對(duì)于有著很大生態(tài)集團(tuán)產(chǎn)業(yè)的阿里來(lái)說(shuō)，很容易成為黑產(chǎn)的攻擊目標(biāo)，其所面臨的攻擊的類(lèi)型也非常繁多，通過(guò)攻擊溯源，可以有效降低同類(lèi)型攻擊共計(jì)事件。2016年烏云白帽大會(huì)上，阿里安全威脅情報(bào)中心的安全專(zhuān)家instruder向大家分享了一些互聯(lián)網(wǎng)溯源能力建設(shè)的經(jīng)驗(yàn)與心得。以下是演講內(nèi)容整理：

阿里現(xiàn)在的溯源能力建設(shè)主要有兩個(gè)方面，

線(xiàn)上防控（事發(fā)前的預(yù)防和事中的阻止），

線(xiàn)下打擊（聯(lián)合公安，實(shí)人打擊和震懾）。

instruder認(rèn)為，

攻擊溯源能力建設(shè)的核心，是攻擊者從發(fā)起攻擊的環(huán)境起點(diǎn)到攻擊中所使用的各種手段、資源、鏈路以及最后到達(dá)攻擊目標(biāo)后的“完整鏈路數(shù)據(jù)掌握和獲取能力”，

就是說(shuō)不管攻擊者有多少路徑，如果都能掌握，就可以順利的反推回來(lái)這個(gè)攻擊者是誰(shuí)。

在這方面除了企業(yè)內(nèi)部數(shù)據(jù)可以利用外，還有很大一部分是來(lái)自互聯(lián)網(wǎng)的數(shù)據(jù)，可以幫助實(shí)現(xiàn)“信息探測(cè)”、“信息拓展”、“身份鑒定”和“互聯(lián)網(wǎng)活動(dòng)資源收集”。

定向信息探測(cè)

在定向信息探測(cè)方面，主要是通過(guò)可獲取的信息轉(zhuǎn)換到IP，做身份關(guān)聯(lián)，有以下幾種情況：

QQ賬戶(hù)：

大部分黑產(chǎn)在qq平臺(tái)上達(dá)成交易，5位的qq號(hào)有很大一部分是做黑產(chǎn)的，通過(guò)QQ識(shí)別后，轉(zhuǎn)換為IP信息，對(duì)攻擊者進(jìn)行定位；

強(qiáng)身份信息：

通過(guò)其發(fā)布的釣魚(yú)網(wǎng)站頁(yè)面，獲取到攻擊者的社交賬號(hào)信息或引導(dǎo)攻擊者訪(fǎng)問(wèn)QQ空間，來(lái)獲取強(qiáng)身份信息；

手機(jī)號(hào)：

通過(guò)所使用網(wǎng)絡(luò)的運(yùn)營(yíng)商收費(fèi)接口來(lái)獲取，通常運(yùn)營(yíng)行還有提供此類(lèi)數(shù)據(jù)的服務(wù)；

網(wǎng)絡(luò)代理或VPN：

通常很容易能定位到使用這些工具的真實(shí)IP；

信息拓展

在信息拓展方面包括：

社工庫(kù)：

可以從社工庫(kù)中清理出大量的信息，如IP、手機(jī)號(hào)、社交賬號(hào)等。除了市面上的一小部分社工庫(kù)，黑產(chǎn)也在建立全國(guó)身份的一個(gè)關(guān)聯(lián)關(guān)系；

同人QQ：

即，一個(gè)人同時(shí)有兩個(gè)或多個(gè)QQ號(hào)，QQ的資料信息通常很豐富，可以通過(guò)QQ號(hào)查到手機(jī)號(hào)。黑產(chǎn)也有類(lèi)似的服務(wù)，不過(guò)是通過(guò)手機(jī)號(hào)可以查到QQ號(hào)，價(jià)格是25元每次；

身份鑒定

在身份鑒定方面，包括：

注冊(cè)站點(diǎn)

用手機(jī)號(hào)或email是否注冊(cè)某一領(lǐng)域相關(guān)站點(diǎn)以判斷是否從事某一特定行業(yè)，

或通過(guò)一些對(duì)方在招聘網(wǎng)站的公開(kāi)簡(jiǎn)歷信息，也能知道他大概的從業(yè)經(jīng)歷；

社交賬號(hào)：

如，通過(guò)搜索QQ號(hào)，可以查到曾經(jīng)創(chuàng)建過(guò)相關(guān)的群信息，根據(jù)群信息可以判斷這個(gè)人的身份。

高發(fā)地域

對(duì)于攻擊的行為特征，會(huì)做一些地域上的歸類(lèi)，可以通過(guò)攻擊者的所在地判斷其所從事的黑產(chǎn)方向，準(zhǔn)確率基本上可以達(dá)到百分之百：

湖南婁底——icloud詐騙

深圳——跨境詐騙

福建龍巖——信息泄露與釣魚(yú)黑產(chǎn)

海南瞻洲——機(jī)票改簽與虛假中獎(jiǎng)

黑客也是需要成長(zhǎng)的，剛開(kāi)始是個(gè)小黑，然后慢慢進(jìn)入黑產(chǎn)行業(yè)，他肯定會(huì)在互聯(lián)網(wǎng)上留下很多痕跡，通過(guò)交易平臺(tái)、論壇、社交平臺(tái)等數(shù)據(jù)的整合，就可以對(duì)他的檔案進(jìn)行一步一步的刻畫(huà)。但，黑產(chǎn)同樣壓在進(jìn)行溯源對(duì)抗升級(jí)。

通常大家普通的網(wǎng)絡(luò)環(huán)境下上網(wǎng)，如家里，或者公司里。但現(xiàn)在，隨著對(duì)黑產(chǎn)打擊的升級(jí)，黑客會(huì)跑到深山老林里從事攻擊活動(dòng)，在山上搭個(gè)帳篷，用無(wú)線(xiàn)網(wǎng)卡，或者無(wú)人機(jī)架設(shè)WiFi來(lái)加大定位難度。如此一來(lái)，抓捕難度也會(huì)變大。在線(xiàn)上進(jìn)行溝通時(shí)，也會(huì)選擇一些可以即時(shí)銷(xiāo)毀信息的方式。

在從事交易活動(dòng)時(shí)，黑產(chǎn)也會(huì)采取一些資金匿名的對(duì)抗措施。最早使用銀行卡，支付寶做一些資金的交易，現(xiàn)在用到各種虛擬資產(chǎn)變現(xiàn)的一些方式，通過(guò)游戲點(diǎn)卡或虛擬貨幣（比特幣）來(lái)變現(xiàn)，或通過(guò)充話(huà)費(fèi)的形式進(jìn)行提現(xiàn)，同時(shí)還有專(zhuān)人在做黑產(chǎn)網(wǎng)站的安全加固。

對(duì)于黑產(chǎn)的對(duì)抗升級(jí)，也會(huì)提高相關(guān)溯源能力建設(shè)。不管怎樣，關(guān)鍵鏈路信息的獲取與掌握是溯源能力的核心，企業(yè)也可以利用黑產(chǎn)的攻擊思路反向推演，通過(guò)拼湊相關(guān)信息進(jìn)行追蹤。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。