基于业务安全情报的攻防实践议题 | 永安在线CTO邓欣 CIS 2020实录

12月30日，CIS 2020网络安全创新大会的攻防演练研讨专场上，永安在线CTO 邓欣带来《基于业务安全情报的攻防实践》的主题分享。此次分享中，他以永安在线（EverSafe Online）核心产品之一的「业务安全情报平台」为解析样本，从情报的价值、生产、运用三个角度与全行业共同探讨业务安全情报行业的发展。

以下为现场分享重点：

一、业务安全情报的价值

情报是整个业务安全体系的重要组成部分，和风控是两个互相助推的齿轮。业务安全情报的价值至少有三个点：一是提升攻防效率，二是合理评估攻防的成本和效果，三是攻防的可解释性。

情报能够直接提升业务安全的攻防效率。

作为业务安全的防御方，情报能力的缺失导致企业往往只能被动挨打。有了情报，企业就有能力化被动为主动，及时发现业务面临的各种风险场景。下图呈现了其中的一部分：

那么，如何判断企业业务有没有被黑产团伙盯上？回答这个问题，是业务安全情报最基本的一个价值。

举一个实际案例，今年6月份的时候，有一家企业客户，通过我们的业务安全情报平台发现了一个攻击其业务的黑产工具，同时对这个工具做了分析，才知道业务近期上线的拉新活动，由于风控不严，导致被黑产团伙大规模的自动化攻击，而且大部分都通过了审核。根据这条情报，该企业及时加强了风控策略，同时根据从工具中提取出来的特征，对黑产的账号做了限制。想象一下，如果没有情报，很可能最终该企业业务显示拉新活动很成功，新注册了很多用户，但实际都是黑产注册的垃圾账号，营销费用全都打了水漂，业务也没有得到预期的健康成长。

情报还能及时发现业务风控的盲区。当企业得知自身业务被黑产盯上了，也上了风控，那风控是不是有效的？是不是被黑产绕过了？回答这个问题，最有效的方式也是情报。我们仍然通过一个实际的案例来说明。以下是永安在线业务安全情报平台监控到的一个发卡店铺的截图：

上面出售的是某款社交软件的账号。我们知道有专门养号、卖号的黑产，为了限制他们，也知道将账号和设备关联起来。因为黑产养号的设备，和卖号之后登录的设备，肯定不是同一个设备。但通过这个店铺的商品描述信息，我们知道黑产绕过了账号和设备的关联。出售的数据里面，不单包含账号密码，还包含机型和串码（就是IMEI）。上号之前先将机型和串码改成和养号设备一致，这样就会认为还是在之前的设备上登录。根据这条情报，客户及时改进了风控，加强了对黑产设备，包括模拟器和改机行为等的识别（PS：模拟器和改机可以轻易篡改设备机型、串码等信息）。

情报能够帮助企业合理评估攻防的成本和效果。

业务安全攻防不太可能把黑灰产完全消灭掉。“有人的地方就有江湖，有利益的地方就有黑灰产”。因此我们更强调的是可控，我消灭不了你，但我把你限制在一个可控的范围内。其中很关键的一点就是ROI（投入产出比）。我们在业务安全蓝军服务里面，也提出过这个概念。简单来说，我们要尽可能的提升黑产的攻击成本，降低黑产的收益。那如何得知黑产的攻击成本是多少，收益又是多少？最靠谱的方式仍然是通过情报。当有了这个情报能力之后，我们还能进一步评估攻防的效果。下图是我们的一个客户，在今年活动期间，账号注册数量和价格的走势图：

可以看到随着活动的进行，客户风控做的越来越成熟，黑产注册账号的数量和价格都呈现明显下降的趋势。这里大家可能会有疑问，风控做得好，成本应该增加，为啥价格还下降了？原因是，成本和价格不能简单的划等号。因为黑产注册账号后的死号率大幅度提高了。举个例子，以前注册10个号，1个号1块钱，都没被封禁，单个账号成本就是1块钱；后面注册10个号，1个号5毛钱，但只活了1个号，单个账号成本就是5块钱。虽然价格下降了，但整体成本实际上是上升了。

业务安全情报天然具有比较好的可解释性。

我们知道业务风控的数据来源就是业务数据，然后经过风控引擎的各种规则、策略或算法，得出某个业务请求是否限制或者放过。限制的里面有没有误拦，放过的有没有漏掉？这个问题很多时候风控自身不好解释。

而业务安全情报天然具有比较好的可解释性。因为业务安全情报来源于黑灰产所使用的资源和技术，是纯黑的数据。比如某个手机号来源于猫池，某个IP来源于秒拨，某个请求流量来源于黑产工具等。而配合情报，风控也有了比较好的可解释性。比如说限制的账号，跟情报里面来源于猫池手机号注册的账号具备同样的行为特征；放过的账号，基本没有猫池手机号，这个就很好解释。

二、业务安全情报的生产

我们每天都能看到很多跟黑灰产相关的信息，包括各种新闻报道，分析文章，各式各样的图片。如何从这些表象背后，挖掘和提炼出有价值的情报？首先是情报的数据来源。下图是永安在线生产情报的核心方法论：

摸清楚网络黑灰产的产业链，上下游聚集交流、交换信息、交易物品的中间平台，是最好的切入点。像提供收发短信验证码的接码平台，绕过图片、滑动等人机识别验证码的打码平台，提供海量IP资源的秒拨或代理IP平台，交易账号、数据、黑产工具和服务的发卡平台暗网等。对这些中间平台进行及时和全面的监控，从而获取到情报的数据源。

有了数据源之后，接着就是对数据进行加工。我们结合来源于黑灰产QQ群的数据进行讲解。先对原始数据做提炼。QQ群的数据包括三个核心主体：群、人和消息。每个主体都可以从原始数据中提炼出关键数据，比如人，就包括QQ号、昵称、身份、所在群、入群时间、发送消息数量等。此外，我们还需要维护一个黑产话术字典。QQ群的消息太杂乱了，根据这个字典，我们可以粗略过滤出跟黑产行为相关的那些消息。同时，黑产有很多特定的黑话和简语，需要根据这个字典进行翻译。这是一个典型的例子：

里面有CP、BC、PZ等这样一些缩写，分别代表彩票、博彩、配资等意思。

接下来，围绕群、人、消息这三个主体进行不断的迭代。黑产话术字典过滤出来的消息；接码、发卡等平台的售后群、交流群；黑产工具作者，身份是群主或群管理员的人，这些都可以是迭代的起点。迭代过程当中，我们就能生产出一些高质量的QQ群、黑产团伙的核心角色和高置信度的消息。再进一步，生产出风险事件。每一个风险事件，包含风险场景、角色、情报源、攻击手段、置信度等信息。

这张图展示了永安在线业务安全情报平台目前能生产出来的情报，供大家参考：

包括黑产开源社区情报、接口恶意流量攻击、真人众包作弊情报、挂机工具刷量情报、黑产最新工具情报、接码多纬场景情报、黑产物料交易情报和敏感数据泄露监测。

三、业务安全情报的运用

业务安全情报的运用，有三个基本的姿势：首先是态势，比如某些话题讨论的热度、接码价格的走势等等；然后是风险事件提炼，比如讨论热度超过某个阈值，出现了一个以前未发现过的黑产工具，我们就认为触发了一个风险事件；有了风险事件，就需要对事件进行处置，处置一般分为三步：分别是预警、验证/排查和反制。

对于风险事件的处置，一个比较常见的案例是真人众包作弊情报。第一步解析出任务内容，这里面绝大部分都是文字的处理，也有一些是截图，以及二维码，需要结合一下OCR和二维码解析；第二步提取出作弊对象的标识，像注册拉新的任务，作弊对象的标识就是邀请码；第三步是通过标识关联出作弊的用户ID；有了用户ID，第四步就是结合业务实际情况进行适当的处罚了。一般来说我们不建议封号这样的极端策略，可以采取一些柔和的策略，比如该账号仍然可以正常登录和使用，但无法套现，或者降低该账号的中奖概率为0。

还有一些黑产工具情报的实际案例，工具往往承载了黑灰产攻击的核心逻辑，因此工具情报的价值更大一些，情报的运用也会复杂一些，往往需要情报分析人员具备二进制逆向分析的能力。通过分析工具情报，我们可以排查出业务接口存在的漏洞或缺陷，并进行修复。从我们的经验来看，最多的情况便是信息泄露。

举个例子，我们的某个客户，从攻击他们的一款工具里面，发现调用了找回密码的接口，结合代码我们进行了攻击复现：在接口参数中填入任意一个手机号，返回的信息里面，包含了该手机号注册的明文用户名信息。拿到用户名之后，工具还会爬取该用户在平台上留下的所有信息，从而勾勒出用户画像。造成的危害就不言而喻了：黑产可以通过暴破的方式拿到该平台所有用户的手机号和用户画像。这个数据既可能被黑产直接放在网上出售，也可能被犯罪分子用于电话诈骗，从而引发严重的公关危机、信任危机、监管危机等一系列问题。修复的话，可以对返回的用户名信息部分打码，同时增加鉴权，比如需要下发和填写手机短信验证码进行身份核验。

通过分析工具情报，我们还可以排查业务风控被绕过的情况。比如：内置秒拨拨号或代理IP绕过IP风控、内置打码平台绕过人机识别验证码、破解和伪造接口签名算法、破解和伪造设备指纹等。

这是一款黑产工具的代码片段截图，可以看到里面内置了伪造设备信息的代码：

这说明设备指纹很可能就被黑产技术人员破解和绕过了，我们需要改进指纹算法，或者结合其他维度来加强风控。

通过分析工具情报，我们还可以对黑产进行反制。反制最基本的手段就是从工具中提取出自动化攻击的特征，特征可以是工具中硬编码的接口参数；也可以是固定的操作步骤；如果是apk，特征则可以是应用的包名+签名，结合applist来标识出使用该工具的设备。

这是一个非常典型的案例，从工具的代码片段中，我们发现该工具访问接口A，构造的接口参数里面，设备信息是华为，然而紧接着访问接口B的时候，构造的接口参数，设备信息却变成了魅族。对于这种前后不一致的情况，正常的用户请求肯定不会出现，所以可以将其提取出来，作为自动化攻击的特征之一。

反制的另外一个手段就是提取出工具中有价值的内置信息。常见的内置信息包括工具作者的联系方式，以及售后群或者交流群。通过这些信息，我们可以跟黑产分子交流、套话、取证或溯源。部分工具甚至会留下工具的后台信息。比如有一款自动做任务领奖励的工具内置了访问后台数据库的连接信息，包括数据库地址，账号和密码。登录上去之后，直接拿到了所有使用该工具的黑产账号。

写在最后：

以上是邓欣在CIS 2020网络安全创新大会上分享的全部内容。我们认为，业务安全情报对于整个业务安全的攻防，具有不可替代的价值。而且随着线上业务的进一步发展，以及数字化转型，产业互联网的发展，业务安全情报的价值会越来越大。我们相信，依托于业务安全情报，每个企业也可以将业务安全的攻防做到完全自主可控。

如您希望获取更多专业报告，请「扫描下方二维码」跳转到「永安在线官网」页面，该页面支持个人信息的预留，填写后我们将发送一份《2020年黑灰产攻防研究年度总结报告》到您的邮箱。

永安在线

永安在线（EverSafe Online）成立于2017年，致力于成为企业客户的线上业务欺诈监控、预警、响应的专家。公司开创了以业务安全情报为核心的业务安全解决方案，通过强大的线上业务风险监控体系、风险情报数据能力、以及丰富的黑产攻防经验，帮助企业客户解决账号安全、营销反欺诈、流量欺诈、接口安全等线上业务欺诈问题，目前覆盖了90%的头部互联网客户累计合作客户超300+。