本文梳理了黑產IP資源的進化史,並着重闡述了威脅獵人對秒撥技術和資源相關研究,以及如何突破秒撥IP的識別問題。文章由威脅獵人(ID:ThreatHunter)原創發佈,並受法律保護。如需轉載、摘編或利用其它方式使用本報告文字或者觀點的, 請與我們聯繫。違反上述聲明者,將追究其相關法律責任。
前言
IP,作爲互聯網空間中最基礎的身份標識,一直以來都是黑產與甲方爭奪對抗最激烈的***點。
黑產技術迭代進化的速度令人咋舌,但是不少甲方卻對黑產的研究和認知依舊停留在早些年的初級階段。黑產發展迅速,而甲方對黑產的瞭解卻停滯不前,必然造成在***過程中的信息不對成,防禦難度加大,防守響應滯後,效率和效果大打折扣。
舉個例子,對於黑產而言,”秒撥“早已不是一個新詞,秒撥IP資源早已成爲當下主流的黑產IP資源,可是,威脅獵人在與多個甲方客戶溝通交流的過程中發現,很多在甲方做業務安全的同學對秒撥的概念一知半解,甚至完全不瞭解。
這個現象值得反思,秒撥在2014年前後已經是成熟的IP資源解決方案,到現在2019年,被廣泛用於批量註冊、投票、刷量等短時間內需要大量IP資源的風險場景,並且由於秒撥IP難以識別的特性,對當前互聯網業務安全場景已造成巨大危害,但是很多安全行業的同學居然覺得這個東西很新鮮。
不論是在IP這個對抗點,還是在手機號、設備指紋、風險流量和行爲等其他對抗點上,傳統的【先被***】,然後【事後發現】,最後【補充規則】的被動式的對抗方式已經完全無法適應當前與黑產的***節奏,研究黑產、瞭解黑產、掌握黑產的最新技術和動向,才能把控更多主動權。
想打贏業務安全的戰爭,必須由”亡羊補牢“式的***形態向”未雨綢繆“式的***形態轉型。
下文梳理了黑產IP資源的進化史,並着重闡述了威脅獵人對秒撥技術和資源相關研究。
秒撥的前世今生
自從甲方開始在IP層面根據一些簡單的規則(如設定單位時間內IP的訪問次數閾值、限制觸發特定行爲的IP等)做風控起,就正式向黑產在IP戰場上宣戰。
早期黑產主要是通過代理IP的方式繞過甲方的風控規則,售賣代理IP的網站便如雨後春筍般涌現。這些網站收集代理IP的方式主要利用高性能的服務器對全網進行掃描,掃描開放代理服務的服務器,或者是直接爬取其他代理網站的數據,收錄有效代理IP和端口,以免費或者付費的形式交付給用戶。此方式最大的弊端是代理IP的有效性和數量無法把控,代理網站無法把控,用戶更無法把控,這就非常影響黑產做自動化***的效率。也有黑產利用×××繞過甲方風控,×××相對穩定,但是成本更高且有效IP數量有限,並不適用於黑產大規模批量化的***。
全網的代理IP數量相對有限,且早期代理服務一般都架設在數據中心的服務器上,不少甲方慢慢開始積累代理IP池,進一步打壓了黑產使用代理IP的效果。
------------------------------------分割線--------------------------------------
不少做業務安全的同學對黑產IP資源的認知就停留在了此處。
------------------------------------分割線--------------------------------------
然而不甘心的黑產開始做資源升級,研發出秒撥的技術。
通俗的講,秒撥的底層思路就是利用國內家用寬帶撥號上網(PPPoE)的原理,每一次斷線重連就會獲取一個新的IP。與時俱進的黑產掌握大量寬帶線路資源,利用虛擬化和雲計算的技術整體打包成了雲服務,並利用ROS(軟路由)對虛擬主機以及寬帶資源做統一調配和管理。這種雲服務交付給黑產用戶其實就是雲主機(俗稱”秒撥機“),黑產用戶可安裝Windows或Linux系統,通過RDP、VNC或者SSH連接,部署自動斷線重連切換IP以及***的工具後,便可發起***。
秒撥機web管理頁面截圖:
秒撥機桌面以及某撥號軟件截圖(黑產用戶可在秒級切換IP):
上文中提到了,秒撥的底層思路就是利用國內家用寬帶撥號上網(PPPoE)的原理,每一次斷線重連就會獲取一個新的IP。這在與甲方的IP策略對抗層面,給予秒撥兩個天然的優勢:
IP池巨大:假設某秒波機上的寬帶資源屬於XX地區電信運營商,那麼該秒撥機可撥到整個XX地區電信IP池中的IP,少則十萬量級,多則百萬量級;
秒撥IP難以識別:因爲秒撥IP和正常用戶IP取自同一個IP池,秒撥IP的使用週期(通常在秒級或分鐘級)結束後,大概率會流轉到正常用戶手中,所以區分秒撥IP和正常用戶IP難度很大。
這兩個天然的優勢也是秒撥是當前黑產主流IP資源的核心原因。
一臺秒撥機上發現大量註冊機以及其他黑產工具和資源:
此外,黑產對秒撥還做了升級,稱爲”混撥“,即黑產把多個省市地區的秒撥資源打通,實現在單臺秒撥機上就可以撥到全國上百個地區的IP資源。一臺混撥機,成本低至48元/月。
我們對市面上提供秒撥機的主流平臺做了統計,其提供的秒撥IP可覆蓋全國所有約300個城市。
黑產秒撥IP資源分佈前十的省份爲:
另外,黑產秒撥IP資源運營商比例分別爲:
黑產還在不斷擴大覆蓋其秒撥IP資源的地域覆蓋範圍,甚至部分平臺也可以提供美國、韓國。香港等非大陸IP資源。
另外,前文中提到過,早期黑產收集代理IP的方式是全網掃描,可用性無法保證。其實黑產早已把秒撥的技術應用於代理IP,黑產利用秒撥技術積蓄代理IP池,再提供給下游黑產用戶,並且此類代理IP繼承了秒撥IP的優勢,一是IP池巨大,二是難以識別。秒撥型代理IP常見的實現方式是動態轉發,如下圖所示:
根據我們的情報監測平臺監測數據顯示,當前黑產使用的代理IP資源中,秒撥型代理IP佔74.56%,傳統型代理IP僅佔25.44%。甲方如果還想以積累IP池的傳統方式與黑產對抗,必然會引入大量誤報。
此外,使用代理平臺提供的Windows/Android/iOS客戶端,通過PPTP/LT2P等×××協議,可把黑產終端直接變成“秒撥機”,大大提高了黑產作惡的便捷性。
寫在最後
總之,秒撥已然成爲支撐黑產與甲方在IP層面***的核心技術,也是當下業務安全行業的痛點之一。文中提到秒撥的兩個天然優勢,對於黑產而言,是兩道天然的屏障,但是給甲方在風險IP識別和判定上帶來極大的難度。
當前形勢下與黑產在IP層面上的對抗,依靠傳統地積累IP威脅情報庫的方式,根本無法直接應用和落地到業務側,典型的使用效果是,對黑IP的檢出率很高,對正常用戶IP的誤判率也很高。
所以,識別風險IP的核心依據應該是,該IP是否當下被黑產持有,IP的黑產使用週期和時間有效性這兩個指標尤爲重要,尤其是對於像家庭寬帶IP、數據中心主機IP這種“非共享型”的IP。針對基站、專用出口等“共享型”的IP,由於單個IP背後會有大量用戶,風控閾值應該相對更寬鬆,但是如果能準確識別IP是否當下被黑產使用,也能提供很重要的參考價值。
威脅獵人長期致力於黑產IP資源的研究,旨在幫助甲方解決業務安全場景下風險IP的識別問題,並於近日實現突破,通過對黑產ROS秒撥節點的布控,可實時監控和收集黑產當下使用的秒撥IP。在下一篇文章中,我們將剖析秒撥IP識別技術在實際案例中的應用,並闡釋其中的技術原理,盡情期待~