2024年第一季度,威胁猎人IP风险画像在原有标签基础上新增4个IP风险标签,分别是:“好坏共用-代理”、“云函数”、“搜索引擎爬虫”、“VPN”。
为了帮助用户更准确判定风险IP的类别及作恶来源,威胁猎人将在6月底对“好坏共用-代理”及“云函数”两个IP风险标签的名称进行变更:
将“好坏共用-代理”IP风险标签的名称变更为“劫持共用代理”IP风险标签
这一命名的变更,将更加直观地突显这类IP资源的本质特征,即被黑产恶意劫持的正常用户IP资源。
“劫持共用代理”IP风险标签上线是威胁猎人IP风险画像能力提升的一大重点,该IP风险标签上线后,威胁猎人国内风险IPv4数量实现翻倍增长,同时识别能力也实现翻倍。
“劫持共用代理”IP风险标签详细说明如下:
1、 “劫持共用代理”IP指黑产和正常用户共用的IP(被黑产劫持)
本质上是指代理IP平台通过木马后门劫持正常用户的IP,出售给黑产作为代理IP使用,由于每次使用时间很短,普通用户难以感知到自己的IP被盗用。
2、 基于其好坏共用的特性,这类IP风险分数设定为0分但会标记风险标签
基于这类IP资源被正常用户与不法分子混合使用的特性,在IP风险画像产品中,这类IP的风险分数设定为0分,但是会对其进行风险标签标记,以避免对正常用户IP的误判。
风险分数等级说明:共包含四个等级,由低到高分别是0,( 70,10] ,( 90,70] ,( 100,90]
值得关注的是,近期威胁猎人基于情报监测及挖掘能力发现大量“劫持共用代理”IP,日均捕获数量达80万。
从2024年5月份的IP类型占比来看,这一类标签的IP攻击占比达到代理IP总量的63%以上,已经成为攻击者主要使用的IP类型,由于作恶情况更加普遍,各企业可重点关注这类IP资源,针对性进行风控策略调整。
将“云函数”IP风险标签的名称变更为“云服务”IP风险标签
“云服务”更加明确地传达了这类IP资源来源于“云计算服务”的特性,帮助用户快速把握其标签定义,有效识别黑产批量利用云服务发起的恶意攻击。
“云服务”IP风险标签详细说明如下:
1、 “云服务”IP指黑产利用云服务搭建代理IP池并执行攻击的IP
“云服务”风险IP主要来源于主流云服务商提供的“无服务器云计算平台”,攻击者可能利用该平台的云函数IP搭建代理IP池执行攻击,借此掩盖其真实源IP。
2、 基于其好坏共用的特性,这类IP风险分数设定为0分但会标记风险标签
由于该类IP本质是云服务商合法提供的服务出口,广泛服务于众多正常用户,因此在IP风险画像产品中,这类IP的风险分数设定为0分,但是会对其进行“云服务”风险标签标记,以避免对正常服务的误判。
“劫持共用代理”、“云服务”等IP风险标签能够帮助客户审慎处理这类灰色地带的IP,避免“一刀切”拦截处置策略带来的误伤(例如直接封禁可能会阻碍正常用户的访问)。
建议各位企业客户充分利用这类IP风险标签,并结合具体业务场景,通过多维度数据进行校验及风险判定,发现更多潜在风险。如果您在使用过程中存在任何疑问,欢迎随时与威胁猎人IP风险画像产品团队或售后团队联系。
守护更多企业的业务安全
(部分客户)
想要了解详情/试用
欢迎扫码申请
原文始发于微信公众号(威胁猎人Threat Hunter):劫持共用代理IP攻击占总量63%,成为攻击者主要使用的IP类型
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论