这是我参与「第五届青训营 」伴学笔记创作活动的第 10 天,今天我学习了黑灰产的监控和防御,了解到与黑灰产的对抗是非常重要的,下面是我的收获
黑灰产监控与防御
1.1 国内黑灰产介绍
1.1.1 常见的黑灰产
普通方向
诈骗、木马、薅羊毛、钓鱼、黄牛、博彩
黑客方向
病毒、拖库、引流、盗号、跑分、勒索软件
1.1.2 黑灰产规模
-
中国黑灰产从业人员已经超过150w,市场规模已破千亿
-
截至到2023年2月,haveibeenpwned已经收录了124亿多条账密数据
-
某互联网公司统计,2018年各类黑产攻击业务层总数超过300亿次
-
据不完全统计,仅中国境内每天约有350-400万个代理IP被用于各类欺诈活动
1.1.3 黑色产业链结构
简单描述下
-
通过卡商提供手机卡
-
通过手机卡,接码平台进行接收验证码之类的数据,不管是语音还是文字验证码,接码平台都能通过自动化工具进行处理,然后提供给下游的黑产使用
-
此外还有打码平台能通过自动化工具识别滑动验证码等,提供给下游的黑产使用
-
完成上述步骤之后,黑产通过改机工具、群控系统等等,对平台进行非法牟利
1.1.4 黑产团伙的发展趋势
-
规模化
- 借助脚本、软件来实现攻击的批量化
- 上游各类资源丰富,大大降低攻击成本,同时攻击成功率也比较高
-
组织化
- 多数以工作室的形式运作
- 团伙内多人分工明确,合作十分紧密
- 某些黑产甚至成立了公司
-
平台化
- 很多平台级的爬虫、群控、钓鱼、木马、网络攻击、DDoS攻击工具等,攻击成本大大降低,并且难以追查
- 各类平台将黑产手中零散的资源进行整合
1.2 常见的黑产技术分析
举例一个银行开户业务的业务逻辑漏洞
- 首先实名认证
- 接着绑定银行卡
- 最后审核开户
这里里面再第一步的业务逻辑出现了问题,改业务把你一步的校验放到了客户端进行处理,黑产就会通过抓包改包的方法让实名认证通过,接着就可以绑定一张黑产买来的银行卡进行审核,最后开户成功造成很大的损失
1.2.1 人脸识别对抗
人脸识别对抗目前支持这个功能的公司都能对付绝大多数黑产,但在之前技术还不完善的时候,可以通过一些动画网站3D建模进行破解
1.2.2 地理位置对抗
可以分析用户的定位数据是否复合正常的数据进行分析,然后筛选出不正常的用户进行处理
正常的用户定位分布
不正常的用户定位分布
1.3 安全防护体系建设
事前
几乎很难在事前发现黑产动向
-
情报监控
- 暗网
- 贴吧
- TG
- 破解论坛
-
SDLC
-
漏洞扫描
事中
在事中发现可以将损失降到最低
-
渗透测试
-
威胁感知
- 用户行为异常
- 接口数据异常
- 恶意流量检测
-
风控/安全策略
事后
损失已经发生可以为杜绝下一次发生
- 威胁建模
- 攻击追溯