tom_vodu - 谈谈我眼中的黑*产威胁情报
17年在某个大厂开始从安全技术转型从事黑产威胁情报这方面研究,从事黑产威胁情报挖掘也已经有三年多了。也认识了很多同行,有甲方也有乙方,但是每一家都是在摸爬滚打中前进,各有各的优势与看法。最近几天跟很多朋友聊,各家都想建立威胁情报,又都没经验,刚好我也就整理下思路,聊聊我眼中的黑产威胁情报。
最主要的还是中国黑产实在是太强,而且近几年又朝着职业化、产业化、服务化、智能化与国际化的方向进行升级转型。当南京那个航班延误险骗赔300万的案件出来的时候,一下就理解保险公司的无奈。
我们也是被按在地上摩擦了三年了,当中的故事实在是太多。有机会写本小说。命题太大,就随便选择几个点简单聊聊。
前言
黑产威胁情报就是针对黑产行为进行研究,所以首先得定义什么是是黑产行:我认为,以获利为目的,针对公司业务,给公司造成较大损害的行为,即使这个行为可能不违法,也可能符合活动规则等,都属于黑产行为,而从事这个行为的人或者为其提供帮助的人都是黑产人员。但是黑客中从事APT的群体是个例外,这类人群太特殊。除此之外的黑客们早已经成为产业中的一个模块,为广大黑产人员提供服务。黑产中技术与非技术的融合,也标志着安全圈的趋势也会是技术威胁情报应该与业务威胁情报的融合。
分析追踪及治理打击各种黑产攻击case三年了,很多国内的攻击行为给我的形象,就是一个刚刚学会说话的小孩,挥舞着 “+12真·天崩地裂般若奔雷大刀”,来跟各大厂商搏斗,前赴后继的。而安全人员就必须进化成“真·超级·霸王落日虾”,才能进行对抗。
这也是我们进行的第一个讨论,给我们带来威胁大的是这个刚刚学会说话的小孩,还是教会小孩使用“+12真·天崩地裂般若奔雷大刀”的师傅,亦或是制作出“+12真·天崩地裂般若奔雷大刀”的工具大师?这就是国内黑*产的一个现状,一群人准备好所有的工具,指导着这个小孩来操作,最后小孩来背锅,利润这群人拿大头。
借用一个大佬说的话,0day出现不可怕,但是满大街拿着0day玩这叫可怕。
举几个例子让大家了解下中国黑产多么强:
欺诈
有幸在反欺诈领域进行过一段时间研究。每次都会有人问,为什么欺诈资损拦不住,找不回,你们是不是能力不行。但是实际上追踪拦截欺诈资金其实真的很有难度,给大家讲几个数字就能理解,从受害者付钱的那一秒开始计算:
10分钟内
受害者的资金可能已经过了很多跳了,而且还是在好多家平台间来回跳。
一个小时内
受害者的资金可能就已经被经过多轮形式转换(类似余额到现金)进入欺诈者口袋了,关于最原始的那笔资金,可能他们自己都说不清去了哪里。
两三个小时之后
钱可能已经被欺诈者消费完了,而他们可能在山里、边境、海外。往往这时候受害者才意识到需要强力机关介入,这时候大家能做的事情真的已经不是很多了。
非法四方支付平台
近期大家很关注四方支付平台,其实四方支付平台也分合法与非法,合法的就是银行、 收钱吧这样的持牌机构,其他的基本非法。虽说聚合就是四方,但是四方不仅仅是聚合,其实区分四方的核心在于清算行为是否被人行允许并授权,所以表现形式也就多种多样。
非法四方平台的诞生就是为了菠菜。可以这么说,线上菠菜业之所以这么发达,很大程度就是因为有了非法四方支付平台。其他的云计算、大数据、互联网技术什么的顶多算是辅助。有些方式的四方平台技术门槛并不高或是被开源贩卖了,也就出现了大大小小遍地开花,人人都能开四方的情况,所以也开始用在色情、欺诈领域。
但是不要觉得四方支付简单,其实大的四方技术能力甚至比一些中小型的银行还要强。四方平台这个产业很有意思,规模巨大,链接着大量的黑产上游产业,也再为大量的下游提供服务,放开讲又得几十页。今年很特别,注定是各方洗牌的一年。
当然故事还有很多,像某东南亚团伙租用了两三千台服务器用于搭建菠菜平台,或者某个case东南亚某个开发小组组长(管理七八个人)月薪近20W,或者全国范围大型银行的网银(使用U盾、口令卡等)自动操作系统很早就已经被黑产完开发完成,或者一些四方平台一天结算上百万笔而错误率在十万分之一以内,或者深山老林里一个个退款欺诈的窝点,或者水房动辄就使用上千张YHK而且高频更换,或者一个团队每天能生产数以万计的社交聊天账户然后贩卖出去,或者有团队几个小时引流上百万粉丝刷上热搜,等等等。太多了就不一一道来了。
总之表达一个观点:中国的黑产实在是很复杂,很强大。
所以每当有人跟你说他对黑产行业非常了解,招收了他或者买了他的服务可以立刻清晰认识黑产,甚至消除黑产风险,只能说他还很年轻。
什么是黑*产威胁情报
黑产威胁情报,核心还是情报两个字,回归到情报两个字上,这个概念就会简单很多。Wiki上的解释,情报就是信息,然后这个名词就变成了 黑产威胁信息,这就很方便大家理解了,就是围绕着黑产威胁的信息。
但是信息也是有区分的,准确的、不准确的,片面的、全面的。好的黑产威胁情报,就是获取准确、及时、全面可靠的黑产威胁信息,这些信息的归纳起来就是大家一直在说的6个W,when、where 、who、what、why、how。前面五个词其实非常简单直接,谁,在什么时间、什么地点、去做什么事情以及为什么要去这么做。以及第六个词,how,如何做。我理解how其实是有两层意思的,第一层是黑产人员如何去做的,这个理解起来很简单,重要的是第二层意思,你怎么做去实现威胁情报的最大价值,就复杂了。
价值是做黑*产威胁情报的指导方针。每次跟同行聊天,大家也都是被这个问题所困扰,如何去衡量威胁情报的价值,如何将价值最大化,会是每一个人威胁情报团队的研究重点。其实也有一个非常简单的解决方案,就是业务,围绕着业务来进行。
为什么需要威胁情报
解释了什么是以及提出价值的探讨,那么就不得不说为什么需要。
最近跟很多人,包括甲方或者乙方,大家都异口同声的说黑*产威胁情报是需要的,但是至于为什么需要,大家都没有一个明确的答案,这里就讲讲我对这个问题的看法。
目前的安全领域,更多的是风控领域,处于守住阵地的阶段,通过不断优化自身的策略、模型以及安全数据监控能力。防守,说直白点就是等着被打。这样的安全风控能力建设是存在瓶颈的,造成瓶颈的核心就在于“自身”两个词的限制,瓶颈有以下几点:
不能无限制提升现有策略模型能力
安全风控所能处置、分析所利用的数据是风控端采集到的数据,由于网络安全立法越来越完善、公民隐私越来越重视、各大端厂商越来越关注隐私保护,端上不仅不能无限制采集数据更多的是采集不到数据,并且很多数据依靠产品自身能力无法触及,这就出现了数据获取瓶颈,从而也直接导致安全风控的瓶颈。
安全风控的识别能力不能无限制的提升甚至还需要做到不倒退,这就是安全风控遇到的第一个瓶颈。
内部发现的黒样本与白样本不一定准确
风控识别到的数据往往是经过黑产人员精细伪装、修改过的,本身就是用来对抗风控能力的,通过这样的数据去构建策略、训练模型,会直接导致识别的结果准确率的下降。
应对变化的能力弱
依托自身数据的防守方,不会或者很难知道对方下一次攻击是何时出拳抑或是挥棒攻击哪个业务。处于类似消防员的位置,只有被动等待起火,然后再去扑救,非常被动。
为了突破,安全风控必须不断补充黑产产业链中现有体系外的数据、情报,做到走出去,从而突破安全风控瓶颈提升安全风控能力。获取准确、有效的外部数据从而获得能力提升,会遇到三个问题,什么样数据可以用于提升能力,如何获取这种数据,这种数据该如何利用才能发挥最大价值与意义。为了解决这三个问题,就得依靠全面的黑产威胁“信息”,也就是黑*产威胁情报。
产出与作用
黑产威胁情报的重点就是对围绕公司业务的黑产行业及群体进行监控,去摸清相关黑产产业结构及组成,逐渐去完善相关黑产产业大图及产业链结构,并且分析产业链及结构特点,了解黑*产产业变化,帮助风控及安全团队更清晰的认识了解所面对的对手,然后从产业链中的关键节点进行挖掘,协助风控给予打击,治理该风险。
相关的研究产出有两种形式,数据形式的和非数据形式的。
数据形式
就是能够直接或者间接打标出黑*产行为的数据,类似黑产使用的IP地址、手机号码等,这类威胁情报的价值比较方便进行评估衡量,风控利用这些黑数据命中了多少次、识别了攻击行为、挽回了多少资损,甚至是利用黑数据训练的模型,帮助原有风控策略拦截提升了多少个百分比。
非数据形式
多是风险预警、黑产线索、黑产攻击手法描述、行业研究报告等形式出现,非数据形式的产出是黑产威胁情报的核心产物,蕴含的价值是最大的,同时也是最难发挥出最大价值的。
威胁情报的目的就是帮助安全团队在黑产中插入一双双眼睛和手,时时刻刻了解黑产当前发生的事情,认清敌人。随着了解的深入,也会发现一些全新的领域,例如,解答老板心中的疑惑,我们的安全到底好不好,我们和其他厂商比谁好一些,为什么。靠安全自己制定的指标?不客观。大家的感知?不准确。对方成员的答疑解惑?做不到。
这时大家都做不到的时候你就可以站出来了,因为你有黑产情报渠道这一杆秤,一个外部客观的评价。
威胁情报建设的一点引子
建设思路我们以案例的形式来简单聊下,以常规的垃圾注册黑*产攻击行为进行举例。
互联网垃圾注册是各大平台都会遇到的问题,这种行为会是很多风险的门槛与源头,甚至是风险的放大器,一只白蚁不构成多大威胁的,十万只一百万只就可以连房屋都可以一起吃掉。所以大家都需要对这类风险进行详细分析,还原垃圾注册链条中涉及的每一个环节:
- 一台设备,包括手机、电脑
- 上网的环境,对应的就是ip地址
- 打开APP操作进行注册。对应操作行为,贯穿注册行为始终
- 注册使用的手机号及后续需要的短信验证码
- 注册使用需要的邮箱账户,用来接收邮箱验证码
- 填写基础信息
- 输入图片验证码
这就是常规垃圾注册的基本步骤环节了,为了更好的了解该风险,需要对每一个环节中黑*产人员使用的工具及手法进行了解分析。
设备环节
由于目前各大平台均会对设备安全性进行判断,所以在这个环节与黑*产的对抗也是白热化的(以后展开慢慢讲),现有好用的方案是:IOS&Android自动化改机软件、Android模拟器、Android云手机、IOS云手机,都已经是一条高度成熟的产业。
IP地址环节
操作环节
Android&IOS群控,或者就雇佣一群人手动操作。(有故事,海外手动接码,真的雇佣一屋子人操作)
手机号及短信验证码环节
邮箱及验证码环节
填写基本信息环节
由于平台不一致,通用性较低,可以通过群控完成,也可以通过注册机程序完成。开发产业高度成熟,(E语言、互战网等等)
图片验证码环节
交流环节
高度成熟,各种薅羊毛群、论坛、贴吧、二手交易平台、聊天软件等(可以展开,黑产传播,传播声量指数级)
通过分析就发现了两个完全绕不开的,多风险通用的,具有集中性的主要环节,手机验证码、IP地址。深入了解这两个节点,就可以对整个行业开始有了初步的感知。
当继续对数据进行分析后,你会发现数据还有更多的价值。以黑产使用的手机验证码为例,利用黑产手机号注册不同平台APP收费不同、使用量级和频率不同,这几个数据就可以完整的说明当前黑产人员当前的热点。哪家收费贵,使用量级高,证明哪一家互联网厂商现在备受黑产关注,而这往往都不是什么好事。你需要做的,就是默默的跟着他们,看看他们到底在做什么,怎么做。
这就获取到了多种黑产威胁情报。随着越来越深入,你会发现越来越多能玩的,玩的越来越有意思。