阿里instruder:小议互联网溯源能力建设

    

  

对于有着很大生态集团产业的阿里来说,很容易成为黑产的攻击目标,其所面临的攻击的类型也非常繁多,通过攻击溯源,可以有效降低同类型攻击共计事件。2016年乌云白帽大会上,阿里安全威胁情报中心的安全专家instruder向大家分享了一些互联网溯源能力建设的经验与心得。以下是演讲内容整理:

阿里现在的溯源能力建设主要有两个方面,

线上防控(事发前的预防和事中的阻止),

线下打击(联合公安,实人打击和震慑)。

instruder认为,

攻击溯源能力建设的核心,是攻击者从发起攻击的环境起点到攻击中所使用的各种手段、资源、链路以及最后到达攻击目标后的“完整链路数据掌握和获取能力”,

就是说不管攻击者有多少路径,如果都能掌握,就可以顺利的反推回来这个攻击者是谁。

在这方面除了企业内部数据可以利用外,还有很大一部分是来自互联网的数据,可以帮助实现“信息探测”、“信息拓展”、“身份鉴定”和“互联网活动资源收集”。

定向信息探测

在定向信息探测方面,主要是通过可获取的信息转换到IP,做身份关联,有以下几种情况:

QQ账户:

大部分黑产在qq平台上达成交易,5位的qq号有很大一部分是做黑产的,通过QQ识别后,转换为IP信息,对攻击者进行定位;

强身份信息:

通过其发布的钓鱼网站页面,获取到攻击者的社交账号信息或引导攻击者访问QQ空间,来获取强身份信息;

手机号:

通过所使用网络的运营商收费接口来获取,通常运营行还有提供此类数据的服务;

网络代理或VPN:

通常很容易能定位到使用这些工具的真实IP;

信息拓展

在信息拓展方面包括:

社工库:

可以从社工库中清理出大量的信息,如IP、手机号、社交账号等。除了市面上的一小部分社工库,黑产也在建立全国身份的一个关联关系;

同人QQ:

即,一个人同时有两个或多个QQ号,QQ的资料信息通常很丰富,可以通过QQ号查到手机号。黑产也有类似的服务,不过是通过手机号可以查到QQ号,价格是25元每次;

身份鉴定

在身份鉴定方面,包括:

注册站点

用手机号或email是否注册某一领域相关站点以判断是否从事某一特定行业,

或通过一些对方在招聘网站的公开简历信息,也能知道他大概的从业经历;

社交账号:

如,通过搜索QQ号,可以查到曾经创建过相关的群信息,根据群信息可以判断这个人的身份。

高发地域

对于攻击的行为特征,会做一些地域上的归类,可以通过攻击者的所在地判断其所从事的黑产方向,准确率基本上可以达到百分之百:

湖南娄底——icloud诈骗

深圳——跨境诈骗

福建龙岩——信息泄露与钓鱼黑产

海南瞻洲——机票改签与虚假中奖

黑客也是需要成长的,刚开始是个小黑,然后慢慢进入黑产行业,他肯定会在互联网上留下很多痕迹,通过交易平台、论坛、社交平台等数据的整合,就可以对他的档案进行一步一步的刻画。但,黑产同样压在进行溯源对抗升级。

通常大家普通的网络环境下上网,如家里,或者公司里。但现在,随着对黑产打击的升级,黑客会跑到深山老林里从事攻击活动,在山上搭个帐篷,用无线网卡,或者无人机架设WiFi来加大定位难度。如此一来,抓捕难度也会变大。在线上进行沟通时,也会选择一些可以即时销毁信息的方式。

在从事交易活动时,黑产也会采取一些资金匿名的对抗措施。最早使用银行卡,支付宝做一些资金的交易,现在用到各种虚拟资产变现的一些方式,通过游戏点卡或虚拟货币(比特币)来变现,或通过充话费的形式进行提现,同时还有专人在做黑产网站的安全加固。

对于黑产的对抗升级,也会提高相关溯源能力建设。不管怎样,关键链路信息的获取与掌握是溯源能力的核心,企业也可以利用黑产的攻击思路反向推演,通过拼凑相关信息进行追踪。

 

  本文作者:张丹

本文转自雷锋网禁止二次转载,原文链接

时间: 2024-11-03 12:38:53

阿里instruder:小议互联网溯源能力建设的相关文章

建设监测预警和溯源能力 筑牢网络空间安全基石

随着全球新一轮科技革命和产业变革的蓄势兴起,网络空间与现实世界从过去的相互分离.逐步交叉开始走向全面融合,成为世界各国的"第二生存空间"和领土.领海.领空和太空之外的"第五疆域",承载着越来越大的国家利益和战略价值.国际上围绕网络空间的竞争日趋激烈,网络空间攻防对抗强度不断升级.在当前各国都加强网络攻防建设的背景下,面对日趋严峻的国内外网络空间安全形势,我国迫切需要发挥覆盖攻击事件发生全过程的网络安全预警.防御和追溯能力对提升网络空间安全的重要前提作用,全面开展威胁

如何站在双11的肩膀上 详解阿里云企业级互联网架构

摘要:2015天猫双11全球狂欢节以912.17亿元的答卷完美收官.双11当天14万笔/秒的交易创建峰值和8.6万笔/秒的支付峰值双双刷新了世界纪录,相比首届双11,订单创建峰值增长了350倍,支付峰值增长了430倍.天量数字的背后,是中国计算能力的登顶全球. 阿里云计算总裁胡晓明表示,阿里巴巴承载双11的计算能力和... 2015天猫双11全球狂欢节以912.17亿元的答卷完美收官.双11当天14万笔/秒的交易创建峰值和8.6万笔/秒的支付峰值双双刷新了世界纪录,相比首届双11,订单创建峰值增

阿里云发布互联网大学,跨越人才培养高门槛,强壮中国云计算生态力量

10月12日,杭州云栖大会.阿里云官方培训与认证平台--阿里云大学(https://edu.aliyun.com)联合国内知名IT在线教育机构对外正式发布"阿里云互联网大学",将会重点打造基于网络化的人才培养矩阵,在今后三年内为强壮中国云计算生态力量,输送数十万具有云上应用能力的真正可用之才! 云栖大会,已成为中国乃至全球具有巨大与深远影响力的科技盛典!在今年的大会中,阿里巴巴集团正式宣布,成立承载"NASA计划"的实体组织--"达摩院",进行基

中化集团牵手阿里云拥抱互联网+ 打造领先的化工行业B2B垂直电商

中化集团牵手阿里云拥抱互联网+  打造"化工天猫"   5月17日,中国中化集团公司(以下简称"中化集团")宣布:旗下首个化工品B2B一站式垂直电商平台--"壹化网"(1chemic.com)正式上线运营.这一采用企业级互联网架构.构建在公共云上的平台代表着中化集团与阿里云的合作结出硕果.   "壹化网"创新地引入了阿里巴巴经过1688.淘宝.天猫等电商系统十年磨练的企业级互联网架构,用不到100天的时间完成了平台搭建.经过4

阿里总裁:互联网不能+传统思维

本文讲的是阿里总裁:互联网不能+传统思维,近日,在由中央党校报刊社.中央党校信息中心.信息社会50人论坛共同主办的<互联网+:信息经济浪潮与机遇>高峰论坛上,阿里巴巴总裁金建杭出席会议并发表主题演讲,以下内容根据现场演讲整理要点,经钛媒编辑: 金建杭主要针对三个层面发表了自己的看法,但重点是在互联网+时代需要什么样的使用观,他提到如今"零售+信息化"的时代结束,而"互联网+零售"时代已经开始.从B2B时代,进入C2B时代,所谓的"消费者驱动&q

首届中国数据标准化及治理大会落幕 大数据基础能力建设方兴未艾

2016年11月6日,"首届中国数据标准化及治理大会"在清华大学圆满召开,国内外200多位各界代表参加了本次大会,共襄盛举.与会嘉宾围绕数据标准化及治理展开了热烈的讨论和交流,共同呼吁社会各界积极参与数据标准的制定和推广落实.会上,中国电子技术标准化研究院.清华大学数据科学研究院.国际数据管理协会中国分会(DAMA China)三方签署了数据标准化及治理的战略合作协议,对于国家大数据标准化的试验验证和应用推广做了明确的规划,共同推动形成大数据标准化的产业生态环境."清数DAM

阿里云正考虑在欧洲建设数据中心,德国是考虑对象之一

摘要: 据新浪科技,阿里云正考虑在欧洲建设数据中心,德国是考虑对象之一,阿里云与德国电信(Deutsche Telekom)的相关合作正在洽谈当中. 昨天在德国汉诺威的 CeBIT 上,马省长刚刚在德国的 据新浪科技,阿里云正考虑在欧洲建设数据中心,德国是考虑对象之一,阿里云与德国电信(Deutsche Telekom)的相关合作正在洽谈当中. 昨天在德国汉诺威的 CeBIT 上,马省长刚刚在德国的默克尔总理与中国的马(凯)总理面前刷脸买了张邮票.按照过去中国官方代表团到哪投哪的惯例,除了数据中

ET大脑加速落地,阿里云闯入“互联网+”深水区

对于社会各行各业而言,"重构"并不可怕,可怕的是对变化的拒绝. 两年前,当"互联网+"一词出现在政府工作报告中时,还是一个模糊而宽泛的概念.两年间我们目睹了互联网对不同社会产业的颠覆与改造,但仍然无法对"互联网+"作出一个准确的定义.   直到今天,很多企业对"互联网+"的理解仍旧停留在"跨界"."连接"这样浅显的层面,将互联网视为产业转型的一个外部推动因素.而在我看来,"互联

云上“私人定制” 这些明星企业都用了阿里云企业级互联网架构

1月6日,阿里云(http://click.aliyun.com/m/1866/)宣布旗下企业级互联网架构核心组件--企业级分布式应用服务(简称EDAS )正式商用,这也是国内首款商用的大规模企业级分布式应用服务. 对很多向互联网转型的大型企业和创业公司来说,传统的构架与指数增长的互联网在线业务无法匹配,当用户达到亿级的时候,网站过载.性能瓶颈.重复开发已经成为业务发展瓶颈,而传统的一些组件也难以适应互联网业务需求. "互联网的问题要用互联网的架构来解决,"企业级互联网架构负责人蒋江伟