这是我参与「第五届青训营 」笔记创作活动的第7天。
一、本堂课重点内容:
学习国内黑灰产的情况,分析几种比较经典的黑产作弊手段进行详细分析,提高安全意识,在日后的工作和生活中,多一些安全角度的思考。
二、详细知识点介绍:
(1)国内黑产介绍
规模化:借助脚本、软件来实现攻击的批量化;上游各资源丰富,大大降低攻击成本,同时攻击成功率也比较高。 组织化:多数以工作室的形式运作;团伙内多人分工明确,合作紧密;某些黑产甚至成立了公司。 平台化:今年来出现了很多平台级的爬虫、群控、钓鱼、木马、网络攻击、DDoS攻击工具,攻击成本大大降低,且难以追查;各类平台将黑产受众零散的资源进行整合。
(2)常见的黑产技术分析
手机卡: 作为互联网注册的入口,现在绝大多数互联网厂商均要求用户使用手机注册。这些手机号的来源包括大批量从运营商手中购买的非实名物联网卡(早期),还有通过运营商申请的虚拟号码。最近已经发展出了给老人机内置木马的手段,将无辜的老人实名申请的手机卡变成他们手中作恶的工具。
代理IP:为攻击者提供伪装的IP地址,用来绕过互联网厂商的IP限制策略。这些IP基本都来自于家庭宽带,很多家庭的路由器被入侵后,会成为这个资源。
设备信息:做黑产总会被很多互联网企业识别到,并被把他们使用的手机设备加入黑名单。但通过“改机软件”“刷机助手”等工具,黑产从业者将手机进行洗白,变成一部新的,没有任何问题的手机设备。
(3)安全防护体系的建设
在网络安全边界部署下一代防火墙(带有入侵防御、防病毒模块)全面应对应用层威胁,通过深入洞察网络流量中的用户、应用和内容,NGFW能够为用户提供有效的应用层一体化安全防护。
邮件网关可高效拦截垃圾、病毒、钓鱼等非法邮件,对人员的发信行为进行分析,检测恶意链接的邮件,过滤包含威胁附件的邮件进行病毒查杀,可对海量历史邮件进行归档备份保存,进行归档审计,防止丢失邮件。
终端安全管理系统具备网络准入、文档加密,设备管控,文档打印管控等功能,全面地对内网进行详尽审计、严格管控数据安全,满足企业防数据泄露、员工行为管理和内网系统运维等全面信息安全管理需要。
三、课后个人总结:
黑产在利用各平台进行牟利的过程中,都会使用平台自身的一些接口去进行调用,有些接口甚至不需要进行拼接伪装,即可被黑产进行恶意攻击。从企业的角度来说,企业可以通过永安在线的黑产工具情报功能,及时发现藏在黑产工具中被恶意利用的接口,对其进行针对性的加固,拦截黑产恶意攻击。
