【51CTO.com原創(chuàng)稿件】6月9日，小編在中關(guān)村創(chuàng)業(yè)大街有幸參加了由威脅獵人、金山云和IPIP聯(lián)合主辦的首屆網(wǎng)絡(luò)黑產(chǎn)攻防沙龍，學(xué)習(xí)了不少有關(guān)業(yè)務(wù)安全攻防對抗，黑產(chǎn)攻防等方面的知識。本著好東西不能獨(dú)享的原則，趕緊跟大家分享一下。

 “當(dāng)前整個安全行業(yè)缺乏互通性，攻防雙方信息嚴(yán)重不對稱。作為防守方，都在自己的角度去做防護(hù)，缺乏交流。所以我們希望提供這樣的一個機(jī)會，與大家共同探討黑產(chǎn)攻防問題，這也是我們舉辦這次沙龍的初衷。”威脅獵人CEO畢裕在沙龍致辭中說到。

網(wǎng)絡(luò)黑產(chǎn)規(guī)模呈現(xiàn)幾何式增長

談起黑產(chǎn)，可能很多人覺得陌生而神秘，其實(shí)黑產(chǎn)就發(fā)生在我們身邊，比如常見的薅羊毛和盜取隱私個人數(shù)據(jù)。所謂黑產(chǎn)，泛指利用互聯(lián)網(wǎng)技術(shù)不正當(dāng)謀取錢財?shù)漠a(chǎn)業(yè)鏈，簡單來說就是利用病毒木馬來獲得利益的一個行業(yè)。在大數(shù)據(jù)領(lǐng)域和互聯(lián)網(wǎng)金融領(lǐng)域，黑產(chǎn)最為猖獗。

隨著互聯(lián)網(wǎng)的發(fā)展以及網(wǎng)民規(guī)模的擴(kuò)大，網(wǎng)絡(luò)黑產(chǎn)帶來的收益也是日趨巨大，驅(qū)使不法黑客們從單純的炫技轉(zhuǎn)向?qū)娴木鹑。⑹咕W(wǎng)絡(luò)黑產(chǎn)的規(guī)模呈現(xiàn)幾何式增長。由于網(wǎng)絡(luò)黑產(chǎn)的低成本、高技術(shù)、高回報的特點(diǎn)，使其逐漸從半公開的純攻擊模式轉(zhuǎn)化成為斂財工具和商業(yè)競爭手段。

現(xiàn)在，黑產(chǎn)已經(jīng)形成分工明確，組織化運(yùn)作的產(chǎn)業(yè)鏈條：從尋找攻擊目標(biāo)，制作攻擊工具，到實(shí)施網(wǎng)絡(luò)攻擊，將收集來的數(shù)據(jù)加工清晰打包成產(chǎn)品出售，最后購買者雇傭人撥打詐騙電話。據(jù)不完全統(tǒng)計，2017年我國黑產(chǎn)的從業(yè)人員在百萬級以上，每年造成的損失達(dá)千億元級規(guī)模。

談業(yè)務(wù)安全，評估是重中之重

會上，美團(tuán)點(diǎn)評技術(shù)總監(jiān)刁士涵分享了做業(yè)務(wù)安全的思路和方法。他表示，業(yè)務(wù)安全的問題五花八門，比如：刷單刷好評、優(yōu)惠作弊、虛假注冊、盜號、惡意投訴、客戶騙賠、信用卡套現(xiàn)等。業(yè)務(wù)安全是一個非常系統(tǒng)的工程，業(yè)務(wù)安全的重中之重是評估，沒有評估，業(yè)務(wù)安全無從下手。評估可定性風(fēng)險在哪里，來源是什么；評估可以定量，該如何防護(hù)，優(yōu)先級是什么，防控效果如何；評估可以幫助企業(yè)發(fā)現(xiàn)問題，漏過的都是我們發(fā)現(xiàn)不了的。

那么怎樣做評估？要評估什么呢？對此，刁士涵認(rèn)為，業(yè)務(wù)安全的評估內(nèi)容包含優(yōu)惠作弊的漏過濾，刷單的召回率，虛假注冊的識別率等。一個好的評估指標(biāo)需要具備相關(guān)性、獨(dú)立性、及時性和延續(xù)性。

另外，他指出，企業(yè)的產(chǎn)品和運(yùn)營會產(chǎn)生一定的風(fēng)險，原因在于：業(yè)務(wù)相關(guān)同事不了解風(fēng)險或者風(fēng)險意識不夠，對黑產(chǎn)的專業(yè)性、分工程度、產(chǎn)業(yè)鏈成熟度、能夠調(diào)動的資源等，認(rèn)識不充分；也因?yàn)槿藛T流動性的原因，較難貫徹風(fēng)險防范意識；研發(fā)運(yùn)營環(huán)節(jié)太多，經(jīng)常遺漏；著急上線，認(rèn)為風(fēng)險可以承受。

怎樣才能提高運(yùn)營人員的風(fēng)險意識？刁士涵建議，做風(fēng)控意識培訓(xùn)和案例宣講，并對風(fēng)險點(diǎn)進(jìn)行總結(jié)，做到舉一反三，一旦出現(xiàn)風(fēng)險，風(fēng)險責(zé)任落實(shí)到人。

黑產(chǎn)在移動設(shè)備成本上的對抗：模擬器、手機(jī)+改機(jī)工具、群控

隨著移動互聯(lián)網(wǎng)的爆發(fā)，PC端業(yè)務(wù)的下降，黑產(chǎn)也與時俱進(jìn)，在移動端作惡的比例越來越高。我們該如何對抗？對此，威脅獵人的高級情報專家梁倍毓介紹了初級、中級、高級三種對抗方式，即：模擬器、手機(jī)+改機(jī)工具、群控。

模擬器：初級對抗中，黑產(chǎn)主要使用手機(jī)模擬器來完成設(shè)備的復(fù)用。常見于各類薅羊毛活動，采用多開方式手動操作，或是結(jié)合模擬點(diǎn)擊腳本，進(jìn)行攻擊行為，一些模擬器也具有修改設(shè)備信息的功能。

手機(jī)+改機(jī)工具：改機(jī)工具通過劫持系統(tǒng)函數(shù)，偽造模擬指定手機(jī)（模擬器）的設(shè)備信息的APP，能夠欺騙廠商在設(shè)備維度的檢測，或是提供虛假數(shù)據(jù)以達(dá)到特定的盈利目的。改機(jī)工具會從系統(tǒng)層面劫持獲取設(shè)備基本信息的接口，APP只能得到偽造的假數(shù)據(jù)。Andriod和iOS都有很多相應(yīng)的改機(jī)工具，Andriod改機(jī)大部分都基于Xposed框架，需要Root，iOS大多基于Cydia框架，需要越獄。

群控：面對利益的黑灰產(chǎn)不會因?yàn)橐粋€維度的檢測而輕易放棄，所以使用群控類的高級對抗也隨之產(chǎn)生，并被批量應(yīng)用于場景中。當(dāng)前的主流配置是云控+改機(jī)工具（比如NZT）+iPhone（通常iOS9），滿足設(shè)備復(fù)用（成本降低）、自動化操作、批量化操作的要求。因?yàn)閕OS的封閉性導(dǎo)致廠商APP難以獲取足夠的設(shè)備信息。

梁倍毓強(qiáng)調(diào)，單純只在設(shè)備指紋層面上做對抗是不夠的，還需要結(jié)合其他維度，比如注冊手機(jī)號是否是黑產(chǎn)貓池號碼，建立人機(jī)識別模型等。

面對云時代的僵尸網(wǎng)絡(luò)，云服務(wù)商可以做什么？

隨著人工智能、云計算、大數(shù)據(jù)等技術(shù)的發(fā)展,黑產(chǎn)也正在走進(jìn)人工智能和云計算時代。金山云安全技術(shù)總監(jiān)李鳴雷從一個僵尸網(wǎng)絡(luò)的故事說起，與大家分享了云時代僵尸網(wǎng)絡(luò)的特點(diǎn)分析及對抗思考。

李鳴雷表示，云時代的僵尸網(wǎng)絡(luò)有五大特點(diǎn)：

第一個特點(diǎn)，云的資源獲取容易，僵尸網(wǎng)絡(luò)可以按需開通，按時付費(fèi)。

第二個特點(diǎn)，資源的銷毀會導(dǎo)致取證困難。傳統(tǒng)的IPC，物理機(jī)是不能銷毀的，但在云服務(wù)里用戶可以徹底撤銷云主機(jī)。另外，事后取證、溯源和傳統(tǒng)的方式不同，也增強(qiáng)了查殺和防御的難度。

第三個特點(diǎn)，云服務(wù)商信任度較高。云服務(wù)商的域名通常被防火墻或者各種安全策略標(biāo)記為可信任。如果把惡意軟件，或者是控制端放在云上的話，很有可能被對方的防火墻給放掉。這也是云服務(wù)商面臨的一個新的問題。

第四個特點(diǎn)，云主機(jī)缺乏可靠的登錄機(jī)制和安全防護(hù)，導(dǎo)致黑客容易獲取到資源。

第五個特點(diǎn)，云服務(wù)自身運(yùn)營活動缺陷被薅羊毛。云資源的獲取可以通過漏洞的方式來非法獲取，還有一種是云服務(wù)自身的運(yùn)營活動導(dǎo)致被薅羊毛。

在此背景下，云服務(wù)商可以做什么？如何抵御黑產(chǎn)？李鳴雷總結(jié)了兩種對策：一是被動方式，首先是云主機(jī)的多重防御，如加強(qiáng)服務(wù)器安全、補(bǔ)丁、漏洞掃描等。其次是注冊嚴(yán)格實(shí)名制，如防止惡意注冊和薅羊毛，DNS檢測與全流量檢測發(fā)現(xiàn)潛在木馬通信。二是主動的對策，如通過蜜罐部署，實(shí)現(xiàn)多區(qū)域，國內(nèi)跨省跨地區(qū)，甚至是國際上跨國來做到主動性的防御和監(jiān)測。

來自一個IP老司機(jī)的七個忠告

現(xiàn)在，很多網(wǎng)絡(luò)服務(wù)所用的防作弊機(jī)制，在黑產(chǎn)分子的動態(tài)IP變換技術(shù)面前已岌岌可危。

“地理位置是IP數(shù)據(jù)各個維度中應(yīng)用最廣泛的標(biāo)簽，但是很多時候只有地理位置是不夠的，這個IP后面是真實(shí)用戶還是服務(wù)器；是公司出口還是家庭使用；這個IP最近的行為如何，是不是有惡意行為當(dāng)過肉雞？要想解決這些問題，必須要對IP畫像。維度越多越準(zhǔn)確，就越可以更好的幫助大家做業(yè)務(wù)上的分析與對策。”IPIP.NET創(chuàng)始人高春輝表示。

演講中，作為一個IP老司機(jī)，高春輝給出了七個忠告：

• 正確認(rèn)識 IP 的庫的各種情況。比如：基于 IP 做地理位置識別的局限性（網(wǎng)絡(luò)位置、用戶位置）。另外，不要拿覆蓋率去評估一個 IP 庫的準(zhǔn)確度！
• 首先要正確獲取 IP 地址（REMOTE_ADDR）。如果你們的日志有人用 8.8.8.8 在訪問，100%是假冒的；如果地理位置錯的太離譜，恐怕你的業(yè)務(wù)安全也不好做。
• 對于基站用途的 IP 不能從 IP 層面做判斷。并且，對于一些網(wǎng)絡(luò)出口、網(wǎng)關(guān)，策略應(yīng)該是類似的。此外，所有基于 IP 的封禁都要有效期，哪怕是 1 年。
• 來自于 IDC/VPN 的流量要嚴(yán)肅對待！
• 基于 IP 的安全風(fēng)控和基于業(yè)務(wù)數(shù)據(jù)的安全風(fēng)控是不一樣的。在極端情況下，可以在 IP 層面直接拒絕。
• 推薦把運(yùn)營商以及所有者的信息納入到風(fēng)控維度中。
• 目前基于 BGP 的劫持和濫用貌似越來越多了，希望可以多交流。

為了更好地解決日益猖獗的網(wǎng)絡(luò)威脅，威脅情報服務(wù)商威脅獵人指出，唯有打造以數(shù)據(jù)驅(qū)動安全為核心的安全生態(tài)，形成智能化、立體型的防御體系，才能對網(wǎng)絡(luò)黑產(chǎn)進(jìn)行實(shí)時監(jiān)控與防御。

【51CTO原創(chuàng)稿件，合作站點(diǎn)轉(zhuǎn)載請注明原文作者和出處為51CTO.com】