對于有著很大生態集團產業的阿里來說,很容易成為黑產的攻擊目標,其所面臨的攻擊的類型也非常繁多,通過攻擊溯源,可以有效降低同類型攻擊共計事件。2016年烏云白帽大會上,阿里安全威脅情報中心的安全專家instruder向大家分享了一些互聯網溯源能力建設
對于有著很大生態集團產業的阿里來說,很容易成為黑產的攻擊目標,其所面臨的攻擊的類型也非常繁多,通過攻擊溯源,可以有效降低同類型攻擊共計事件。2016年烏云白帽大會上,阿里安全威脅情報中心的安全專家instruder向大家分享了一些互聯網溯源能力建設的經驗與心得。以下是演講內容整理:
阿里現在的溯源能力建設主要有兩個方面,
線上防控(事發前的預防和事中的阻止),
線下打擊(聯合公安,實人打擊和震懾)。
instruder認為,
攻擊溯源能力建設的核心,是攻擊者從發起攻擊的環境起點到攻擊中所使用的各種手段、資源、鏈路以及**到達攻擊目標后的“完整鏈路數據掌握和獲取能力”,
就是說不管攻擊者有多少路徑,如果都能掌握,就可以順利的反推回來這個攻擊者是誰。
在這方面除了企業內部數據可以利用外,還有很大一部分是來自互聯網的數據,可以幫助實現“信息探測”、“信息拓展”、“身份鑒定”和“互聯網活動資源收集”。
定向信息探測
在定向信息探測方面,主要是通過可獲取的信息轉換到IP,做身份關聯,有以下幾種情況:
QQ賬戶:
大部分黑產在qq平臺上達成交易,5位的qq號有很大一部分是做黑產的,通過QQ識別后,轉換為IP信息,對攻擊者進行定位;
強身份信息:
通過其發布的釣魚網站頁面,獲取到攻擊者的社交賬號信息或引導攻擊者訪問QQ空間,來獲取強身份信息;
手機號:
通過所使用網絡的運營商收費接口來獲取,通常運營行還有提供此類數據的服務;
網絡代理或VPN:
通常很容易能定位到使用這些工具的真實IP;
信息拓展
在信息拓展方面包括:
社工庫:
可以從社工庫中清理出大量的信息,如IP、手機號、社交賬號等。除了市面上的一小部分社工庫,黑產也在建立**身份的一個關聯關系;
同人QQ:
即,一個人同時有兩個或多個QQ號,QQ的資料信息通常很豐富,可以通過QQ號查到手機號。黑產也有類似的服務,不過是通過手機號可以查到QQ號,價格是25元每次;
身份鑒定
在身份鑒定方面,包括:
注冊站點
用手機號或email是否注冊某一領域相關站點以判斷是否從事某一特定行業,
或通過一些對方在招聘網站的公開簡歷信息,也能知道他大概的從業經歷;
社交賬號:
如,通過搜索QQ號,可以查到曾經創建過相關的群信息,根據群信息可以判斷這個人的身份。
高發地域
對于攻擊的行為特征,會做一些地域上的歸類,可以通過攻擊者的所在地判斷其所從事的黑產方向,準確率基本上可以達到百分之百:
湖南婁底——icloud詐騙
深圳——跨境詐騙
福建龍巖——信息泄露與釣魚黑產
海南瞻洲——機票改簽與虛假中獎
黑客也是需要成長的,剛開始是個小黑,然后慢慢進入黑產行業,他肯定會在互聯網上留下很多痕跡,通過交易平臺、論壇、社交平臺等數據的整合,就可以對他的檔案進行一步一步的刻畫。但,黑產同樣壓在進行溯源對抗升級。
通常大家普通的網絡環境下上網,如家里,或者公司里。但現在,隨著對黑產打擊的升級,黑客會跑到深山老林里從事攻擊活動,在山上搭個帳篷,用無線網卡,或者無人機架設WiFi來加大定位難度。是
石家莊網絡優化消息如此一來,抓捕難度也會變大。在線上進行溝通時,也會選擇一些可以即時銷毀信息的方式。
在從事交易活動時,黑產也會采取一些資金匿名的對抗措施。*早使用銀行卡,支付寶做一些資金的交易,現在用到各種虛擬資產變現的一些方式,通過游戲點卡或虛擬貨幣(比特幣)來變現,或通過充話費的形式進行提現,同時還有專人在做黑產網站的安全加固。
對于黑產的對抗升級,也會提高相關溯源能力建設。不管怎樣,關鍵鏈路信息的獲取與掌握是溯源能力的核心,企業也可以利用黑產的攻擊思路反向推演,通過拼湊相關信息進行追蹤。
| 
