黑灰产的监控与防御 | 青训营笔记

国内黑产介绍

一些常见的黑产

• 诈骗： 是指以非法占有为目的，用虚构事实或者隐瞒真相的方法，骗取款额较大的公私财物的行为。
• 薅羊毛： 网赚一族利用各种网络金融产品或红包活动推广下线抽成赚钱，又泛指搜集各个银行等金融机构及各类商家的优惠信息，以此实现盈利的目的。
• 黄牛
• 博彩： 投注社会福利彩票、各种体育彩票、地方发展彩票等的经济活动。
• 引流： 吸引流量的意思，指的是让更多的人可以看到。
• 跑分： 有人专门利用银行账户或第三方支付平台账户为他人代收款，再转账到指定账户，从中赚取佣金
• 木马： 计算机黑客用于远程控制计算机的程序，将控制程序寄生于被控制的计算机系统中，里应外合，对被感染木马病毒的计算机实施操作。
• 钓鱼： 通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾邮件，意图引诱收信人给出敏感信息（如用户名、口令、帐号 ID 、 ATM PIN 码或信用卡详细信息）
• 病毒： 广义上认为，可以通过网络传播，同时破坏某些网络组件（服务器、客户端、交换和路由设备）的病毒就是网络病毒。狭义上认为，局限于网络范围的病毒就是网络病毒，即网络病毒应该是充分利用网络协议及网络体系结构作为其传播途径或机制，同时网络病毒的破坏也应是针对网络的。
• 拖库： 网站遭到入侵后，黑客窃取其数据库文件，拖库的主要防护手段是数据库加密。
• 盗号： 通过一定手段，盗取他人账号和密码。
• 勒索软件： 一种网络安全攻击，可销毁或加密文件和文件夹，从而阻止受影响的设备的所有者访问其数据。 然后，网络犯罪分子可以敲诈业务所有者勒索钱财，以换取密钥来解锁加密的数据。 但是，即使付了钱，网络犯罪分子可能也不会提供密钥以归还业务所有者的访问权限。

黑产团伙的发展趋势

• 规模化

  • 借助脚本、软件来实现攻击的批量化
  • 上游各类资源丰富，大大降低攻击成本，同时攻击成功率也比较高

• 组织化

  • 多数以工作室的形式运作
  • 团伙内多人分工明确，合作紧密
  • 有些黑产甚至成立了公司

• 平台化

  • 今年来出现来很多平台级的爬虫、群控、钓鱼、木马、网络攻击、DDoS攻击工具，攻击成本大大降低，且难以追查
  • 各类平台将黑产手中零散的资源进行整合对黑产

常见的黑产技术分析

2018年某银行业务逻辑漏洞

开户流程：实名认证、绑定银行卡、审核开户

人脸识别对抗

黑产可以通过脚本来控制人脸图片的动作

正常用户的定位分布

可以用在

• 定位打卡
• 摇一摇附近的人
• 出租车抢单
• 某些线下使用的优惠

安全防护体系的建设

事前

• 情报监控

  • 暗网
  • 贴吧
  • TG
  • 破解论坛

• SDLC

• 漏洞扫描

事中

• 渗透测试

• 威胁感知

  • 用户行为异常
  • 接口数据异常
  • 恶意流量检测

• 风控/安全策略

事后

• 威胁建模
• 攻击溯源

一些安全技术

• 验证码
• 安全SDK
• 代理检测
• 人脸识别
• 黑产名单
• WAF
• IDS
• DLP
• 终端安全防护
• 行为审计