重磅!大數據下全球撞庫黑色產業鏈追蹤報告
最近,央視曝光了一起離奇的電信詐騙案件。受害者既沒有接到不明電話或簡訊,手機也沒有中毒,賬戶里的錢莫名其妙地就被人全部盜刷。
隨著調查的深入,民警發現這是違法分子利用用戶在其它網站的泄漏密碼使用「撞庫」手段掃描用戶網銀的登錄密碼,再用非常規手段對用戶網銀綁定手機號修改所造成的案件。
中國人看事物,都習慣分個陰陽。往往明面上有多麼繁榮,暗地裡就有多麼猖獗。記得年初看到一份報告《Bot Traffic Report 2016》,報告稱2016年機器人流量佔全網流量的51.8%,超過人類流量,而其中惡意機器人流量佔據了全網流量的28.9%。
如何從龐大的惡意流量中捕獲期望的數據,這件事一直深深地吸引著我們,團隊為此進行著長期的研究,並在全網搭建了許多數據探針,捕獲了大量第一手數據,讓我們有機會窺見這個黑暗領域的一隅,從而有了黑產大數據這個系列的報告,今天的主題是:全球撞庫追蹤。
一、什麼是撞庫攻擊
簡單來說,使用他人在A網站的賬號密碼,去B網站嘗試登陸,就是撞庫攻擊。
在早些年,盜取他人賬號主要靠木馬,密碼字典則靠軟體生成,而隨著近幾年頻繁出現網站資料庫泄漏事件,撞庫攻擊逐漸成為主流的盜號方式。撞庫攻擊也成為賬號類攻擊的重要一環,下圖是整個賬號類攻擊鏈條:
【辭彙解釋】
拖庫:黑客從有價值的網站盜取用戶資料數據。
洗庫:黑客將用戶賬戶的財產或虛擬財產或賬戶信息本身變現。
社工庫:黑客將獲取的各種資料庫關聯起來,對用戶進行全方位畫像。
定向攻擊:黑客根據用戶畫像,對特定人或人群進行針對性的犯罪活動,比如詐騙。
二、從哪來 & 到哪去
前面回答了三大哲學問題之一「X是什麼」,再來看另外兩大問題:
從哪裡來
到哪裡去
1. 撞庫源數據來源
黑客要進行撞庫攻擊,首先需要足夠的原始賬號數據,我們對網路上捕獲到的撞庫攻擊進行分析,發現原始數據來源主要有以下幾點:
1)信封號產業鏈
信封號,就是被盜的QQ號。信封號產業鏈,就是QQ號盜取、銷贓、並利用獲利的產業鏈。每天互聯網黑市上會有成百上千萬的被盜QQ號流入該產業鏈,原本QQ賬號密碼只在騰訊內部有價值,但由於QQ郵箱的大規模使用,很多人在網站註冊用戶時直接使用QQ號對應的QQ郵箱和密碼,導致被盜QQ號被大量直接用來進行網站撞庫。
2)網站泄漏資料庫
網站泄漏資料庫的標誌性事件是2011年 CSDN 600萬用戶數據泄漏,引領了當年一波數據泄漏高峰,數十個網站的用戶數據被公開,大量原本只在地下流通的泄漏數據被拋到檯面上,給平時並不關注此道的黑客們提供了足夠的數據源切入這個方向,也因此點燃了撞庫攻擊的熱潮。
類似事件還有2015年某郵箱數億賬號泄漏,都給黑客提供了重要的彈藥資源。更何況被爆出來的數據泄漏,其實也僅僅是冰山一角。
3)地下黑市流通
數據竊取與交易這個領域幾乎是地下產業鏈隱藏最深的部分,有不少黑客通過數據交易來構建龐大的社工庫。黑客之間的私下交易我們無法得知,到底有多少網站數據已經被竊取也沒法客觀評估,但通過某些半公開的渠道,亦可管中窺豹。下面是暗網某地下數據交易市場的截圖:
2. 撞庫源數據分類
從近期的撞庫數據來看,email佔據了大約1/4,手機號佔5.8%。
3. 國家被攻擊數據
我們從近期全球數十億次撞庫攻擊行為,聚合分析後,繪製了以下全球撞庫攻擊數據圖:
1)攻擊流量去向
可以看出,中國和美國佔據了撞庫類攻擊的絕大多數份額。
2)各國被攻擊公司佔比
其中有超過一半的被攻擊公司來自中國。
3)攻擊來源分布
同時,中國也是最大的攻擊來源國,其次是俄羅斯黑客明顯佔據較大比例,包括俄羅斯、烏克蘭、白俄羅斯等前蘇聯國家。
在分析很多問題時,中國的數據相對海外都會呈現明顯的差異。於是我們特地把中美兩個互聯網TOP 2國家的情況單獨來做比較。
1)被攻擊公司類型
中國黑客明顯以遊戲公司目標為主,具有極明顯的變現傾向,由於國內黑產產業化發達,遊戲玩家眾多,因此遊戲業在被攻擊公司中首當其衝。
而美國被攻擊行業則呈現較均衡的情況。2)攻擊來源
絕大多數對中國公司的攻擊都是來自國內,主要由於海外互聯網公司難以進入國內市場,存在市場和語言的雙重隔離,導致連黑客攻擊都自成一脈,以自產自銷為主。相對來說,美國則是全球黑客青睞之地,戰鬥民族俄羅斯人再次戰力爆表。
相對來說,美國則是全球黑客青睞之地,戰鬥民族俄羅斯人再次戰力爆表。5. 主要受影響的行業
1)遊戲行業
遊戲業在盈利能力上整個互聯網可以說是最為可觀,那麼很自然的,遊戲業的地下市場也就吸引了大量的從業人員,併產生了了眾多的變現方案和利益鏈條。遊戲業一直是黑客關注的重點,從盜號木馬到外掛編寫,從打金工作室到私服,從代練到金幣裝備交易。而能直接獲得對方遊戲賬號的撞庫方案自然也成為黑客關注的重中之重,因此,遊戲公司在此類攻擊中首當其衝也是理所當然了。
2)版權行業
隨著書影音類資源的正版化推進,以及帶寬的增長,許多相關資源可以在線付費觀看,當用戶不願意花時間去尋找資源下載電影,但願意花低得多的費用買一個高級會員賬號來使用時,相關的賬號也就變得具有變現價值。
3)社交行業
社交網站的灰色生意主要包括並不限於以下幾類:
刷粉、刷贊、刷榜、刷觀看
私信廣告
色情社交
詐騙
隨著社交平颱風控策略的不斷升級,因此社交平台老賬號(註冊時間較長)便成了某些圈內炙手可熱的資源,比如某著名陌生人社交APP老號市場價值在30元以上。掌握這些資源便意味著被封殺的可能性降低,意味著以上生意的相對持續性。人多的地方就意味著生意,因此,社交賬號從來都是黑產重要目標。
三、攻擊方法 & 主流防控
通過對海量攻擊行為的監控和分析,我們可以看到黑客的攻擊方法,同樣也能看到廠商防控措施。
1. 黑客如何攻擊
1)判斷賬號是否存在
註冊介面快速驗證
許多網站在填寫註冊信息時,會通過AJAX對賬戶名是否可用做實時驗證,如果可用便在頁面上打個勾。該介面大量被黑客用來判斷某用戶名是否有在網站註冊。
登陸介面返回信息
部分網站如果賬號密碼錯誤會返回敏感信息暴露賬號存在情況。例如返回提示「賬號不存在」或「密碼錯誤」,便能讓黑客判斷賬號是否存在。此處我們推薦的返回信息是「賬號或密碼錯誤」。
找回密碼介面
部分網站在找回密碼的流程中,填寫手機號或郵箱後會有一次帶提示信息的再確認,此處也常常被黑客用來判斷賬戶存在與否。
2)業務安全的集中管理問題突出
從我們的統計數據來看,許多網站的主登陸口往往有比較嚴格的審計措施,會根據登陸IP、頻率等觸發驗證碼或封IP。但當公司業務增多,安全管理複雜度大幅增加,不同子站各用一套自己登陸驗證,缺乏統一登陸介面的問題便暴露出來。比如某個子產品的登陸功能,或者公司網站掛個論壇,往往會走單獨的登陸介面,當這些邊緣業務介面沒有接入審計功能,便成為黑客攻擊的溫床。
從我們捕捉到的攻擊數據中可以看到很多此情況,黑客被對抗多次後都能再次發現新的毫無風控邏輯的撞庫介面,甚至有的登陸介面公司安全部門都不知道其存在。所謂千里之堤,毀於蟻穴。儘管主業務做了大量的防禦措施,當邊緣業務出現疏忽時,一切措施便形同虛設。
3)攻擊效果
眾所周知撞庫類風險屬於常規風險,其核心往往不在於如何完全避免,而更多考慮的是攻防對抗的成本提升。從對大量的撞庫攻擊監控來分析,我們對黑產撞庫有效率和成功率進行統計,我們會發現一個事實,長期的撞庫攻擊會帶來質的傷害,行業內現如今經常會爆出某廠商被拖庫的新聞,但大部分最終也就是撞庫的數據曝光刺激了媒體的神經:
撞庫有效率和成功率
根據對大量黑產撞庫數據的統計,能夠成功繞過風控策略的攻擊佔總攻擊量的83%,撞庫成功率則在0.4%左右浮動。
2. 主流防控
說完黑客的攻擊方法,再來看看廠商是如何防控的。
1)主要防護措施
封IP
根據黑IP庫或同IP發起的請求次數、密碼錯誤率等決定是否一段時間內禁止該IP的請求。
驗證碼
最廣泛部署的方案,有很多類型,例如字母扭曲、漢字識別、移動滑塊、圖像選擇。普通廠商直接接入驗證碼,有後台分析能力的則在後台審計出現異常時才觸發驗證碼以提升普通用戶體驗。
簡訊驗證
建立在手機和手機號成本上的真人認證。
行為聚集
根據用戶登錄過程行為判斷,例如頁面停留時間、滑鼠焦點、頁面訪問流程、csrf-token等。
設備聚集
通過客戶端尤其是手機客戶端,上報許多機器信息,識別是否存在偽造設備情況。
本質上,以上所有方案其實都是為了解決一件事情,就是判斷電腦的對面是一個真實的人。
3. 主流防控的繞過
面對暴利,沒有人願意坐以待斃。和廠商一樣,黑產人員面對廠商的對抗,不但積極主動,甚至做到了平台化、鏈條化來進行反對抗。從我們監測到的攻擊行為來看,撞庫黑客在各個維度都有完善的方案和廠商進行對抗,主要從下面幾個方面:
1)低安全性邊緣業務或新業務
面對嚴格的防護邏輯,最快的辦法就是尋找其自身的漏洞。一旦發現非嚴格審計的的邊緣業務介面,便繞過所有的防護措施,如入無人之境。
廠商往往在這個維度缺乏有效的監控,因為本來就是被安全部門所忽視的介面,但當我們從第三方視角對黑產流量進行大數據分析時,這種伎倆變得無所遁形,何人何時開始對新介面進行攻擊都在我們的監控範圍內,可以極大增強廠商對該類漏洞的反應速度。
2)IP對抗
IP地址作為互聯網的緊缺資源,一直是廠商最重要的風控方案之一,如何獲得大量IP出口也是黑產業者最先需要解決的問題。其實不僅僅是黑產,許多爬蟲、搜索引擎、機器人程序都有類似需求。我們通過長期對大量撞庫攻擊的來源進行反向追蹤,發現撞庫攻擊獲取IP資源的方法主要有以下幾類:
掃描代理
免費方案,通過全網掃描常見的代理伺服器埠,收集可用的代理IP地址,自行管理維護,但成本高、效率低。
付費代理
代理商通過或掃描或搭建或交換的方式,提供全球的代理伺服器,有效降低自行收集代理的管理成本。
付費VPN
和付費代理類似,只是技術不同。
撥號VPS
過去的兩年里,我們監控到國內有一類新的IP獲取方案逐漸被黑產應用,叫做撥號VPS或動態VPS。該類VPS也是一台虛擬伺服器,但需要通過ADSL撥號才能上網,於是便擁有了整個城市的大量可用IP。聽起來似乎並沒有什麼特別,你我家的ADSL也能做到,但依舊是大力出奇蹟,相關供應商做到了打通全國多省市的撥號方法,俗稱混撥。實現了在一台VPS中使用一個賬號快速隨機切換近百城市的ADSL線路撥入互聯網,對很多企業的風控部門造成巨大壓力。
實際使用效果如下圖:
3)驗證碼對抗
作為一種最簡單、應用最廣的自動化圖靈測試方案,十多年來,大量公司和團隊不斷嘗試自動化破解,以至於驗證碼也不斷升級變得人類也要多次才能識別。然而在中國,黑產創業者們依賴低成本人力,對無法通過技術識別的驗證碼直接使用了最暴力的方式——人工打碼來進行破解,並傳播到了大量第三世界國家,導致全球有近百萬人以此為生。因此衍生了黑產供應商平台之一:打碼平台。
從我們了解到的數據來看,打碼工人平均每碼收入1-2分錢,熟練工每分鐘能打碼20個左右,每小時收入在10-15元。
4)簡訊驗證對抗
當網站開發人員習慣以自己的視角來考慮安全對抗方案,認為接收簡訊依賴於手機和辦卡的成本,出人意料的創新總是讓人防不勝防。看下面這個設備,該設備俗稱「貓池」,能統一管理256張SIM卡,再通過軟體將收到的驗證碼通過api介面對外提供查詢服務。並由此衍生了黑產供應商另一個細分市場:接碼平台。
黑產業者從該類平台使用不同手機號接收一個驗證碼只需要付費1-3毛錢,業務量可以參考2016年11月被公安查處的愛碼平台案,下圖是現場照片,僅該接碼平台就擁有700多萬手機黑卡用來進行驗證碼接收業務,其中大部分是黑產相關,有興趣可以自行搜索案件詳情。5)模模擬人行為
在規避後台的行為分析模型方面,黑客提交的請求早已不是僅僅填一個User-Agent就完事,從對黑客進行撞庫攻擊的流程來分析,為了規避後台分析,不少黑客的流程已經包括並不限於:
完整的頁面打開流程,而不是僅僅向關鍵介面提交請求
csrf-token 等參數完備
隨機的頁面停留時間
http header 嚴格遵守瀏覽器特徵
隨機化各種看起來不重要的參數
4. 主流風控的常見問題
從我們對各種撞庫攻擊的效果分析來看,各廠商主要存在和面臨如下問題:
check-user-exist 類介面缺失風控策略
登錄失敗時登陸介面返回敏感信息
帳號體系缺乏統一管理機制,經常有新業務或邊緣業務繞過風控方案
基於IP、簡訊、驗證碼的驗證變成了和專業平台對抗
四、總結和展望
1. 攻擊新趨勢
1)撞庫逐漸取代盜號成為主流攻擊方式
從我們持續對地下黑產的監控和挖掘來看,由於各種泄漏資料庫的曝光,撞庫的流量佔比在近年來明顯增長。另一方面,由於操作系統和瀏覽器安全性的持續提升,通過下載或網頁掛馬盜號的方式逐漸被撞庫攻擊取代,撞庫已經成為獲取用戶賬號的主流攻擊方式。
2)黑產資源平台化
相對早期黑客的單打獨鬥,如今黑產更像一個航母戰鬥群,黑客主要以基礎賬號庫為核心資源,僅提供戰鬥力輸出但防禦很低,其它對抗類資源都由各種輔助資源平台直接提供,導致廠商對抗對象由黑客變成了各種資源平台,各種肉盾導致風控審計越來越困難,其中資源平台包括並不限於以下幾類:
代理提供商
VPN提供商
撥號VPS供應商
簡訊接碼平台
驗證碼打碼平台
……
3)撥號VPS發展迅速
相對比較成熟的代理伺服器方案,撥號VPS尤其是混撥VPS提供了更大的IP池和國內隨機化的地理位置,可以預見,該技術將進一步在黑產中應用廣泛。
2. 新風控角度的思考
1)核心賬號資源對抗
從對撞庫的攻防數據來看,目前大多數的撞庫相關風控對抗其實是發生在廠商對黑產戰鬥群的各種護衛艦身上,並且由於對方的不同資源平台往往專註一個點不斷優化,越打越強,導致風控措施效果也越來越差,反而在針對黑客核心資源的已泄漏賬號庫上缺乏有效對抗方案。
試想,如果能從黑客進行撞庫嘗試使用的賬號密碼上發現這屬於外網已泄漏賬號,直接觸發風控邏輯,那麼便繞過了黑客所有的外圍防護手段,直接從對方無法迴避的點進行風控對抗。
讓人不由想起《笑傲江湖》中令狐沖和沖虛道長比劍,面對毫無破綻的太極劍法,唯有從圓形劍光中心揮劍直入,看似最沒有破綻的地方反而是其破綻所在。
道理說起來非常簡單,但這種對抗方式是建立在比黑產掌握更龐大的泄漏數據基礎上才有可能實現,除了搜集網上泄漏的數據外,必須有其它更實時有效方案進行數據補充。
2)黑產大數據監控
基於長期對惡意流量的研究,我們通過不同方案對多種黑產流量進行持續監控,每天能捕獲數億條原始攻擊請求,在撞庫方面,保持日均數百萬的原始賬號庫積累。通過這種方式,為賬號類風控對抗提供了新的維度,並能提供持續的有力保障。
獨孤九劍為何獨步天下,其中「破劍式」雖只一式,但其中於天下各門各派劍法要義兼收並蓄,以天下劍法為根基,堪破種種變化。這正是典型大數據的思維。數據面前,了無秘密!基於對黑產撞庫攻擊核心賬號資源的持續監控,或許才是賬號風控中「破撞式」的真正心法所在。
威脅獵人(ThreatHunter)團隊,專註安全多年,致力於為互聯網公司解決業務安全風控問題。團隊第一個產品「帳號寶」(帳號寶),全國首家風險賬號檢測即服務平台(CADaaS),致力於解決撞庫風險和高危帳號審計。
推薦閱讀:
※深度解析刷機江湖裡的掘金黑產
※社交平台上的桃色陷阱:殭屍網路 SIREN 侵襲Twitter
※互聯網上有哪些不為人知的賺錢套路?
※李向陽專題 | 螺紋向上修復貼水背後的邏輯框架分析
※我猜想我可能又發現了一個黑產團隊了!