黑灰产监控与防御 | 青训营笔记

70 阅读2分钟

这是我参与「第五届青训营 」伴学笔记创作活动的第 10 天

目录

  • 国内黑产介绍
  • 常见黑产技术分析
  • 安全防护体系的建设

1.国内黑产介绍

常见的黑产

  • 诈骗、木马
  • 薅羊毛、钓鱼
  • 黄牛、病毒
  • 博彩、拖库
  • 引流、盗号
  • 跑分、勒索软件

黑色产业链规模

haveibeenpwned这个网站可以检测你的常用账号是否泄露了密码
Have I Been Pwned: Check if your email has been compromised in a data breach
截止本文发布所收录的数据条数
image.png

  • 不完全统计,中国境内每天约有350万到400万个代理ip被用于各种欺诈活动
  • 中国“网络黑产”从业人员超150万 -- 中国法院网 2017

可以看到规模还是非常大的

黑产的发展趋势

规模化

  • 借助脚本软件等实现攻击批量化

组织化

  • 以工作室的形式运作
  • 分工明确、合作紧密
  • 甚至成立了公司

平台化

  • 出现了很多平台级的爬虫、群控、钓鱼木马等等、难以追查
  • 各类平台将黑产手中零散的资源进行整合

2.常见黑产技术分析

2018年某银行业务逻辑漏洞(已修复)

graph LR
开户流程 --> 实名认证 --> 绑定银行卡 --> 审核开户

当时这个银行审核阶段会在移动端返回 yes or no,所以黑产通过抓包改包跳过了验证。

人脸识别对抗

黑灰产可以通过照片生成3d人脸模型,并且增加一些验证动作,来通过人脸验证

地理位置对抗

有些软件可以生成定位信息,甚至生成具有一定速度和路线的地位信息(比如微信里面的共享实时位置)
他们被用于:定位打卡、摇一摇附件人、出租车抢单、某些线下使用的优惠

3.安全防护体系的建设

事前

  • 情报监控
    • 暗网
    • 贴吧
    • Tg
    • 破解论坛
  • SDLC
  • 漏洞扫描

事中

  • 渗透测试
  • 威胁感知
    • 用户行为异常
    • 接口数据异常
    • 恶意流量检测
  • 风控、安全策略

事后

  • 威胁建模
  • 攻击溯源