上一篇《报告:互联网上,73%流量来自网络爬虫》提到,恶意爬虫增长有两个原因:一是人工智能技术的普遍可用 性,提高恶意爬虫的性能;二是黑灰产通过“犯罪即服务”提高了攻击的商业普及,让发起新攻击的速度加快,进一步增加黑灰产的数量。
“犯罪即服务”(CaaS,Crime as a Service)是一种网络犯罪模式,指的是一些有资源、技术和时间的黑客,为那些想要针对某个企业或组织进行攻击,但没有这些条件的人或团体,提供定制化的网络攻击服务,并收取一定的费用。也就是说,CaaS让那些有攻击意图但没有技能的人,可利用一站式的攻击服务轻松发起攻击。而对于提供攻击服务的人而言,制造并出售攻击产品、攻击服务,即可轻松坐享简便、快速和可重复的持续收益。CaaS为是一个日益严重的威胁。曾被认为是2018年最大的网络安全问题之一,随着人工智能、机器学习、云计算的普及,更成为攻击者改进攻击方法的工具或目标。
CaaS攻击通常是针对性的,有特定的企业或组织目标,其目的主要是来窃取数据、破坏系统、勒索赎金或实施其他恶意行为。由于发起攻击者经验丰富,因此其攻击行为具有高度的隐蔽性和灵活性,并能够根据付费者的需求和目标,定制攻击方案、时间和方式。此外,CaaS攻击具有高度的可扩展性和可复制性,出租服务的攻击者拥有可以现成的工具和技术,能够快速地发动大规模的攻击。
CaaS打开了另一面网络犯罪的潘多拉魔盒,目前国际上常见的CaaS威胁有:恶意爬虫、勒索软件、分布式拒绝服务(DDoS)、网络钓鱼等攻击。
勒索软件即服务 (RaaS):熟练和不熟练的攻击者,租用勒索软件工具并发起攻击,这是勒索软件攻击持续增加的原因之一。
攻击众包:攻击者在暗网中举行的公开比赛,以寻求新的攻击技术和方法,让更多攻击者帮助其提升其研发流程。
网络钓鱼即服务:想成为网络钓鱼攻击者的人,通过购买网络钓鱼工具包就可以发起钓鱼攻击。其中包括发起攻击所需的功能和工具,例如电子邮件模板、欺骗性网站模板、潜在目标的巧妙列表等。
购买分布式拒绝服务(DDoS):攻击者只需要花费较少的费用(例如,在欧洲此类服务的价格范围在5到500欧元之间),就可以将目标的网站、App或单独某项服务造成短时间的无法访问或服务中断,由此导致重大收入损失和形象损失。
国内的CaaS威胁悄然兴起,是从代抢票服务、作弊软件销售开始。
票务代抢服务
2023年9月,周杰伦在天津的演唱会开票不到30秒即被全部售罄,超过13万张门票被抢购一空。许多网友纷纷抱怨无法抢到票,与此同时,“黄牛”已将票价抬高到离谱的水平。一些内场前三排的 票据称售价达到19800元。甚至有人将原价2000元的连座票定价150000元出售。
2023年暑假,博物馆门票成为热门。在官方渠道无法抢到的免费参观门票,却 频繁传出可以通过加价代抢或捆绑服务等方式获得。这种情况发生在包括国家博物馆、南京博物馆、湖南省博物馆、陕西历史博物馆等热门博物馆。
2020年底,53度飞天茅台在多个电商平台大量上架。同时,某网购平台出现大量“茅台代抢服务”,消费者 花几百元就能够通过该服务抢购到茅台酒。
所谓代抢服务,就是攻击者拿着粉丝、游客、消费者的个人信息进行的抢票、抢购行为。同样的一件商品或服务,如果A比B快了1秒钟,那么A就能成功购买,而B则无法购买到。
抢购者通过作弊工具进行批量注册、登录、抢购等操作,以快速、瞬时、批量地哄抢指定的商品或服务。这些作弊工具具备破解功能,能够突破电商下单协议,绕过图片验证码,自动更换IP地址,伪造设备编号等。只需填写好账号密码,设置好运行时间,就能够完成自动抢购的任务。
作弊工具销售
2022年1月,顶象防御云业务安全情报中心监测发现,黑灰产破解多家公司保险考勤系统,还制作出打卡作弊工具。通过该工具,保险公司员工能够不出门不到岗,也可以实现“上班 打卡”,轻松领取全勤奖。
购买者通过电商平台、IM工具购买“人脸伪造考勤作弊工具”,然后登录保险公司的官方App。上传个人照片、输入工号信息,作弊工具通过注入方式向系统内提交虚假数据,从而骗过人脸识别,完成考勤打卡。
顶象防御云业务安全专家分析发现,CaaS攻击在技术上有以下几个特征:
1、CaaS威胁通常采用模块化的设计,拥有大量攻击组件或服务,能够根据需要自由组合。例如,虚假账号、恶意爬虫都可以作为CaaS攻击的组件。
批量虚假账号。注册是创建一个账号的关键流程,攻击者利用技术能够进行批量自动化账号注册,从而注册几百乃至几万个账号,以实现瞬时规模化抢购。
2、CaaS威胁往往利用先进的加密和逃避技术,以避免被安全软件或机构检测和拦截。例如,通过秒拨工具、改机工具、模拟器来隐藏真实身份和位置。
快速伪造IP位置。IP 地址就是用户上网时的网络信息地址。攻击者使用秒拨 IP 的工具,能够自动调用全国甚至国外的动态IP地址,具有自动切换、断线重拨、自动清理浏览器的Cookies缓存、虚拟网卡信息等功能,能够快速无缝切换国内国外不同区域的 IP 地址。
快速伪造GPS定位。GPS 定位就是用户使用网络服务时所处的地理位置信息,攻击者利用模拟软件、第三方工具,就可以改变所在位置的经纬度,可以实现任何地方的瞬间“穿越”。
批量伪造设备属性。设备的型号、串码、IMEI等具有唯一性。攻击者利用改机工具能够从系统层面劫持设备接口,当应用调用这些接口来获取设备的各项参数时,获取到的都是改机工具伪造出来设备的属性信息。一般来说,2-3分钟改机工具就能完成1000个设备属性。
3、 CaaS威胁往往具有高度的协作性和可持续性,可以通过远程控制来实现长期的网络攻击活动。例如,使用群空软件操纵大量账号接收指令、发送数据、发布信息等。
使用群控对账号进行操控。黑灰产利用群控可以实现一台电脑控制上几十、几百部乃至几千台设备,进行统一的注册、登录、抢购、下单等。群控还提供模拟定位、摇一摇、批量导入通讯录等功能,还可以进行消息推送。
顶象防御云业务安全专家建议,除了对业务规则的补充完善外,更需要针对性的更迭业务安全体系,以有效防范CaaS类的风险攻击。
设备及IP地址风险监测:接入IP风险库,对用户关联的IP进行风险匹配,识别代理、秒拨IP等恶意行为,并及时拦截恶意IP地址。同时,通过设备指纹识别技术,判断客户端设备的合法性,识别是否存在注入、hook、模拟器等潜在风险,并快速识别刷机改机、Root、越狱等非法行为。还可以通过监测同一设备多次激活、同设备关联IP行为异常、同一渠道中老设备型号占比异常等维度,进一步提升风险识别和拦截能力。
风险账号识别与拦截:在用户验证环节,分析验证环境信息和token,及时发现异常和风险操作。利用用户行为分析技术,对账号进行策略布控,针对同一设备切换大量账号进行订单发起的情况进行布控,有效识别并拦截风险账号。
数据分析与预测:建立本地名单动态运营维护机制,根据注册数据、登录数据、激活数据等信息,沉淀并维护对应的黑白名单数据,包括用户ID、手机号、设备等维度的黑名单。同时,结合风险控制策略和业务沉淀数据,利用机器学习和数据挖掘技术进行行为建模,对注册、登录、下单、抢购等行为进行分析与预测,输出的模型结果可直接为风险控制策略提供支持。
通过加强对设备和IP地址的监测,识别并拦截风险账号,以及基于数据分析和预测的风险行为变化,能够更加精准地识别和应对潜在的风险因素,为用户提供更安全、可靠的服务环境。同时,及时更新和优化风险控制策略,不断满足不断演变的风险形势和需求,保障业务的安全。