黑灰产监控与防御
这是我参加【第五届青训营】伴学笔记创作活动的第11天
概述
企业的信息安全体系是非常庞大的,任何一个环节都可能会出现安全风险。其中,黑灰产是安全人员最为关注的一个风险来源,也是历年来导致企业和用户损失最大的因素。
如果某个平台或者业务被黑灰产盯上,可能是因为这个业务存在安全隐患被黑灰产利用,也可能只是被黑灰产当做牟利的垫脚石。对黑灰产的监控和防御,就是要了解他们的意图、手段和行为模式,避免被黑灰产攻击或者利用。
本次可能会给大家简单介绍国内黑灰产的情况,挑选了几种比较经典的黑产作弊手段进行详细分析,希望能帮助大家对黑灰产这个群体有一定的了解,提升各位的安全意识,在日后的工作和生活中,多一些安全角度的思考。
课程目标
- 国内黑产介绍
- 常见的黑产技术分析
- 安全防护体系的建设
国内黑产介绍
一些常见的黑产
- 诈骗 木马
- 薅羊毛 钓鱼
- 黄牛 病毒
- 博彩 拖库
- 引流 盗号
- 跑分 勒索软件
黑色产业链结构(部分)
黑产团伙的发展趋势
规模化
- 借助脚本、软件来实现攻击的批量化
- 上游各类资源丰富,大大降低攻击成本,同时攻击成功率也比较高
组织化
- 多数以工作室的形式运行
- 团伙内多人分工明确,合作紧密
- 某些黑产甚至成立了公司
平台化
- 近年来出现了很多平台级的爬虫、群控、钓鱼、木马、网络攻击、DDos攻击工具、攻击成本大大降低、且难以追查
- 各类平台将黑产手中零散的资源进行整合,对黑产
常见的黑产技术分析
举例(2018年某银行业务逻辑漏洞)
开户流程——>实名认证——>绑定银行卡——>审核开户
人脸识别对抗
从照片到3D人脸模型
现在识别人脸识别,黑产利用工具控制照片眨眼动作或其他验证动作
人脸识别系统不安全,就是黑灰产破解人脸识别应用或安全保护,篡改验证流程、通讯信息,劫持访问对象、修改软件进程,将后台或前端的真数据替换为假数据,以实现虚假人脸信息的通过。主要破解系统代码、劫持摄像头、篡改传输报文进行破坏。
**破解系统代码:**破解人脸识别系统代码、人脸识别应用的代码,篡改人脸识别代码的逻辑,或者注入攻击脚本,改变其执行流程,人脸识别系统按照攻击者设定的路径进行访问、反馈。
**劫持摄像头:**通过入侵人脸识别设备,或在设备上植入后门,通过刷入特定的程序来劫持摄像头、劫持人脸识别App或应用,绕过人脸的核验。
**篡改传输报文:**通过破解入侵人脸识别系统或设备,劫持人脸识别系统与服务器之间的报文信息,对人脸信息进行篡改,或者将真实信息替换为虚假信息。
正常用户的定位分布
正常的定位分布很分散,去的地方多定位就密集,去的地方少就分散。
不正常用户定位
呈一定的形状分布,很密集
利用插件控制定位分布
地理位置对抗
- 定位打卡:利用插件控制定位分布
- 摇一摇附近的人:手机定位以固定时间移动就可以摇到所以地方的人
- 出租车抢单:利用设置手机定位,抢到设置的定位附近的单
- 某些线下使用的优惠:利用定位把优惠使用
安全防护体系的建设
- 事前
- 情报监控
- 暗网
- 贴吧
- TG
- 破解论坛
- SDLC
- 漏洞扫描
- 情报监控
- 事中
- 渗透测试
- 威胁感知
- 用户行为异常
- 接口数据异常
- 恶意流量检测
- 风控/安全策略
- 事后
- 威胁建模
- 攻击溯源
安全防护手段
- 验证码
- 安全SDK
- 代理检测
- 人脸识别
- 黑产名单
- WAF
- IDS
- DLP
- 终端安全防护
- 行为审计
总结
本次课程主要讲了黑灰产以及信息安全体系,简要介绍了黑灰产监控与防御,挑选了几种比较常见的黑灰产手段进行详细分析及如何创建安全防护体系
