黑产无间道:黑产威胁情报工作实战


发布人:admin分类:网络安全浏览量:22发布时间:2017-12-12

与现在安全界流行的威胁情报不同,我们在威胁情报的工作更核心的是基于公司业务实际出发而开始的,整个过程较为朴素,没有那么多高大上的工具整合,一切以为安全提供实际支撑为核心。

一、初创阶段

1.1 起因:

最初的起因是由于一起信息泄露案件,由于信息泄露产生了较大的金融欺诈损失,后来案件在公安机关的侦破下查明。但我们发现整个作案过程,和我们在后台推测的情况有较大出入,所以我们的一些防控措施完全打在了别处。在这件事的基础上我们认识到,知己知彼百战不殆,总是在家里分析日志,推测对方的攻击手法是不够的,还要能够打出去,真正了解黑产运作环节,才能有针对性的进行精准打击。

最初在这个环节,我们并没有考虑成立一个团队来进行。仅是安排了两名同事来做,一个是偏技术的,主要工作方向是找到黑产对漏洞的利用手法,由于我司业务规模大,一旦出现一个漏洞,迅速会被黑产利用,并做成教材开培训班,这名技术人员就要打入到这种圈子里去学习技术。另一个是数据方向的,在黑市发现采购数据,并进行数据分析,查找泄露源。

1.2 进展:

工作迅速取得了成果,数据方向的同事在短期内,连续发现某物流公司、某银行的数据接口、某第三方软件均出现大量的、带有明显集中特征的泄露。技术同事则发现了APP老版本存在的问题,渠道接口存在的漏洞。由于这些情报是从黑产直接取得,所以效果非常好,可以迅速有针对性的修补漏洞,迅速止血,并能够根据攻击路径找到受损客户进行加强保障。所以短期内解决了比较集中突出的问题。

但过程中我们也发现几处问题,一个是黑市欺诈多发,在黑市上贩卖技术也好、数据也好,相当多都是诈骗行为,骗子们甚至几十块也骗,声称自己具有某种技术,并且伪装成果。这就需要有经验、熟悉业务的人去辨别真假,即使这样,也存在被骗的可能性,而稳定有保障的黑市来源,又迅速被我们掐掉。被骗钱倒不是大问题,比起我们提供的保障来说,这只是小钱,但是浪费时间浪费人力,不是一般的浪费,每笔都要防骗,需要大量的沟通。

1.3 思考:

再一个是发现真正的问题不易,处理更不易。很多乙方做安全的,觉得这些问题都简单,上个WAF做个规则,或者改一下代码就解决了。但实际到甲方,尤其是大型甲方的生产环境,需要沟通处理的环节很多。比如前面发现的APP老版本存在漏洞可被利用,简单的办法是强制升级解决,版本不对就禁止使用。但实际上要考量,这个低版本对于某些老旧机型是适用的,而新版本在一些老旧手机上运行不了,那就要拍板做决策,我们到底要不要这批老客户,拍板的时候就要数据来说话,数据运营的同事来说,目前低版本用户量多大,活跃量多大。当你有几百万的低版本用户时候,安全的人说都不要,业务会立刻跳起来跟你拍桌子。这时候安全的就必须要提供其他解决方案,而不是简单的一刀切,其他的解决方案就要考虑开发周期,短期内怎么处理,长期怎么处理—-所以,你看这一轮下来,还不算组织会议、邮件沟通、数据提取分析的时间。所以一个CASE处理下来,就需要一个时间周期,而且解决方案也是一个比较复杂的过程,相关人员都要投入。

由于初期运行有一些快速重要的发现,所以我们决定这个领域要继续投入人力。

二、成长阶段

新增的人力投在几个方向,因为事件解决比较费时,所以重点投入,一个专职负责解决跟进漏洞,一个兼职跟进,按照两名人员的特长划分移动端和PC端。前端也增加了两名,一个在技术方向,一个在数据方向。所以这个小组变成了6个人,从中选了一位同事做组长。而对组长的考核是情报数量、质量、问题解决数量。由此情报工作进入了第二个发展阶段。

2.1 新问题:

随着人力的投入,情报的数量质量都有大幅提高–可见以前我们缺课太多,总是坐在办公桌后面看日志,会以为自己做的还不错,只有掌握黑产动态,才知道自己有多少问题。情报的来源也比较广泛,来自于各个黑产QQ群、论坛贴吧、网站,并且在线下也有比较稳定的中间人交易。解决方案的推动也开始走向规范化,而不是见洞补洞,开始向开发端延伸。

当然随之而来也产生了新问题,当前我们进行的都是收集情报,线上防御,存在情报传递失真的情况。所谓情报传递失真,要从产业链上下游来看,通常我们接触到的都是产业链最后一环,贩卖数据或出售技术的最后收益环节,但是往产业链上游溯源,还有拦截马、洗料加料等各个分工环节,所以如果只停留在终端环节,各种信息的来源实际上是模糊不清的,就造成情报信息需要多种解读才能处理成真正的情报,而风险对于我们来说每一秒都是损失,所以降低损失必须朝产业链上游挖掘。也在这个时候,正好发生了一件事情,从数据情报中我们发现一起案件,最后查明属于内外勾结,深入挖掘后,我们发现是黑产组织派人打入我们内部的,黑产组织了一些学历好、背景干净的人进入了我们的客服部门打探情报,收集数据,这个事情的发现使我们非常震惊,看来情报工作已经进入了互相渗透、直接对抗的阶段。由此我们决定同样也要进行反渗透工作。

2.2 反渗透:

所谓反渗透,对于我们这样的正规机构来说,存在一个主要的操作难题,我们很难派一个自己的员工去从事黑产工作,但不入虎穴焉得虎子。

在咨询了法务、公安部门后,我们决定退一步,委托其他机构进行调查。其他机构里,最合适的就是记者了,记者职业发展这么多年,在如何寻找线索,如何让伪装沟通上还是有相当丰富的经验和方法的。通过我方人员配合记者深入调查,我们掌握了产业链相关生产、销售、沟通方法,为向上游产业链延伸提供了有力的支撑,同时也学到了记者们的工作方法,能够独立开展调查。

另外一个问题是,通过对产业链的溯源,我们聚焦了一批犯罪分子,这些人对业务了解程度高,具有相应的开发能力,能够批量生产攻击软件。很多案件的背后都有这些人的身影,如果把这批人抓住,将会明显降低当前风险。所以我们在情报部门,设立了协同警方的重案组,专门通过司法手段专项打击。重案组我们招了几名公安战线的同志,专门配合公安部门从事线下打击。几个大案的侦破,给我们带来了一手的新鲜材料,综合几个大案的情况,我们得到的结论是,第一:集团化地域化作案非常明显,已经不是趋势了,而是实实在在的存在。第二,黑产有很多环节,实际上是个综合治理的过程,不是我们一家能够控制的。第三,线下打击是个长期持续的工作。第四,我们自己的情报来源还有很大的扩展空间。

从以上结论,我们开展了后续工作。也就进入了第三个阶段。

三、优化阶段

所谓集团化地域化作案,实际上需要去做关联分析,举例子来说,我们与黑产某人做交易,向对方付款买了一笔数据。而黑产交易的这个人,则会向上游购买数据,上游又会向上游购买,层层批发下来。我们根据资金关系抓这一条链,同时扩展到二度、三度关系圈,再结合通话记录、IP、设备、帐户等多个维度关联,基本上可以得到这个圈子的情况。但这种工作,显然不是人工能够完成的,二度关系还好,到三度关系的时候,人就崩溃了。再加上其他维度,是人不可计算的一个量,所以这块,我们开发出了一个关系链分析系统,可以根据规则,自动抓出这个圈子。抓到的圈子,可以移交重案组打击,可以进入黑名单处理。

综合治理工作,比如加料环节,黑产会用一套账号体系去多个网站撞库,撞库的结果是拿到一个人的详细数据,这些数据可以支撑找回密码、补卡攻击、钓鱼木马等。而这些技术支撑工作,都有专门的组织在做,对一个人的数据集合,可以多次出售,可以和其他犯罪分子做交换。这里的问题是,作为一个单独机构,我们无法控制其他网站的信息泄露,而业务上也不允许我们对用户身份增加更多的验证环节。所以不存在一劳永逸彻底解决的办法,但是可以与其他受害机构联合起来做联防联控,因此我们发起了黑名单交换合作联盟,在当前黑产已经形成合作组织的情况下,我们如果还各自为战,将被黑产远远的甩在后面。但遗憾的是,参与合作的机构各自都有自己的小算盘,联盟运作并不理想,但即使不理想也要坚持开展,因为这是方向。

线下打击持续开展,实际上,一个案件从发现线索到最后立案抓捕等环节,有一个漫长的过程,需要非常多的卷宗和取证。而且新型手法层出不穷,需要我们持续的在这里投入力量保障。

在情报来源上,我们也在从黑市收集情报的基础上,开始从合作机构收集情报。比如针对钓鱼网站的情报收集,恶意IP的情报,手机号码情报等,广泛的开展各种合作收集数据。由于数据来源的种类越来越多,就迫切需要一个系统把这些不同种类的情报收集归纳,并且根据业务逻辑关系串联,这样就形成了正规情报系统的雏形。从外部得到的情报数据分门别类的进来,集合内部业务逻辑,通过决策引擎得出判断结果,从而形成了自动化的业务阻断系统。而通过线下打击、关联分析、联防合作,继续丰富数据源和规则,形成了一个闭环的状态。

四、总结

我们整个情报部门的建设过程,从业务的角度出发,在取得了效果以后,急需深入扩大战果,一步一步的发展到今天形成系统。而不是现在安全界的先有系统后有产出,我们是一个摸索前进的过程,但也正是这种摸索,我们积攒了大量的实务经验,从而使得最后系统的形成更有效率,更接地气。从甲方机构的角度来说,也是一种稳妥、循序、有效的办法。

*作者匿名,本文,。


被黑站点统计 - 文章版权1、本主题所有言论和图片纯属会员个人意见,与本文章立场无关
2、本站所有主题由该文章作者发表,该文章作者与被黑站点统计享有文章相关版权
3、其他单位或个人使用、转载或引用本文时必须同时征得该文章作者和被黑站点统计的同意
4、文章作者须承担一切因本文发表而直接或间接导致的民事或刑事法律责任
5、本帖部分内容转载自其它媒体,但并不代表本站赞同其观点和对其真实性负责
6、如本帖侵犯到任何版权问题,请立即告知本站,本站将及时予与删除并致以最深的歉意
7、被黑站点统计管理员有权不事先通知发贴者而删除本文

免责声明

本站主要通过网络搜集国内被黑网站信息,统计分析数据,为部署安全型网络提供强有力的依据.本站所有工作人员均不参与黑站,挂马或赢利性行为,所有数据均为网民提供,提交者不一定是黑站人,所有提交采取不记名,先提交先审核的方式,如有任何疑问请及时与我们联系.

admin  的文章


微信公众号

微信公众号


Copyright © 2012-2022被黑网站统计系统All Rights Reserved
页面总访问量:21452627(PV) 页面执行时间:78.596(MS)
  • xml
  • 网站地图