从业务安全的角度上来说,业务越重,防范黑产的责任也就越大,很多公司利用基础的业务风控举措去屏蔽一些黑产的作恶行为,降低自己的损失。但是,黑产仍然有办法将作恶行为进行伪装,从而实现牟利的目的。通过拦截卡与代理IP来对攻击行为进行”包装“,将黑产作恶手段隐藏其中,就是黑产近期追崇的绕过方式。
1. 与真实用户共用的手机卡——拦截卡已成主流恶意手机卡之一
由于国内互联网基本上是以手机号为基础进行的用户认证,手机号资源一直是互联网黑产伪造身份环节上的必备资源。相较于以往黑产固定持有大量的手机SIM卡作恶,近期利用设备硬件后门与软件APP形式植入木马两种方式对手机进行控制利用的短信拦截卡逐渐受到了黑产的青睐。体现在恶意手机卡比例上就是新增卡片数量已经超过了其他黑手机卡的增幅。短信拦截卡受黑产青睐的原因主要是这种手机卡具有无需养卡、与真实用户共用、不会被标记为黑产持有等特性。
通过硬件后门和软件app方式植入木马的产业链一直都存在,被控制的手机称为“野鸡、肉鸡”,该产业链已经有十多年的发展史了。在这种趋势里,控制一定规模野鸡和肉鸡的渠道团伙也不在少数,他们起初控制手机的目标是为了分发一些应用来牟利,现在则是通过利用手机号进行恶意注册,从而获得更多的利润。
短信拦截卡这种恶意手机卡从2018年末首次被业务安全研究者发现,之后虽然遭受过来自执法部门的打击,但未打消这个行业的需求。上游“供货商”持续补充短信拦截卡的“卡源”,使得短信拦截卡在恶意手机卡产业中占据了自己的一席之地。根据永安在线对短信拦截卡的监测数据,去年年初至11月,拦截卡每月增量基本都是在6万至30万之间。而从19年12月开始,当月拦截卡新增数量直线上升,这波势头在今年1月到达了顶峰,当月新增数量558万,是去年同期新增数量6.2万的90倍。结合与其他恶意手机卡的比例对比,短信拦截卡已经成为了现阶段黑产集中精力开发的渠道。
2. 家庭宽带拨号类型的代理IP占比超过90%
现阶段,代理IP仍为黑产绕过各种业务在IP层面防护的主要手段。但是随着业务安全防御层级的逐渐升级,对IP的拦截逐渐趋于严格,越来越多黑产长期持有的IP被发现并拦截。在这种情况下,黑产需要更多的IP资源去保证自己作恶行为的成功率。在寻找IP资源的时候,黑产找到了一个稳定IP来源,而且成本低廉、隐蔽性高:家用宽带拨号的IP。
电信运营商持有的IP由于数量不足以满足国内互联网的发展需求,在宽带上网拨号时分配的IP上他们进行了资源调配,这使得每一次拨号都有机会获取到一个与之前不同的IP。利用这种现状,黑产将其视作可以在短时间内租赁到大量IP的渠道进行利用。而且,由于相关IP释放后仍会分配给普通宽带用户,在各大IP数据库中也会标明其为家用宽带,不会被标记为黑产活跃使用的IP,这就避免了相关作恶行为因IP特征被屏蔽。这种黑产利用家宽拨号获取并利用的IP资源,我们一般简称其为“秒拨”IP。
秒拨IP在某些IP识别库内被识别为普通宽带,但近期有历史作恶行为
秒拨IP因其供应稳定、与其他宽带用户共用等特性,受到了黑产的一致青睐。根据永安在线安全团队通过长时间布控和研究市面上的活跃代理IP资源获得的统计数据显示,当前提供给黑产使用的代理IP日均量级在500万以上,其中秒拨型代理IP占比高达91.43%,传统型代理IP却仅占8.57%,相较于2019年的统计数据,秒拨型代理IP占比增长了16.87%。通过这些数据,我们可以知道,在代理IP的供求关系中,因其隐匿的特点,黑产对秒拨型代理IP的需求还是相对旺盛的。
秒拨型代理IP与传统型代理IP的占比比例
3. 黑产工具整合作恶方法 攻击更加隐蔽
无论是短信拦截卡,还是秒拨IP,都是从黑产作恶手段方向去讨论的。黑产实际作恶中不仅需要手段,更需要黑产工具作为提高效率的方法。作为提高黑产作恶效率的加速器,黑产工具通过整合多个作恶模块,可以方便黑产进行自动化批量攻击,减轻人力,提高效率。而通过对热门黑产工具的功能分析,我们可以了解到黑产在作恶目标与作恶手段上的趋势,从而针对性进行防范。
通过对近期恶意注册场景下的工具的分析,我们发现近期的黑产工具都是在相关业务的自动化模拟上集成了接码平台和秒拨代理IP工具,黑产利用这些工具去实现大量的账号注册,从而在平台上进行作恶。黑产还会利用工具的一些筛选功能去提高注册的成功率,以下图工具为例,黑产通过软件自带的“实卡注册”筛选功能,调用接码平台的拦截卡去注册账号,从而抵御来自平台方对黑产手机号注册关联账号的清洗。在“控制中心”中还有对代理IP拨号的相关设定,设置每一个代理IP使用几秒,注册几个账号等行为,以规避平台对单个IP注册频率限制。
黑产工具中对代理IP与短信拦截卡的应用不止于盲目的调用,针对风控相对严格的平台,黑产还有将手机号归属地和IP归属地进行匹配的手段,通过这种方法去将黑产作恶行为进行进一步的隐藏,从而实现黑产作恶牟利的目标。
部分黑产工具可以选择指定运营商和归属地的手机号与宽带IP
4. 辨别短信拦截卡和秒拨IP的方法
面对黑产利用真人使用的手机卡进行作恶的短信拦截卡,和利用循环使用的秒拨宽带IP进行代理攻击,在应对处理上不能采用对抗黑产长期持有的手机卡黑IP的那种一刀切的方法,这时我们需要采用的方法应该是多维风控模型去进行限制。
1.针对短信拦截卡的攻击,由于需要区分“是否为持卡人本人操作”,则根据拦截卡本身特点和使用拦截卡攻击过程中的特征进行判定。
在IP角度发现的异常可作为黑产操纵拦截卡的辅助判定方式。例如一些开放海外注册的平台,账号本身为海外拦截卡号码,但访问来源IP却命中了国内“秒拨”黑IP,这其中存在明显的恶意特征。永安在线的IP画像具有高实时性特征,拦截卡号主使用的IP和判黑IP重叠的概率基本为0。所以命中拦截卡与命中任何类型的黑代理IP均是极其异常的账号行为的依据,可判定为恶意。
企业也可以结合自身业务场景设置行为特征的判断规则,如拉新中同一邀请码下的新用户账号中,拦截卡占比过高、出现过一定的恶意手机卡、黑IP命中次数等,即可判定相关新用户账号是由黑产批量注册,而非拦截卡卡号主注册。
永安在线的“手机号画像”是当前市场上唯一一家提供拦截卡识别能力服务的产品,可作为数据源参与风控评分,帮助企业完成业务安全中的用户判别。
2.针对代理IP的攻击,除了对主流黑产持有的IP进行阻断拦截,由于“秒拨”IP是由黑产和宽带用户共同使用,在通过IP特征进行判断时,需要根据其作恶时间,利用时效性去进行判断其是否为黑产进行攻击。
永安在线业务风险IP情报可以对于主流的黑产IP资源的识别,同时对IP进行标签化与数值化记录,可以做到IP风险的秒级更新,判断该IP在当前情况下是否为黑产在使用的动态恶意IP。并且基于捕获时间的长短进行风险降级与清洗,保证IP风险情报的准确度。
来源:freebuf.com 2020-08-25 10:57:21 by: 永安在线
请登录后发表评论
注册