所谓网络黑灰产,指的是电信诈骗、钓鱼网站、木马病毒、黑客勒索等利用网络开展违法犯罪活动的行为。稍有不同的是,“黑产”指的是直接触犯国家法律的网络犯罪,“灰产”则是游走在法律边缘,往往为“黑产”提供辅助的争议行为。
黑产主要为盗号木马、远控木马、勒索病毒、游戏外挂,灰产则是扫号养号、刷量吸粉、媷羊毛、数据爬取等。黑灰产如今已经形成了分工明确的产业链,产业链整合完整,上,中,下游团队成熟。黑/灰产技术也从模拟脚本发展到高级脚本,PC工具到移动端工具,APK到云控平台,机器执行到机器学习。随着黑/灰产的业务链愈发成熟,工具愈发专业化,智能化,隐蔽化。对于不同行业都有着巨大的冲击,它不仅可以一夜‘薅’死一家企业,也可以一夜捧红一位‘网红’。
据南都大数据研究院等机构发布的《2018网络黑灰产治理研究报告》估算,2017年我国网络安全产业规模为450多亿元,而黑灰产已达近千亿元规模;全年因垃圾短信、诈骗信息、个人信息泄露等造成的经济损失估算达915亿元,而且电信诈骗案每年以20%~30%的速度在增长。
Example
场景:快手,抖音等短视频平台快速刷粉丝,点赞,双击,评论,上热推。
工具:
1.PC/手机一台 2.快手刷粉丝软件/安卓版
方法:
1.通过‘号商’批量购买快手ID
2.运行刷粉丝软件,通过重放访问指定作品ID
3.设置请求间隔和模拟IP/地理位置绕过审核
不同的黑/灰产场景虽然各自的目标不同,针对的行业特征不同,但是不难发现,黑/灰产产业链中,外挂/工具的使用是必不可少的,各式各样的辅助工具已经成为灰产从业人员的利器。
如何有效的识别,检测这些工具,并且结合实际的业务场景的行为特征进行分析是企业对抗黑/灰产业务最严峻的挑战。爱加密对抗黑/灰产的防御理念围绕业务全生命周期进行,通过威胁态势感知,实现对不同威胁的主动防御和及时响应。
通过对移动应用的实时数据采集,收集应用在使用过程中的安全信息,包括启动、退出、访问页面等基础事件,使用App时所收集的环境风险,异常行为等事件,还包括对用户操作行为进行特殊标记,如按钮点击,页面访问等行为。通过大数据技术对安全事件进行事前态势感知,事中实时响应,事后追踪溯源从而帮助企业安全管理人员掌握移动业务的整体安全。
灰产在通过辅助工具进行“薅羊毛”的过程中,都会有一些固定的流程或方法,比如root/越狱机/模拟器,改机工具(设备复用),扫号平台,触控精灵,位置欺诈工具,IP代理等不同种工具与方法的组合,根据实际业务的场景,可以按照灰产的攻击手法设计从低风险到高风险的不同种攻击检测的自定义模型来进行匹配,然后根据模型上线后的匹配结果不断筛选调优,最终精准定位‘羊毛党’进行感知和响应。
环境风险模型-模拟器分析
背景:安卓模拟器是能在PC平台模拟安卓手机系统的模拟器软件。安卓模拟器能在电脑上模拟出安卓手机运行环境,进而用户可以无需真实的安卓手机,在PC端即可运行各种APP。安卓模拟器正常用于APP的测试,体验。对于灰产而言,由于真机的成本过高,通过模拟器来模拟真机可大大降低攻击成本,而且方便操作。
方法:模拟器环境分析是通过收集当前运行APP的手机的硬件参数和系统参数,通过多个参数的综合比对来判定是否是真机还是模拟器设备,如为模拟器设备则进行日志展示与告警。
异常行为模型-域名劫持分析
结合域名代理分析,针对以被灰产破解后进行网络劫持攻击的行为,通过设置域名白名单,指定APP需要访问的服务器地址,然后在每次APP发起网络请求的时候对目标地址数据和白名单数据进行匹配,判定是否合法,如网络请求不在白名单内,进行实时数据上报并告警。
当发生安全威胁时,平台提供相应的安全工具响应安全事件,如发生高风险行为时,下发“退出应用”策略,避免危害产生。平台提供的安全工具包含:退出应用、弹窗(文本、样式自定义)、toast提示退出(延时退出)、通知栏、启动第三方应用、下载并安装应用等。结合实际场景灵活配置相应工具,兼具安全及用户体验。
平台会记录威胁事件的详情,对威胁事件画像,形成风险报告,事后也可检索历史威胁事件,实现追踪溯源的能力。
风险溯源
风险报告输出:平台可导出某段时间内的风险报告,包括威胁事件的分布区域、影响的设备数等,用户也可以实时导出某个或多个威胁场景的数据报告。
风险行为检索:随着数据积累的逐步变多,管理的工作强度也会增大,管理人员想快速追踪威胁事件的难度也会变强,平台可提供数据检索能力,支持模糊搜索。可对城市、MAC地址、设备ID、系统名称等进行详细检索,提高管理人员的工作效率。
风险行为画像:平台可对发生的威胁事件进行溯源,对风险行为进行画像,回溯攻击路径,如受到病毒木马攻击后,平台会提供病毒应用名称、病毒安装路径、病毒应有包名、病毒apk的MD5等详情信息,提供此类型的威胁数据支撑。