【51CTO.com原創(chuàng)稿件】6月9日，小編在中關(guān)村創(chuàng)業(yè)大街有幸參加了由威脅獵人、金山云和IPIP聯(lián)合主辦的首屆網(wǎng)絡(luò)黑產(chǎn)攻防沙龍，學(xué)習(xí)了不少有關(guān)業(yè)務(wù)安全攻防對(duì)抗，黑產(chǎn)攻防等方面的知識(shí)。本著好東西不能獨(dú)享的原則，趕緊跟大家分享一下。

 “當(dāng)前整個(gè)安全行業(yè)缺乏互通性，攻防雙方信息嚴(yán)重不對(duì)稱(chēng)。作為防守方，都在自己的角度去做防護(hù)，缺乏交流。所以我們希望提供這樣的一個(gè)機(jī)會(huì)，與大家共同探討黑產(chǎn)攻防問(wèn)題，這也是我們舉辦這次沙龍的初衷。”威脅獵人CEO畢裕在沙龍致辭中說(shuō)到。

網(wǎng)絡(luò)黑產(chǎn)規(guī)模呈現(xiàn)幾何式增長(zhǎng)

談起黑產(chǎn)，可能很多人覺(jué)得陌生而神秘，其實(shí)黑產(chǎn)就發(fā)生在我們身邊，比如常見(jiàn)的薅羊毛和盜取隱私個(gè)人數(shù)據(jù)。所謂黑產(chǎn)，泛指利用互聯(lián)網(wǎng)技術(shù)不正當(dāng)謀取錢(qián)財(cái)?shù)漠a(chǎn)業(yè)鏈，簡(jiǎn)單來(lái)說(shuō)就是利用病毒木馬來(lái)獲得利益的一個(gè)行業(yè)。在大數(shù)據(jù)領(lǐng)域和互聯(lián)網(wǎng)金融領(lǐng)域，黑產(chǎn)最為猖獗。

隨著互聯(lián)網(wǎng)的發(fā)展以及網(wǎng)民規(guī)模的擴(kuò)大，網(wǎng)絡(luò)黑產(chǎn)帶來(lái)的收益也是日趨巨大，驅(qū)使不法黑客們從單純的炫技轉(zhuǎn)向?qū)娴木鹑。⑹咕W(wǎng)絡(luò)黑產(chǎn)的規(guī)模呈現(xiàn)幾何式增長(zhǎng)。由于網(wǎng)絡(luò)黑產(chǎn)的低成本、高技術(shù)、高回報(bào)的特點(diǎn)，使其逐漸從半公開(kāi)的純攻擊模式轉(zhuǎn)化成為斂財(cái)工具和商業(yè)競(jìng)爭(zhēng)手段。

現(xiàn)在，黑產(chǎn)已經(jīng)形成分工明確，組織化運(yùn)作的產(chǎn)業(yè)鏈條：從尋找攻擊目標(biāo)，制作攻擊工具，到實(shí)施網(wǎng)絡(luò)攻擊，將收集來(lái)的數(shù)據(jù)加工清晰打包成產(chǎn)品出售，最后購(gòu)買(mǎi)者雇傭人撥打詐騙電話(huà)。據(jù)不完全統(tǒng)計(jì)，2017年我國(guó)黑產(chǎn)的從業(yè)人員在百萬(wàn)級(jí)以上，每年造成的損失達(dá)千億元級(jí)規(guī)模。

談業(yè)務(wù)安全，評(píng)估是重中之重

會(huì)上，美團(tuán)點(diǎn)評(píng)技術(shù)總監(jiān)刁士涵分享了做業(yè)務(wù)安全的思路和方法。他表示，業(yè)務(wù)安全的問(wèn)題五花八門(mén)，比如：刷單刷好評(píng)、優(yōu)惠作弊、虛假注冊(cè)、盜號(hào)、惡意投訴、客戶(hù)騙賠、信用卡套現(xiàn)等。業(yè)務(wù)安全是一個(gè)非常系統(tǒng)的工程，業(yè)務(wù)安全的重中之重是評(píng)估，沒(méi)有評(píng)估，業(yè)務(wù)安全無(wú)從下手。評(píng)估可定性風(fēng)險(xiǎn)在哪里，來(lái)源是什么；評(píng)估可以定量，該如何防護(hù)，優(yōu)先級(jí)是什么，防控效果如何；評(píng)估可以幫助企業(yè)發(fā)現(xiàn)問(wèn)題，漏過(guò)的都是我們發(fā)現(xiàn)不了的。

那么怎樣做評(píng)估？要評(píng)估什么呢？對(duì)此，刁士涵認(rèn)為，業(yè)務(wù)安全的評(píng)估內(nèi)容包含優(yōu)惠作弊的漏過(guò)濾，刷單的召回率，虛假注冊(cè)的識(shí)別率等。一個(gè)好的評(píng)估指標(biāo)需要具備相關(guān)性、獨(dú)立性、及時(shí)性和延續(xù)性。

另外，他指出，企業(yè)的產(chǎn)品和運(yùn)營(yíng)會(huì)產(chǎn)生一定的風(fēng)險(xiǎn)，原因在于：業(yè)務(wù)相關(guān)同事不了解風(fēng)險(xiǎn)或者風(fēng)險(xiǎn)意識(shí)不夠，對(duì)黑產(chǎn)的專(zhuān)業(yè)性、分工程度、產(chǎn)業(yè)鏈成熟度、能夠調(diào)動(dòng)的資源等，認(rèn)識(shí)不充分；也因?yàn)槿藛T流動(dòng)性的原因，較難貫徹風(fēng)險(xiǎn)防范意識(shí)；研發(fā)運(yùn)營(yíng)環(huán)節(jié)太多，經(jīng)常遺漏；著急上線(xiàn)，認(rèn)為風(fēng)險(xiǎn)可以承受。

怎樣才能提高運(yùn)營(yíng)人員的風(fēng)險(xiǎn)意識(shí)？刁士涵建議，做風(fēng)控意識(shí)培訓(xùn)和案例宣講，并對(duì)風(fēng)險(xiǎn)點(diǎn)進(jìn)行總結(jié)，做到舉一反三，一旦出現(xiàn)風(fēng)險(xiǎn)，風(fēng)險(xiǎn)責(zé)任落實(shí)到人。

黑產(chǎn)在移動(dòng)設(shè)備成本上的對(duì)抗：模擬器、手機(jī)+改機(jī)工具、群控

隨著移動(dòng)互聯(lián)網(wǎng)的爆發(fā)，PC端業(yè)務(wù)的下降，黑產(chǎn)也與時(shí)俱進(jìn)，在移動(dòng)端作惡的比例越來(lái)越高。我們?cè)撊绾螌?duì)抗？對(duì)此，威脅獵人的高級(jí)情報(bào)專(zhuān)家梁倍毓介紹了初級(jí)、中級(jí)、高級(jí)三種對(duì)抗方式，即：模擬器、手機(jī)+改機(jī)工具、群控。

模擬器：初級(jí)對(duì)抗中，黑產(chǎn)主要使用手機(jī)模擬器來(lái)完成設(shè)備的復(fù)用。常見(jiàn)于各類(lèi)薅羊毛活動(dòng)，采用多開(kāi)方式手動(dòng)操作，或是結(jié)合模擬點(diǎn)擊腳本，進(jìn)行攻擊行為，一些模擬器也具有修改設(shè)備信息的功能。

手機(jī)+改機(jī)工具：改機(jī)工具通過(guò)劫持系統(tǒng)函數(shù)，偽造模擬指定手機(jī)（模擬器）的設(shè)備信息的APP，能夠欺騙廠商在設(shè)備維度的檢測(cè)，或是提供虛假數(shù)據(jù)以達(dá)到特定的盈利目的。改機(jī)工具會(huì)從系統(tǒng)層面劫持獲取設(shè)備基本信息的接口，APP只能得到偽造的假數(shù)據(jù)。Andriod和iOS都有很多相應(yīng)的改機(jī)工具，Andriod改機(jī)大部分都基于Xposed框架，需要Root，iOS大多基于Cydia框架，需要越獄。

群控：面對(duì)利益的黑灰產(chǎn)不會(huì)因?yàn)橐粋€(gè)維度的檢測(cè)而輕易放棄，所以使用群控類(lèi)的高級(jí)對(duì)抗也隨之產(chǎn)生，并被批量應(yīng)用于場(chǎng)景中。當(dāng)前的主流配置是云控+改機(jī)工具（比如NZT）+iPhone（通常iOS9），滿(mǎn)足設(shè)備復(fù)用（成本降低）、自動(dòng)化操作、批量化操作的要求。因?yàn)閕OS的封閉性導(dǎo)致廠商APP難以獲取足夠的設(shè)備信息。

梁倍毓強(qiáng)調(diào)，單純只在設(shè)備指紋層面上做對(duì)抗是不夠的，還需要結(jié)合其他維度，比如注冊(cè)手機(jī)號(hào)是否是黑產(chǎn)貓池號(hào)碼，建立人機(jī)識(shí)別模型等。

面對(duì)云時(shí)代的僵尸網(wǎng)絡(luò)，云服務(wù)商可以做什么？

隨著人工智能、云計(jì)算、大數(shù)據(jù)等技術(shù)的發(fā)展,黑產(chǎn)也正在走進(jìn)人工智能和云計(jì)算時(shí)代。金山云安全技術(shù)總監(jiān)李鳴雷從一個(gè)僵尸網(wǎng)絡(luò)的故事說(shuō)起，與大家分享了云時(shí)代僵尸網(wǎng)絡(luò)的特點(diǎn)分析及對(duì)抗思考。

李鳴雷表示，云時(shí)代的僵尸網(wǎng)絡(luò)有五大特點(diǎn)：

第一個(gè)特點(diǎn)，云的資源獲取容易，僵尸網(wǎng)絡(luò)可以按需開(kāi)通，按時(shí)付費(fèi)。

第二個(gè)特點(diǎn)，資源的銷(xiāo)毀會(huì)導(dǎo)致取證困難。傳統(tǒng)的IPC，物理機(jī)是不能銷(xiāo)毀的，但在云服務(wù)里用戶(hù)可以徹底撤銷(xiāo)云主機(jī)。另外，事后取證、溯源和傳統(tǒng)的方式不同，也增強(qiáng)了查殺和防御的難度。

第三個(gè)特點(diǎn)，云服務(wù)商信任度較高。云服務(wù)商的域名通常被防火墻或者各種安全策略標(biāo)記為可信任。如果把惡意軟件，或者是控制端放在云上的話(huà)，很有可能被對(duì)方的防火墻給放掉。這也是云服務(wù)商面臨的一個(gè)新的問(wèn)題。

第四個(gè)特點(diǎn)，云主機(jī)缺乏可靠的登錄機(jī)制和安全防護(hù)，導(dǎo)致黑客容易獲取到資源。

第五個(gè)特點(diǎn)，云服務(wù)自身運(yùn)營(yíng)活動(dòng)缺陷被薅羊毛。云資源的獲取可以通過(guò)漏洞的方式來(lái)非法獲取，還有一種是云服務(wù)自身的運(yùn)營(yíng)活動(dòng)導(dǎo)致被薅羊毛。

在此背景下，云服務(wù)商可以做什么？如何抵御黑產(chǎn)？李鳴雷總結(jié)了兩種對(duì)策：一是被動(dòng)方式，首先是云主機(jī)的多重防御，如加強(qiáng)服務(wù)器安全、補(bǔ)丁、漏洞掃描等。其次是注冊(cè)嚴(yán)格實(shí)名制，如防止惡意注冊(cè)和薅羊毛，DNS檢測(cè)與全流量檢測(cè)發(fā)現(xiàn)潛在木馬通信。二是主動(dòng)的對(duì)策，如通過(guò)蜜罐部署，實(shí)現(xiàn)多區(qū)域，國(guó)內(nèi)跨省跨地區(qū)，甚至是國(guó)際上跨國(guó)來(lái)做到主動(dòng)性的防御和監(jiān)測(cè)。

來(lái)自一個(gè)IP老司機(jī)的七個(gè)忠告

現(xiàn)在，很多網(wǎng)絡(luò)服務(wù)所用的防作弊機(jī)制，在黑產(chǎn)分子的動(dòng)態(tài)IP變換技術(shù)面前已岌岌可危。

“地理位置是IP數(shù)據(jù)各個(gè)維度中應(yīng)用最廣泛的標(biāo)簽，但是很多時(shí)候只有地理位置是不夠的，這個(gè)IP后面是真實(shí)用戶(hù)還是服務(wù)器；是公司出口還是家庭使用；這個(gè)IP最近的行為如何，是不是有惡意行為當(dāng)過(guò)肉雞？要想解決這些問(wèn)題，必須要對(duì)IP畫(huà)像。維度越多越準(zhǔn)確，就越可以更好的幫助大家做業(yè)務(wù)上的分析與對(duì)策。”IPIP.NET創(chuàng)始人高春輝表示。

演講中，作為一個(gè)IP老司機(jī)，高春輝給出了七個(gè)忠告：

• 正確認(rèn)識(shí) IP 的庫(kù)的各種情況。比如：基于 IP 做地理位置識(shí)別的局限性（網(wǎng)絡(luò)位置、用戶(hù)位置）。另外，不要拿覆蓋率去評(píng)估一個(gè) IP 庫(kù)的準(zhǔn)確度！
• 首先要正確獲取 IP 地址（REMOTE_ADDR）。如果你們的日志有人用 8.8.8.8 在訪問(wèn)，100%是假冒的；如果地理位置錯(cuò)的太離譜，恐怕你的業(yè)務(wù)安全也不好做。
• 對(duì)于基站用途的 IP 不能從 IP 層面做判斷。并且，對(duì)于一些網(wǎng)絡(luò)出口、網(wǎng)關(guān)，策略應(yīng)該是類(lèi)似的。此外，所有基于 IP 的封禁都要有效期，哪怕是 1 年。
• 來(lái)自于 IDC/VPN 的流量要嚴(yán)肅對(duì)待！
• 基于 IP 的安全風(fēng)控和基于業(yè)務(wù)數(shù)據(jù)的安全風(fēng)控是不一樣的。在極端情況下，可以在 IP 層面直接拒絕。
• 推薦把運(yùn)營(yíng)商以及所有者的信息納入到風(fēng)控維度中。
• 目前基于 BGP 的劫持和濫用貌似越來(lái)越多了，希望可以多交流。

為了更好地解決日益猖獗的網(wǎng)絡(luò)威脅，威脅情報(bào)服務(wù)商威脅獵人指出，唯有打造以數(shù)據(jù)驅(qū)動(dòng)安全為核心的安全生態(tài)，形成智能化、立體型的防御體系，才能對(duì)網(wǎng)絡(luò)黑產(chǎn)進(jìn)行實(shí)時(shí)監(jiān)控與防御。

【51CTO原創(chuàng)稿件，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文作者和出處為51CTO.com】