对于有着很大生态集团产业的阿里来说,很容易成为黑产的攻击目标,其所面临的攻击的类型也非常繁多,通过攻击溯源,可以有效降低同类型攻击共计事件。2016年乌云白帽大会上,阿里安全威胁情报中心的安全专家instruder向大家分享了一些互联网溯源能力建设的经验与心得。以下是演讲内容整理:
阿里现在的溯源能力建设主要有两个方面,
线上防控(事发前的预防和事中的阻止),
线下打击(联合公安,实人打击和震慑)。
instruder认为,
攻击溯源能力建设的核心,是攻击者从发起攻击的环境起点到攻击中所使用的各种手段、资源、链路以及最后到达攻击目标后的“完整链路数据掌握和获取能力”,
就是说不管攻击者有多少路径,如果都能掌握,就可以顺利的反推回来这个攻击者是谁。
在这方面除了企业内部数据可以利用外,还有很大一部分是来自互联网的数据,可以帮助实现“信息探测”、“信息拓展”、“身份鉴定”和“互联网活动资源收集”。
定向信息探测
在定向信息探测方面,主要是通过可获取的信息转换到IP,做身份关联,有以下几种情况:
QQ账户:
大部分黑产在qq平台上达成交易,5位的qq号有很大一部分是做黑产的,通过QQ识别后,转换为IP信息,对攻击者进行定位;
强身份信息:
通过其发布的钓鱼网站页面,获取到攻击者的社交账号信息或引导攻击者访问QQ空间,来获取强身份信息;
手机号:
通过所使用网络的运营商收费接口来获取,通常运营行还有提供此类数据的服务;
网络代理或VPN:
通常很容易能定位到使用这些工具的真实IP;
信息拓展
在信息拓展方面包括:
社工库:
可以从社工库中清理出大量的信息,如IP、手机号、社交账号等。除了市面上的一小部分社工库,黑产也在建立全国身份的一个关联关系;
同人QQ:
即,一个人同时有两个或多个QQ号,QQ的资料信息通常很丰富,可以通过QQ号查到手机号。黑产也有类似的服务,不过是通过手机号可以查到QQ号,价格是25元每次;
身份鉴定
在身份鉴定方面,包括:
注册站点
用手机号或email是否注册某一领域相关站点以判断是否从事某一特定行业,
或通过一些对方在招聘网站的公开简历信息,也能知道他大概的从业经历;
社交账号:
如,通过搜索QQ号,可以查到曾经创建过相关的群信息,根据群信息可以判断这个人的身份。
高发地域
对于攻击的行为特征,会做一些地域上的归类,可以通过攻击者的所在地判断其所从事的黑产方向,准确率基本上可以达到百分之百:
湖南娄底——icloud诈骗
深圳——跨境诈骗
福建龙岩——信息泄露与钓鱼黑产
海南瞻洲——机票改签与虚假中奖
黑客也是需要成长的,刚开始是个小黑,然后慢慢进入黑产行业,他肯定会在互联网上留下很多痕迹,通过交易平台、论坛、社交平台等数据的整合,就可以对他的档案进行一步一步的刻画。但,黑产同样压在进行溯源对抗升级。
通常大家普通的网络环境下上网,如家里,或者公司里。但现在,随着对黑产打击的升级,黑客会跑到深山老林里从事攻击活动,在山上搭个帐篷,用无线网卡,或者无人机架设WiFi来加大定位难度。如此一来,抓捕难度也会变大。在线上进行沟通时,也会选择一些可以即时销毁信息的方式。
在从事交易活动时,黑产也会采取一些资金匿名的对抗措施。最早使用银行卡,支付宝做一些资金的交易,现在用到各种虚拟资产变现的一些方式,通过游戏点卡或虚拟货币(比特币)来变现,或通过充话费的形式进行提现,同时还有专人在做黑产网站的安全加固。
对于黑产的对抗升级,也会提高相关溯源能力建设。不管怎样,关键链路信息的获取与掌握是溯源能力的核心,企业也可以利用黑产的攻击思路反向推演,通过拼凑相关信息进行追踪。
雷锋网原创文章,未经授权禁止转载。详情见转载须知。