腾讯的黑灰产对抗实践

4月20日,国家互联网应急中心(CNCERT)发布了《2019年我国互联网网络安全态势综述》报告。对于黑灰产,报告发现:2019年监测到各类网络黑产攻击日均70万次,电商网站、视频直播、棋牌游戏等行业成为网络黑产的主要攻击对象。同时,报告还发现:网络黑产活动专业化、自动化程度不断提升,技术对抗越发激烈。

从某种程度上说,黑灰产是笼罩互联网行业的一片阴影,它已经成为互联网的“毒瘤”。

作为国内知名的互联网企业,腾讯有着海量用户,业务广泛,涉及游戏、社交、电商、直播、音乐、视频等众多领域。其中,像游戏、视频等业务更是黑灰产的重点攻击对象。为了保障业务安全,腾讯依靠旗下庞大的安全团队,在各条业务线上进行黑灰产的研究、对抗和打击工作,积累了丰富的黑灰产对抗实践经验。为进一步深入了解黑灰产,InfoQ记者采访了腾讯安全云鼎实验室的技术专家Karma。

作为一名网络安全人,Karma入行十余年,他是一名全栈安全工程师,曾在多个安全领域从事一线研究。目前,他就职于腾讯安全云鼎实验室,主要负责云安全、威胁情报和黑灰产研究等领域。

黑灰产的现状和活动特点

在他眼中,光鲜亮丽的互联网世界里,各大公司的周围总是环绕着众多随时准备“掠食”的黑灰产从业者,“甚至不乏直接被黑灰产干倒的正规公司”。

Karma 说,“在我们的黑灰产监测系统里,每天能捕获到亿次级恶意网络行为,攻击范围广。可以说,黑灰产本身就是互联网的一块阴影,互联网越发达,阴影也相应的增大。”

而今年以来,情况略微有变。据他透露,今年受疫情影响,整个黑产市场上基础资源的供应有所收缩,并且由于东南亚博彩黑产受疫情影响导致的连锁效应,以及过去一年国家加大打击力度,“我们观测到,今年的黑灰产整体是稳中有降的,但这并不代表我们的工作可以松懈,因为等环境一适宜,它们又会卷土重来。”他说。

针对黑灰产的活动,Karma 总结出几个特点:

1. 潜伏:黑灰产从业者们可能为了一年一次的大型活动,长期闷声不响地圈养一大批账号,只为在关键的几天迅速出击,比如每年几次的大型电商活动。

2. 群攻:许多黑灰产攻击单独来看获利并不多,但是从业者会充分发挥“长尾效应”的作用,例如使用一大批账号,通过“人”海战术获得可观的收益,一波操作下来,犹如蝗虫过境。

3. 掠夺:绝大多数黑灰产们并不创造价值,他们多以掠夺为生来获得收益,比如通过创造不公平的环境、降低产品生命周期、影响产品口碑等各种行为。

4. 无下限:黑灰产本质上是非法的,从业者们为获利更是无所不为,例如侵犯个人信息、欺诈、盗窃、破坏公平等无下限的操作。

黑灰产对抗第一步:先搞清 4 大要素

某种意义上,黑灰产就像业务的影子一样,基本不可能“斩尽杀绝”,除非业务也“死掉”。当阳光斜射,影子就变大,唯有烈日高悬时,影子才会变得最小。

“对抗黑灰产也是一样,要想做到烈日高悬,就必须深入研究黑灰产的整个产业链的运作方式。”他说。

如何研究黑灰产?Karma 总结出四个要素:

1. 人:从事该项黑灰产的人,他们是谁?他们聚集在哪里?

2. 资源:从事该项黑灰产需要什么前置资源?从哪里获取?

3. 路径:攻击方法是什么?操作流程是什么样?网络路径是什么样?

4. 变现:黑灰产收益是通过什么方式变现?在哪里变现?

在黑灰产对抗过程中,研究者的挑战在于针对某个黑灰产业链,怎样弄清楚这四大要素(人、资源、路径、变现)。因为只有搞清楚这四大要素,研究者才能拥有全景视角,才能在整个黑灰产业链条上寻找最佳对抗点切入。

近几年,在企业上云的同时,“不法分子”也在上云,企图利用云的高效率服务。于是,我们看到黑灰产开始将阵地转移到云上,滥用云上资产。

据悉,2018 年,腾讯云接到个别用户投诉,有云上用户发现自己部署在云上的内容产品打开后排版混乱,并且被插入了包含赌博、色情和假药等恶意信息的广告。这是 CDN 劫持,因遭受了黑灰产的攻击所致。

原本一个正常的网站,用户点击一个正常的链接,但网页却跳转到不堪入目的色情网站或花花绿绿的赌博页面。这不仅会对个人用户带来诈骗风险,造成经济损失,而且也会对企业造成巨大的声誉损失和用户流失,用户可能因产品体验受损而拒绝再次使用。

针对黑灰产的攻击,腾讯的云安全及黑产对抗打击联合团队在认真的研究和分析后发现,黑产团伙在国家骨干网等关键信息基础设施上进行流量劫持,这种作案手法极其隐蔽,规避了大多数互联网企业的安全策略,而这种链路劫持能够发布任意恶性信息,会对社会稳定造成极大危害。

在这个过程中,联合团队利用技术手段分析黑产团伙的作案手法,并搜集不法分子的作案证据,并且与司法机关紧密配合,最终打掉这个犯罪团伙。

黑灰产对抗的技术侧:风控和人工智能

实际上,在黑灰产的对抗中,风控技术非常重要。Karma 认为,一般来说,好的风控和产品的耦合度是比较高的,需要根据产品特征进行定制,“很少存在一套风控系统适合各个产品线的情况”。

在他看来,风控能力一般分为数据和策略两部分。

数据的来源通常分为三类:

1. 源自黑灰产业链的研究

直接在产业链研究的渠道上获取精准风控数据,比如黑产手机号、黑产出口 IP 等

2. 源自用户恶意行为的分析

针对已知的恶意行为建立模型,筛选出恶意用户的相关数据

3. 源自风险数据的关联分析

在上述两类数据的基础上,进行更大范围的关联分析,圈定更多风险数据。

而在策略方面,“策略需要根据产品具体设计,例如社交、游戏和电商等不同的产品线,它会有不同的风控策略体系。”他说。

除了风控技术,机器学习技术在近几年的蓬勃发展,也给安全领域的实践带来了新思路。

Karma 称,“很多风险行为和正常行为单独来看并没有差别。”举个例子,比如正常用户登录和暴力破解登录,它们本质上其实是同一件事,但是一旦频率出现巨大差异,就区分了正常行为和恶意行为。

“举个通俗的例子,我对女朋友很好,大家觉得我是个好人;但如果我同时有 10 个女朋友,那就成了渣男。”他说。

因此,在类似这种宏观视角的群体行为关系下,人工智能就能发挥很大的作用。通过机器学习建立恶意行为的模型来识别异常的群体性行为,比如区分正常访问和恶意爬虫,区分真人游戏还是外挂脚本,区分正常用户行为还是群控操作。

打击黑灰产的策略手段

在上述内容中,我们从技术层面谈到了打击黑灰产,比如人工智能技术。实际上,除了技术力量,还有一些运营和策略手段可以用来打击黑灰产。

“除技术以外,其实风控能力更多表现在策略上,不同产品线的差别很大。”Karma 说。这里,列举一些思路:

1. 核身策略

它的意思是搞清楚不同账号是否对应了相同的人。最常见的就是不同账号出现了同一绑定的手机号、同一的收货地址、同一的 IP、同一设备的 ID、同一支付 ID、同一历史行为和同一地理位置等,这是最基础的风控规则。

2. 异常用户特征

长期未登录,只参与本次活动;

设备登录过多个账号的用户;

设备 root 用户;

设备中装有特定作弊相关 app 的用户

3. 不同用户出现聚集性特征

同 IP;

同 WiFi 地址;

同地理位置;

连续手机号段;

同样的操作路径、速度;

不同用户出现交叉现象,比如互为好友等情况

……

通过定义大量类似的规则,筛选出可疑风险用户群,在相应的产品或活动策略上进行降权处理,都能较好地降低黑灰产给企业带来的经济或口碑损失。

从大方向上,Karma 将黑灰产分为两大类:“手术刀型”和“狼牙棒型”。

1. 手术刀型:

目标明确,常以点对点精准攻击为主,典型的表现行为比如入侵、诈骗和游戏外挂等。

2. 狼牙棒型:

其特点是没有明确的目标,或者目标非常多,以量取胜。典型的有网络扫描、DDoS、恶意注册、撞库、刷量、薅羊毛、恶意爬虫和各种恶意机器人程序。

打击黑灰产,企业的对策

目前,大部分企业面临的业务安全问题,通常集中在“狼牙棒型”的黑灰产上。Karma 表示,面对产业化、供应链化的黑产团队,攻防对抗将是一场持久战。一般来说,并不存在彻底地打尽黑灰产,“现实情况往往是在成本允许下,将黑灰产占比压到一个比较低的范围”。

那么,在这个基础上,企业要有效的打击黑灰产,最有效的方式是需要了解自身业务存在哪些黑灰产相关的攻击场景,熟悉对方的作恶成本,包括所需的资源、时间、金钱、渠道及收益等。

在业务侧,定位到对方的资源和流量等,予以精准打击。另外,企业也需要想清楚如何建立攻防上的优势,作为主动方,通过低成本的策略提高对方的攻击门槛,例如微信有个辅助注册的策略,正常用户要注册一个新账号很容易找到一个好友辅助,但黑产要批量注册就需要找到大量正常账号,这大幅提高了难度。

黑灰产的发展趋势

从更大的角度,Karma 概括了黑灰产的发展趋势。

1. 以量取胜

目前,市面上大部分黑灰产都采取以量取胜,比如养号、刷量、薅羊毛等。使用这种策略的黑灰产从业者,它们充分利用“长尾效应”,本着“苍蝇腿上也是肉”的原则,把蛋糕做大,未来几年,“这种格局应该都不会有太大变化”。

2. 黑产资源平台化

过去几年,这个趋势已经很明显。在黑灰产领域,有很多需求庞大的基础资源,比如手机号、IP、设备、身份证、银行卡、支付渠道和自动化攻击工具等。各个类型的资源都发展出了专业的供应商,可以按需取用,极大降低了黑灰产从业者的从业门槛。

甚至在更专业的技术领域,例如游戏外挂开发,也形成了类似的供应链,有专门做通信加密的、做登录验证的、做发卡平台的等,作者只需要专注于核心功能。

Karma 表示,从某种程度上说,这和“云计算”的理念是类似的,让用户不用过度关注资源,只需要专注业务逻辑,“让人产生一种魔幻的殊途同归的既视感“。

3. 技术对抗迭代转向资源效率迭代

基于前文提到的资源平台化现象,黑灰产的一个典型变化是,从早期的技术对抗迭代模式,逐渐转向资源效率的迭代。在技术对抗迭代的时代,黑灰产从业者往往通过技术栈来保证自己的优势。

当资源平台化后,黑灰产入行门槛大大降低。生产效率更多是通过资源利用率来提升,例如早期群控系统需要摆满房间的真实手机,后来被手机硬件厂商整合成箱控,一块主板能切割出几十台手机,再后来直接做成云手机的模式,连实体都不需要。

“很明显,这是一种更加优秀合理的供应链模式,只不过供应的是黑灰产,让人颇感唏嘘。”Karma 感叹道!

  • 发表于:
  • 本文为 InfoQ 中文站特供稿件
  • 首发地址https://www.infoq.cn/article/Cr3K6jXAL02v2pbqVeFX
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券