永安在线联合Freebuf发布《业务安全蓝军测评标准白皮书》
2020-03-04 08:55:08 Author: www.freebuf.com(查看原文) 阅读量:239 收藏

与基础安全的严防死打不同,业务安全的目标通常不是杜绝攻击,而是将攻击流量的占比控制在可接受的范围内,平衡攻击损失与业务盈利间的关系,保证业务收益的最大化。当前,业务安全问题缺乏一套评估体系,能够数字化体系化的描述遭受攻击带来的危害程度及策略实施后的效果等。基于以上需求与目标,永安在线鬼谷实验室面向行业推出了一套针对业务安全的蓝军测评标标准。

image.png

帮助行业解决在处理业务安全问题时面临的以下挑战:

攻防信息不对等:对黑产攻击手段及变化的了解不够深入,造成攻击发现处理滞后、周期长的局面。

策略效果评估体系缺失:不同于互联网基础安全,业务安全问题没有明确的边界——在基础安全中多数攻击的危害程度可以用是否攻击成功来和攻击的互联网资产及数据资产来评估,而对于业务安全,由于业务场景和目标的不同,以及用户体验及用户流量日活等的限制,缺乏一套行之有效的评估体系。

image.png

以下基于某个营销场景的业务安全蓝军测评案例,具体测评标准见《业务安全蓝军测评标准白皮书》PDF:

以电商平台XX购的测试项“10元满10.01元使用优惠券活动”为案例,举例说明测试结果。

一、测试项说明

测试项:营销活动作弊场景下的特定优惠券批量获取。

预定的攻击成功标准:1小时内完成100次账号注册,账号要求可成功获取并使用优惠券。在该标准下计算各攻击指标。

二、蓝军测评结果案例

image.png

2.1、产业链现状说明

本模块将阐述测试项目的黑产攻击过程,所需黑产资源和上下游关系,并对其中的行话、黑话进行说明。

攻击方式:

使用按键精灵撰写自动化模拟点击脚本,模拟点击完成注册领券操作,过程如下:

1、IP、设备环境伪造:点击代理IP切换软件“熊猫代理”切换IP,点击改机工具“抹机王”,新建新的设备环境,命名XX(某电商平台名)十元券01(递增)环境;

2、恶意账号准备:在改机工具环境中点击运行XX平台,点击注册,调用接码平台“斑马”获取手机号API获取用以注册的手机号,并等待返回验证码后填写,判断是否出现滑块验证,并通过滑块验证,完成注册;

3、实际攻击:点击“我的”页面,点击“新人礼包”按钮,点击领取礼包;

4、完成攻击并循环执行:退出,返回切换代理,点击改机工具新建下一个环境。

变现方式:

变现下游为话费充值,调用下游团伙提供的API,得到需要充值的手机号和金额,驱动模拟点击脚本依次打开“抹机王”中的环境,使用支付宝完成操作,由于手机环境中没有安装支付宝应用,“用户”使用输入账号密码方式进行支付。XX平台未对支付宝账号可支付的平台账号数量进行限制,攻击中使用同一个支付宝账号进行支付。

相关脚本和测试账号见附件。

投入产出说明:

攻击成本:

安卓手机 600元/部 + 改机工具“抹机王”1元/部*天 + 接码平台“斑马XX平台注册” 0.2元/个手机号 + 代理IP“熊猫” 2元/部*天。

收益:

团伙收益分为两部分,第一部分为下游话费充值变现,每个账户可收益5元(50元话费充值举例,XX平台50元话费充值价格49.9元,使用优惠券付费39.9,下游话费渠道接收价格44.9,团伙收益5元)。

第二部分为倒卖账号给中间团伙,由中间团伙通过其他渠道变现。账号售价4元每个。

2.2、投入产出比ROI

在需求沟通过程中,客户与永安约定了各测试项攻击成功的标准,此模块将给出在实现攻击效果情况下,黑产的投入产出公式。

举例:

约定总投入为K、总产出为IN。设攻击天数为D、每天运行攻击脚本H小时,团伙使用P部手机设备发起攻击。另,脚本每4min完成一次注册;攻击使用的手机设备600元每部。

根据实际情况进行以下假设:

(1)由于实际过程中,受限于接码平台手机号质量、网络等原因,存在消耗成本但账号不可用的情况,以及注册账号未能及时在XX平台活动期间变现的情况等,故假设该团伙存在20%的账号损耗;

(2)根据常见变现情况,假设该团伙70%的账号以话费出口变现,30%的账号以账号倒卖形式变现;

(3)羊毛党群体多为“羊头”带领一众数量庞大但规模较小的团伙或个人,故假设该团伙的攻击设备数量为10部手机,每部手机的攻击时间为6个小时。

image.png

根据计算公式得到以下表格。

image.png

image.png

但实际对于羊毛党团伙,手机等攻击设备资产为单次投入成本,购买后重复使用,计算到单个活动的薅羊毛成本中并不合理。这一类的单次投入成本还包含微信账号等,如引流诈骗团伙需要囤积大量微信账号用以交流诈骗,该团伙在扫码领红包的薅羊毛过程中,微信账号是对方使用的资源之一,但不应计算在成本内。

以下给出去除这类单次投入成本后的投入产出公式,相较上小节的公式,更符合实际环境,用于危害估算也更为合理。

image.png

image.png

电商(利用虚拟/实体商品变现)行业的羊毛党从业人数大约在82w ~ 96w(2020年01月估算),如表格中所见,测试项(XX平台10元满10.01元使用优惠券活动)的投入产出比为7.05,参照表“羊毛场景ROI值与危害程度对照表”,该值超过损害临界点2.9,属于第二级别,将吸引2%~6%的黑产团伙发起攻击。

image.png

完整表格请参照附录B表2-1羊毛场景ROI值与危害程度对照表。

2.3、攻击效率AE

如上小节所述,测试项攻击采用模拟点击脚本进行,每四分钟完成一次攻击。故测试项的攻击效率AE为15P次 / h(P为攻击设备数量)。参照附录B 表2-2 攻击效率评分表,攻击效率评分为7,该评分用以表现攻击效率对盈利产出的正影响,即在电商低门槛优惠券羊毛场景下攻击效率仅处于中等水平,但攻击效率不是限制变现能力的主要因素,换一种说法,测试项中变现情况是,羊毛党在活动期间注册一定量级的账号并领取优惠券,并在优惠券失效前,通过话费充值等变现渠道完成变现,决定变现能力的主要因素是下游渠道的大小,如下游能“吃下”多少话费,而当前较为缓慢的攻击速度已经能够支持羊毛团伙在活动期间注册足够数量的账号。

电商优惠券主要对应的变现渠道通常是,纸巾等日化产品;大米粮油等利于倒卖变现的商品;话费、游戏充值等虚拟产品。根据电商平台的性质及提供的服务具体会有所差异,但变现渠道的限制会使得大规模的上游羊毛团伙短期内集中消费固定类别的商品,对黑样本账号的订单数据进行关联分析可找到羊毛党在平台上最常用的变现出口。

2.4、团伙规模&攻击流量占比ATR

2019年羊毛党从业人数大约132w人,针对电商行业的羊毛党从业人数大约为96w人,活跃参与(线报)XX平台的羊毛党从业人数大约为2~5w人(数据参照恶意手机号数量、黑产长期养号数量及真人作弊数量等计算,受限于数据获取渠道、抽样概率的影响,估算数据与实际情况之间可能存在一定偏差,仅供参考)。

假设测试项中的活动限定发送30w张优惠券:

羊毛党注册速度:上小节分析得到每团伙每日的攻击次数为900次,假设活动期间有40%的羊毛党活跃,从业人数取平均值3w人,则羊毛党每日领券次数为900*(3w/3)*0.4 = 360w,但上文提到羊毛党注册账号的量级主要由变现渠道能消耗的流量决定,估算得到话费等快速变现渠道每日在XX平台的最高消耗为65w,做最大化假设,全部由测试项中的优惠券进行变现(但同时假设羊毛党不进行额外的账号储备,实际情况中,领取的优惠券可在使用期限内缓慢变现),则最大情况下需要13.088w账号,设账号将冗余注册10%,则羊毛党的注册领券量最多为14.3968w/天。

XX平台正常用户领券速度:XX平台的日活为2700w,优惠券在APP首页靠下位置,用户下拉一个屏幕可见,假设用户点击率为0.5%,则正常领券用户的增加速度为,13.5w人/ 天。

image.png

则30w张优惠券中将有14.3698/(14.3698+13.5) = 51.6%的优惠券被羊毛党薅走,券面价值为154.8万元(由于羊毛党也产生消费及库存减少数据、若被正常用户领走所带来的消费转化等相关数据未知,实际经费损耗需甲方根据比例自行估算)。

假设测试项中的优惠券活动规则为限时五天:

羊毛党将制造14.3968 * 5 = 71.984w账号,并领取消耗券面价值719.84万元的优惠券。

2.5、攻击项产生的额外价值EV

测试项中的羊毛攻击将产生大量XX平台账号,参考附录B表2-3账号额外价值评分参照表,测试项中的攻击方式所产生的大量账号,可参与积分、转盘抽奖类活动,但账号质量不高,随时间推移高比例的账号将被处以封号降权等不同措施,且账号不具备社交及支付转账属性,无其他额外价值,测试项本模块评分为1。

2.6、上游供给链成熟度和稳定度SCS

测试项攻击中使用了接码平台、群控、秒拨IP、改机工具资源,根据附录B表2-4攻击资源供给链成熟度评分参照表,均为成熟稳定的上游资源,最终评分为10,攻击资源获取较容易,资源数量和获取难度对攻击效率影响较低。

2.7、综合评价

image.png

1、测试项中黑产使用的手机号、IP资源多数为基础资源,未对接特殊渠道,具有高复用特征,手机号、IP信誉库对其覆盖率较高;

(详细说明,请下载《业务安全蓝军测评标准白皮书》PDF)

2、二次验证手机号可对羊毛党造成成本提升,验证的设置点越靠近整个“注册到用券消费”流程的最终点“消费”部分,成本效果越显著;

3、验证等策略设置点越靠后,打击效果越好;

而设置验证(或其他封禁策略等)越靠近交易,羊毛党的消耗的时间成本越大,同时越容易反应不及造成账号损耗。

(详细说明,请下载《业务安全蓝军测评标准白皮书》PDF)

4、限制支付账号关联的平台账号个数,可提高羊毛党成本降低ROI;

5、长期用户转化率等指标可以辅助判断策略的效果

一般活动后平台会统计用户转化率等数据,如由这次活动注册账号的新人用户,三个月内消费超过三笔的人数占总人数的比例等。这些转化率数据也可侧面评估策略组的有效程度——羊毛党减少会带来总流量降低,但基本不影响转化为长期用户的人数。转化率和羊毛攻击流量间存在一定的线性关联关系。

最后:关于第一篇业务安全蓝军测评报告的预告~

永安在线鬼谷实验室会用2个月的时间,最终输出第一篇基 于该标准的测评报告:对国内主流的电商业务做 业务安全测试,包含目标业务的独立测试和行业 横向评比测试,最终输出综合报告,计划在3月23 日发布。

*本文作者:永安在线,转载请注明来自FreeBuf.COM


文章来源: https://www.freebuf.com/articles/paper/229052.html
如有侵权请联系:admin#unsafe.sh