这是我参与「第五届青训营 」笔记创作活动的第11天
1.国内黑产介绍
- 诈骗、木马、薅羊毛、钓鱼、勒索软件、博彩等
- 据不完全统计,仅中国境内每天约有350-400万个代理IP被用于各类欺诈活动
黑色产业链结构
黑产团伙的发展趋势
- 规模化:借助脚本、软件来实现攻击的批量化
- 组织化:以工作室的形式运作
- 平台化:平台级的爬虫、群控、钓鱼、木马、网络攻击、DDoS攻击工具使得成本降低且难以排查。
2.常见黑产技术分析
2018年某银行业务逻辑漏洞(已修复)
开户流程:
graph LR
实名认证 --> 绑定银行卡 --> 审核开户
该银行开户流程在实名认证审核之后,服务端会返回状态码表示是否通过,客户端根据状态码来判断是否进行下一步操作。
显然信息校验让前端进行是不安全的行为,前端用户可以通过修改客户端软件本身的方式使得即使状态码没有通过,客户端仍然能进行绑定银行卡操作。
漏洞攻击流程:
graph LR
伪造身份证上传,得到客户端返回的不通过数据包 --> 抓包并且中断请求,修改状态码为通过
人脸识别对抗
一张基本证件照通过软件直接构建出3D模型的方式:确定下巴、颌骨、太阳穴、眉心、鼻尖等;这样的构建方式能够使得产生的3D模型被计算机的人脸识别所认可。
定位对抗
修改设备的定位信息来进行定位打卡/出租车抢单/线下优惠的使用等
3.安全防护体系建设
事前
- 情报监控
- SDLC
- 漏洞扫描
事中
- 渗透测试
- 威胁感知:用户行为异常、接口数据异常、恶意流量检测
- 风控、安全策略
事后
- 威胁建模
- 攻击溯源
总结
本节课程讲解了黑灰产的监控和防御问题,通过三个具体的漏洞对抗实例来介绍黑灰产业对漏洞的基本利用方式和思路。
