11月30日在上海举办的「互联网黑灰产攻防技术沙龙」圆满落幕,活动中多位行业安全专家从不同视角分享了攻防实战案例及治理成果,引发了参会嘉宾的热烈反响和讨论,如下是演讲干货内容分享:
活动中,翼支付黑产实验室负责人任睿智带来了“黑灰产情报应用与打击实践”的议题分享。针对黑产情报的实际应用,任睿智从电信诈骗的主要类型、诈骗流程引入,重点介绍了如何应用情报进行反赌反诈处置、羊毛套利预警、洗钱线索挖掘等。
任睿智基于自身丰富的黑产打击实践经验,进一步介绍了翼支付的黑灰产打击实践及防控成果,包括消费券诈骗、通过话费充值给赌博平台洗钱等典型案件。
▲翼支付黑产实验室负责人任睿智
爱奇艺风控负责人冯盼盼分享了“会员薅羊毛风险治理”,从低价会员、恶意租号、会员聚合平台等会员业务风险态势出发,分析了黑产主要作弊手法,深入浅出地介绍了针对业务痛点的风控方案及显著成果。
针对低价治理,爱奇艺利用情报全面梳理羊毛黑产作案路径,构建纵深防御;针对分享治理,提出有效区分黑产和违反VIP协议的分享,进行精细化处置。
▲爱奇艺风控负责人冯盼盼
小红书社区风控负责人费栋以“小红书刷量黑产治理实践”为主题,基于对业务风控的丰富理解,带领大家走进黑灰产平台刷量场景。
从甲方风控的视角,分享了平台风控所面临的挑战(包括刷量识别、治理、评估等),全面细致介绍了小红书针对黑产刷量的的治理实践,包括风控对抗引擎化、风控对抗流程化、针对刷量对抗不同阶段的治理思路和成果。
▲小红书社区风控负责人费栋
威胁猎人CSO邓欣围绕“2023年黑灰产攻防最新趋势”,分享了黑灰产攻击资源、黑灰产技术对抗以及典型的黑灰产风险场景。
▲威胁猎人CSO邓欣
一、黑灰产攻击资源
威胁猎人CSO邓欣介绍到,目前黑灰产已经形成了成熟的产业链,下游攻击离不开上游供给的资源,攻防需要关注到上游资源,从而建立一个完整的攻防视角。邓欣针对黑产攻击资源提到以下几点:
1.2023年黑灰产攻击资源比较稳定充足
以最为基础的黑灰产攻击资源“手机号和IP”为例,据威胁猎人2023年第一季度到第三季度的数据显示,每个季度国内的活跃黑手机号在250万以上,第二季度超过了300万;每个季度活跃的黑IP在4000-5000万之间,基本没有出现什么波动。
可见,2023年黑灰产攻击资源供给是较为稳定、充足的。
2.2023年第三季度活跃的192号段黑手机号将近50万
在2023年,我们捕获192号段的猫池卡呈现出一个明显上升的趋势。尤其是第三季度,有4个比较大的渠道持续供给192号段黑手机号,整个第三季度活跃的192号段黑手机号近50万。
黑手机号一旦泛滥,会对企业经营造成巨大的经济损失。以营销欺诈为例,国内某企业在今年举行的线上营销活动,被黑产发现比较容易获利,于是遭到了黑产的大规模攻击。
黑产首先利用黑手机号批量注册该企业的虚假账号,然后用这些虚假账号参加新用户的营销活动,每个参加的账号都可以获得一张代金券,并使用代金券参加该企业的抽奖活动,从而实现快速变现,最终导致该企业营销损失超百万。
3.2023年代理木马更加泛滥
针对黑IP资源,邓欣提到黑产用来作恶的黑IP有一个特点,就是黑产所持有的黑IP池子,其实是正常用户使用的IP池的子集,也就是说我们不能直接对黑IP进行封禁,因为很可能也有正常用户在使用这个IP。
造成IP好坏共用有几种情况:
1、家庭宽带的拨号IP:当黑产拨号切换IP的时候,他之前使用的IP有可能会分配到正常用户那里;
2、移动基站IP:同一个基站下可能同时存在黑产和正常用户;
3、正常用户的电脑被黑产植入木马后,在正常用户的电脑上开启代理,给黑产供给IP资源。这也是我们今年重点关注的。代理木马其实几年前就有了,不过今年更加泛滥。
二、黑灰产攻击技术
针对黑产技术对抗,邓欣主要围绕设备风险监测对抗、黑产工具软件“云化&服务化”、AI技术遭黑产恶意利用等内容展开介绍。
1.设备风险检测对抗:部分黑产不再采用劫持目标应用,而是通过劫持系统服务绕过风控
随着黑产技术的不断升级,我们在风险设备检测上遇到了较大的挑战。以前黑产进行改机、改定位等操作,主要是通过劫持目标应用,在目标应用中插入恶意代码进行篡改。由于对抗还是在目标应用当中,所以攻防是对等的。
然而现在具备一定技术实力的黑产,不再采用直接劫持目标应用的方式,而是通过劫持系统服务,或者从底层修改系统源代码来实现,导致被攻击的目标很难进行感知和对抗。
近几年威胁猎人捕获到一些广泛被使用的黑产软件和设备,就符合这样的特点:
1、2023年上半年,威胁猎人捕获到一款定制ROM手机——比特指纹手机,通过篡改系统源代码的方式实现改机;
2、目前最受黑产欢迎的改定位软件FakeLocation,通过劫持系统的位置服务来实现修改定位信息;
3、定制ROM的手机——Moto G5S Plus虚拟相机,通过篡改系统源码替换视频流,让摄像头播放指定的视频从而进行人脸绕过;
2.黑产工具软件“云化&服务化”:更多工具作者将工具部署在黑产租用的服务器上,提供攻击服务
黑产工具作者开发的各种自动化的攻击工具软件,极大提高了黑产的攻击效率。通过对这些工具软件进行监测,可以对其进行有效的对抗。
随着云服务的发展,以及黑产有意识地对攻击代码进行保护,导致越来越多的工具作者不再直接出售工具,而是将工具部署在黑产租用的服务器上,对外提供攻击服务。这种情况下,我们很难获取到工具样本,导致在对抗上处于不“知彼”的被动当中。
这时候我们可以从另外一个维度来思考:由于多个攻击者提交的攻击任务,最终都是在黑产租用的服务器上发起攻击,为了不出现IP聚集,必然会使用大量的黑IP来绕过风控,这时候通过黑IP对攻击进行检测就成为了一个非常有效的方式。
3.AI技术遭黑产恶意利用:黑产利用第三方AI机器人绕过社交软件内容风控
大语言模型给聊天机器人带来了极大的提升,目前国内有不少公司对外提供聊天机器人的接口。而在社交平台上,活跃着这样一类黑产,通过跟其他用户聊天,把这些用户引到黑产指定的圈套当中,比如网络色情、赌博或诈骗,我们称其为引流黑产。
这些黑产会开发自动化的引流工具,自动跟他人聊天。以前这些工具只能设置一些固定的聊天话术,引流效果有限。而现在这些引流工具接入了第三方的聊天机器人,直接借助别人训练好的大语言模型来制造更加逼真的对话,从而提升黑产的引流效果并绕过社交软件的内容风控。
AI技术遭滥用的另一个典型,是黑产利用第三方AI软件绕过人脸识别。其中最核心的一点,就是要伪造出真实的视频动作,包括眨眼、点头、摇头等。
据我们了解,目前攻击者通过两种方式可以达到这样的效果:一种是照片活化技术,攻击者利用Crazytalk这样的软件,通过一张2D照片,自动生成各式动作的视频;另一种是人脸替换技术,攻击者利用Deepface这样的软件,将视频中的人脸进行自动替换。
人脸替换技术除了被攻击者用于人脸识别绕过之外,也被用于网络色情和网络诈骗当中,造成了严重的不良社会影响。
三、黑灰产风险场景
针对黑灰产风险场景,邓欣切入“账号交易、洗钱、数据泄露”三大典型的攻防场景,展开深入分析。
1.账号交易场景
账号是黑产作恶的基本单位,也是业务风控的基础要素,因此账号交易是值得关注的重点场景。从威胁猎人监测的数据来看,2023年与账号交易相关的黑产店铺数量,第一季度在2000家以上,第二季度下降到低于1000家,第三季度又回升到了1000家以上。
黑产交易的主要平台是发卡平台,一方面这些平台本身并不稳定,存在被打击或跑路的情况,另一方面这些平台也会迫于压力封禁一些明显违规的店铺,因此出现了店铺数量不稳定的情况。
黑产账号交易监测中有一个关键数据——账号的售卖价格,价格的变化能客观的反映出当前攻防的实际效果。如果攻防策略有效,提高了黑产的攻击成本,账号价格也会随着升高,反之则会降低。
为了对抗养号买卖、以及盗号等恶意行为,很多企业的账号风控,在登录时都会有非常用设备的检测,一旦触发就需要做二次验证。而黑产为了绕过非常用设备的检测,在账号交易时不再只是提供账号和密码,而是采用了多种售卖账号的方式。
我们也列举了2023年我们监测到的黑产有在使用的一些卖号方式:
2.洗钱场景
针对洗钱场景,利用贷款平台进行洗钱成为黑产洗钱新套路。由于对公账户本身就具有收款额度大、转账次数多等特点,完美契合黑产洗钱需求,在2023年我们捕获到的涉及洗钱的对公账号数量呈现出明显上升的趋势。
3.数据泄露场景
数据泄漏是全行业重点关注的风险场景之一,各行各业对于数据安全的重视程度越来越高。
从威胁猎人监测到的数据泄漏事件来看,金融和物流仍然是数据泄漏事件最为严重的两个行业,而金融取代物流成为数据泄露最严重的行业。此外,航旅行业也呈现出非常明显的上升趋势。
四、我们该如何应对
黑灰产日渐猖獗,让互联网、金融、电商等各行业企业深受其害。邓欣对2023年第三季度黑灰产攻防趋势进行整体分析的同时,也提出了一些应对思路:
1.对黑灰产业链全链路进行监测与分析
黑灰产经过多年的发展,已经形成了非常成熟的产业链。无论下游攻击行为如何变化,风控对抗的形式如何变化,都离不开上游供给的资源和中游提供的服务。
因此对企业而言,除了对实际发起攻击的下游进行监测外,也要对上游和中游进行全面布控,才能在第一时间对攻击进行感知,尤其是一些新型攻击或对抗方式。
2.基于情报建立更可信的安全基线
此外,企业还可以基于情报数据建立更可信的安全基线。
举一个真实的攻击案例:某企业怀疑他们的某个业务接口遭到了攻击,但是从该API接口的请求量走势来看,跟业务整体的请求量走势是一致的,看不出任何异常。但是当我们把该API接口命中“黑IP”的请求提取出来之后,发现其走势跟前两者完全不一致。
尤其出现了整体请求量在“波谷”,命中黑IP的请求量却在“波峰”的情况,明显出现了异常后续也进一步明确了确实存在攻击事件。因此,企业完全可以基于业务请求命中黑IP的数量/浓度来建立安全基线,对攻击进行快速有效感知。
此外,对于有经验的攻击者,如果采用低频、慢速、长期的方式进行攻击,可能不会出现命中黑IP的数量或浓度异常的情况。
这时企业可以基于情报对流量进行分组,比如“命中黑IP”的定义为高风险流量,未命中的定义低风险流量。如果业务遭到黑产攻击,对比高风险流量和低风险流量,两者之间往往会在UA等维度上会存在非常明显的分布差异。
以UA为例,攻击者可以任意伪造UA,但无论怎么伪造,也很难伪造出跟大盘一致的UA分布。
除了UA之外,请求序列也是一个比较好的对比维度,尤其是对于一些自动化的协议攻击脚本,往往只会集中请求几个主要攻击的业务接口,这样跟正常用户的请求会形成比较大的差异,从而通过这些明显的异常特征确认黑产攻击。
最终,基于情报建立更可信的安全基线,从容应对不同场景的黑产攻击风险。
2023年1月5日,永安在线进行品牌焕新,正式更名为“威胁猎人”(详见:)。
热门跟贴