對于有著很大生態(tài)集團產(chǎn)業(yè)的阿里來說，很容易成為黑產(chǎn)的攻擊目標(biāo)，其所面臨的攻擊的類型也非常繁多，通過攻擊溯源，可以有效降低同類型攻擊共計事件。2016年烏云白帽大會上，阿里安全威脅情報中心的安全專家instruder向大家分享了一些互聯(lián)網(wǎng)溯源能力建設(shè)的經(jīng)驗與心得。以下是演講內(nèi)容整理：

阿里現(xiàn)在的溯源能力建設(shè)主要有兩個方面，

線上防控（事發(fā)前的預(yù)防和事中的阻止），

線下打擊（聯(lián)合公安，實人打擊和震懾）。

instruder認(rèn)為，

攻擊溯源能力建設(shè)的核心，是攻擊者從發(fā)起攻擊的環(huán)境起點到攻擊中所使用的各種手段、資源、鏈路以及最后到達(dá)攻擊目標(biāo)后的“完整鏈路數(shù)據(jù)掌握和獲取能力”，

就是說不管攻擊者有多少路徑，如果都能掌握，就可以順利的反推回來這個攻擊者是誰。

在這方面除了企業(yè)內(nèi)部數(shù)據(jù)可以利用外，還有很大一部分是來自互聯(lián)網(wǎng)的數(shù)據(jù)，可以幫助實現(xiàn)“信息探測”、“信息拓展”、“身份鑒定”和“互聯(lián)網(wǎng)活動資源收集”。

定向信息探測

在定向信息探測方面，主要是通過可獲取的信息轉(zhuǎn)換到IP，做身份關(guān)聯(lián)，有以下幾種情況：

QQ賬戶：

大部分黑產(chǎn)在qq平臺上達(dá)成交易，5位的qq號有很大一部分是做黑產(chǎn)的，通過QQ識別后，轉(zhuǎn)換為IP信息，對攻擊者進行定位；

強身份信息：

通過其發(fā)布的釣魚網(wǎng)站頁面，獲取到攻擊者的社交賬號信息或引導(dǎo)攻擊者訪問QQ空間，來獲取強身份信息；

手機號：

通過所使用網(wǎng)絡(luò)的運營商收費接口來獲取，通常運營行還有提供此類數(shù)據(jù)的服務(wù)；

網(wǎng)絡(luò)代理或VPN：

通常很容易能定位到使用這些工具的真實IP；

信息拓展

在信息拓展方面包括：

社工庫：

可以從社工庫中清理出大量的信息，如IP、手機號、社交賬號等。除了市面上的一小部分社工庫，黑產(chǎn)也在建立全國身份的一個關(guān)聯(lián)關(guān)系；

同人QQ：

即，一個人同時有兩個或多個QQ號，QQ的資料信息通常很豐富，可以通過QQ號查到手機號。黑產(chǎn)也有類似的服務(wù)，不過是通過手機號可以查到QQ號，價格是25元每次；

身份鑒定

在身份鑒定方面，包括：

注冊站點

用手機號或email是否注冊某一領(lǐng)域相關(guān)站點以判斷是否從事某一特定行業(yè)，

或通過一些對方在招聘網(wǎng)站的公開簡歷信息，也能知道他大概的從業(yè)經(jīng)歷；

社交賬號：

如，通過搜索QQ號，可以查到曾經(jīng)創(chuàng)建過相關(guān)的群信息，根據(jù)群信息可以判斷這個人的身份。

高發(fā)地域

對于攻擊的行為特征，會做一些地域上的歸類，可以通過攻擊者的所在地判斷其所從事的黑產(chǎn)方向，準(zhǔn)確率基本上可以達(dá)到百分之百：

湖南婁底——icloud詐騙

深圳——跨境詐騙

福建龍巖——信息泄露與釣魚黑產(chǎn)

海南瞻洲——機票改簽與虛假中獎

黑客也是需要成長的，剛開始是個小黑，然后慢慢進入黑產(chǎn)行業(yè)，他肯定會在互聯(lián)網(wǎng)上留下很多痕跡，通過交易平臺、論壇、社交平臺等數(shù)據(jù)的整合，就可以對他的檔案進行一步一步的刻畫。但，黑產(chǎn)同樣壓在進行溯源對抗升級。

通常大家普通的網(wǎng)絡(luò)環(huán)境下上網(wǎng)，如家里，或者公司里。但現(xiàn)在，隨著對黑產(chǎn)打擊的升級，黑客會跑到深山老林里從事攻擊活動，在山上搭個帳篷，用無線網(wǎng)卡，或者無人機架設(shè)WiFi來加大定位難度。如此一來，抓捕難度也會變大。在線上進行溝通時，也會選擇一些可以即時銷毀信息的方式。

在從事交易活動時，黑產(chǎn)也會采取一些資金匿名的對抗措施。最早使用銀行卡，支付寶做一些資金的交易，現(xiàn)在用到各種虛擬資產(chǎn)變現(xiàn)的一些方式，通過游戲點卡或虛擬貨幣（比特幣）來變現(xiàn)，或通過充話費的形式進行提現(xiàn)，同時還有專人在做黑產(chǎn)網(wǎng)站的安全加固。

對于黑產(chǎn)的對抗升級，也會提高相關(guān)溯源能力建設(shè)。不管怎樣，關(guān)鍵鏈路信息的獲取與掌握是溯源能力的核心，企業(yè)也可以利用黑產(chǎn)的攻擊思路反向推演，通過拼湊相關(guān)信息進行追蹤。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。