永安在线黑产攻防沙龙——走进美团点评、欧了出行、每日优鲜

永安在线情报平台 · 公众号 · · 2019-11-29 11:45

正文

2019年11月，永安在线反欺诈实验室负责人受 美团点评、每日优鲜和欧了出行邀请，分享主题《业务安全资源层的攻防时代》 ，跟各互联网公司风控相关部门交流一些近期实验室在反欺诈研究过程中发现的一些黑产的明显变化趋势以及我们对于下个阶段攻防对抗的一些思考。

以下是我们本次分享的一些内容概要：

以量获利已成为主流的黑灰产攻击方式

通过我们业务蜜罐可以监测到，全网黑产每天发起的虚假注册攻击将近700W次，而黑产对账号的解封行为是其发起的虚假注册攻击量的不到1%，而每个账号的虚假注册的攻击成本不到2毛钱。这意味着对于现在的黑产来说， 账号资源已经成为成本低廉的高消耗品。 他们不在一个账号上花费太多的成本去研究企业的逻辑漏洞绕过风控规则，而是通过不断的获取到新的资源及降低获取资源的成本，进行批量的攻击，以量获利已成为黑产当下的主流选择。

黑产不断的围绕如何获取 “新的”攻击资源而迭代

对于黑产发起一次恶意攻击来说，他绕不开的几个资源就是手机号、IP和设备资源等，那么他们会想尽办法这几个资源点上进行不断的研究，以降低他们自身的运营成本提升攻击效率。

1. 传统代理IP已被千万量级的家庭宽带属性秒拨IP所取代。

目前秒拨和混拨的IP供给方式已成为主流，占整个黑产资源IP的75%。

秒拨代理和传统代理IP的最大的区别就在于，对于黑产的IP维度的资源池不再有数据的限制，因为秒拨本质上就是普通的家庭宽带的IP地址与正常用户并无区别。可以看出黑产供给IP问题的解决思路不在是封禁规则、阈值等的研究与对抗，而是从资源层面解决，将全国各地的IP资源进行整合，满足下游的攻击需求。

由于这种通过获取新的资源的来攻击的方式相较于利用传统研究如何绕过平台业务逻辑的攻击方式来说，更具有普适性，可以适用于任何平台，因此这种当时也逐渐成为黑产的主流发展方向。

2. 设备资源的迭代，不断模拟出 “新”设备已成为一种解决方案

黑产有了大量的账号和IP之后，最后都得落脚在一个点上，就是设备。最早期黑产在设备上的解决方案是群控、设备牧场，主要还是购置大量的真实手机来进行批量的作恶行为。但是近期，我们发现黑产在设备上逐渐出现一些新的方式，例如“箱控”“云手机”等模式。拿箱控举例，箱控直接舍弃掉电脑屏幕，通过将手机主办通过电路继承的方式继承到一块大主办上，再通过切割内存的方式，将每个主办切割成十个分身。这样的一个小小的箱控设备相当于120台手机。

这种设备上的迭代使得黑产获取新设备的成本远远低于以前的模式，也使得他们能够拥有更多“新”的设备来对企业发起攻击。

基于作恶资源的供给已形成稳定的产业链

下游作恶有源源不断的对资源的需求，那么上游就会想尽办法在资源的供给上进行优化，黑产一些攻击模式都已经形成了相对稳定的供给产业链。例如批量攻击需求，对应的是群控类设备的供给，从手机墙到箱控再到租赁方式提供的云手机，从成本上的优化到攻击效率的优化。对大量新的设备信息资源需求，则衍生出更高权限下伪造传输虚假设备信息的软硬改机工具。虚假账号资源的交易需要有相对封闭的地方进行交易，带来了半开放式的发卡平台的发展。诸如此类。

最后，作为防守方的我们，应该如何做？

黑产攻防很难通过一些具体的建议和策略，利用一招一式去解决企业整体的风控问题，每一个行业每一个企业所面临的风险问题都差异巨大。因此我们仅就基于多年对黑产研究的一丝经验，分享我们自己的一些心得：

1. 从资源层对抗是黑产对抗的基础。

不论黑产怎么像正常用户，他必定绕不开一些基础的资源，手机号、IP和设备。如果能够在黑产资源上进行识别，则能够将攻防对抗尽可能的前置，在黑产发生风险行为之前进行识别。另一方面，通过对黑产资源所发起的攻击模式进行研究，也能够帮助企业迭代和优化已有的风控策略。

永安在线黑产攻防沙龙——走进美团点评、欧了出行、每日优鲜

正文

请到「今天看啥」查看全文