这是我参与「第五届青训营」伴学笔记创作活动的第11天
黑灰产监控与防御
国内黑产介绍
-
一些常见的黑产
- 诈骗 木马
- 薅羊毛 钓鱼
- 黄牛 病毒
- 博彩 拖库
- 引流 盗号
- 跑分 勒索软件
-
黑色产业链结构(部分)
-
黑产团伙的发展趋势
-
规模化
- 借助脚本、软件来实现攻击的批量化
- 上游各类资源丰富,大大降低攻击成本,同时攻击成功率也比较高
-
组织化
- 多数以工作室的形式运行
- 团伙内多人分工明确,合作紧密
- 某些黑产甚至成立了公司
-
平台化
- 近年来出现了很多平台级的爬虫、群控、钓鱼、木马、网络攻击、DDos攻击工具,攻击成本大大降低,且难以追查
- 各类平台将黑产手中零散的资源进行整合
-
常见的黑产技术分析
-
2018年某银行业务逻辑漏洞
开户流程
- 实名认证
- 绑定银行卡
- 审核开户
实名认证后会返回通过或不通过,不通过无法进行下一步,但银行的判断放在了移动端进行,黑产通过修改数据包,绕过限制,进入下一步
很多银行并不会自己去开发系统,把部分的功能委托给第三方,开卡一整套功能当年几十家银行都是找的同一家公司,公司开发时有这个缺陷导致当时很多银行受影响
-
人脸识别对抗
-
地理位置对抗
-
正常用户的定位分布
定位分散,去得多的地方定位点比较集中,剩下地区比较分散
-
不正常用户的定位分布
呈一定形状,且在海上也有定位
使用作弊工具模拟出来的
-
工具实际用处
- 定位打卡
- 摇一摇附近的人
- 出租车抢单
- 某些线下使用的优惠
- ······
-
安全防护体系的建设
-
事前
-
情报监控
- 暗网
- 贴吧
- TG
- 破解论坛
-
SDLC
-
漏洞扫描
-
-
事中
-
渗透测试
-
威胁感知
- 用户行为异常
- 接口数据异常
- 恶意流量检测
-
风控/安全策略
-
-
事后
-
威胁建模
-
攻击溯源
-
技术
- 验证码
- 安全SDK
- 代理检测
- 人脸识别
- 黑产名单
- WAF
- IDS
- DLP
- 终端安全防护
- 行为审计
- ····
-
