冬中的原因,但是证明大部分厂商对于业务安全是完全未知的,这是一个拼车APP,每天补贴掉100万,后来证明30%是被刷单者拿走了。对抗思路情报是各大安全领域的重要手段。业务安全的情报主要是搜集什么样的情报,两个类别来说明:1,开源情报:是指监控QQ、论坛、QQ群、论坛、解码平台以及暗网获得的开源情报。这部分的情报经分析可以直接还原出针对某一个企业的作案手段,直接起到告警或者预防的作用。上图是我们监控论坛的截图,这是接码平台的截图,刚刚提到东鹏特饮的例子,就是通过关键词东鹏特饮而还原出整个作案手段的。2,闭源情报:监控黑产攻击流量,可以更直接的监控到黑产攻击的详细信息。闭源情报可以提供到接口的详情,甚至攻击的来源以及路径。这是视频软件刷流量的作案软件,我们可以通过OD分析出来,直接提取出来这个下发任务的包,可以提取出来这个链接,可以直接写代码把这些情报提取出来。这是监控暗网攻击流量的展示图,可以看到目前暗网攻击的TOP10,接口攻击详情、IP、地域等信息。有了情报之后最明显的价值就是,从之前业务安全防守时只能是事后发现,而导致了一直处于一个完全被动处处救火的情况,变成完全可以提前采取预防措施。另外,打造一个情报风控识别方案,像撞库识别方案,传统的撞库识别方案只是频次控制,维度再多也很难区分出异常频次波动和正常业务带来的频次波动。有一些安全情报抓出来的攻击流量,可以把异常频次类的数据,和闭源情报提取出来的攻击流量进行特征对比,可以极大降低误报率。以上内容来自看雪安全开发者峰会,整理。
我要推荐
转发到