阿里instruder：小议互联网溯源能力建设

对于有着很大生态集团产业的阿里来说，很容易成为黑产的攻击目标，其所面临的攻击的类型也非常繁多，通过攻击溯源，可以有效降低同类型攻击共计事件。2016年乌云白帽大会上，阿里安全威胁情报中心的安全专家instruder向大家分享了一些互联网溯源能力建设的经验与心得。以下是演讲内容整理：

阿里现在的溯源能力建设主要有两个方面，

线上防控（事发前的预防和事中的阻止），

线下打击（联合公安，实人打击和震慑）。

instruder认为，

攻击溯源能力建设的核心，是攻击者从发起攻击的环境起点到攻击中所使用的各种手段、资源、链路以及最后到达攻击目标后的“完整链路数据掌握和获取能力”，

就是说不管攻击者有多少路径，如果都能掌握，就可以顺利的反推回来这个攻击者是谁。

在这方面除了企业内部数据可以利用外，还有很大一部分是来自互联网的数据，可以帮助实现“信息探测”、“信息拓展”、“身份鉴定”和“互联网活动资源收集”。

定向信息探测

在定向信息探测方面，主要是通过可获取的信息转换到IP，做身份关联，有以下几种情况：

QQ账户：

大部分黑产在qq平台上达成交易，5位的qq号有很大一部分是做黑产的，通过QQ识别后，转换为IP信息，对攻击者进行定位；

强身份信息：

通过其发布的钓鱼网站页面，获取到攻击者的社交账号信息或引导攻击者访问QQ空间，来获取强身份信息；

手机号：

通过所使用网络的运营商收费接口来获取，通常运营行还有提供此类数据的服务；

网络代理或VPN：

通常很容易能定位到使用这些工具的真实IP；

信息拓展

在信息拓展方面包括：

社工库：

可以从社工库中清理出大量的信息，如IP、手机号、社交账号等。除了市面上的一小部分社工库，黑产也在建立全国身份的一个关联关系；

同人QQ：

即，一个人同时有两个或多个QQ号，QQ的资料信息通常很丰富，可以通过QQ号查到手机号。黑产也有类似的服务，不过是通过手机号可以查到QQ号，价格是25元每次；

身份鉴定

在身份鉴定方面，包括：

注册站点

用手机号或email是否注册某一领域相关站点以判断是否从事某一特定行业，

或通过一些对方在招聘网站的公开简历信息，也能知道他大概的从业经历；

社交账号：

如，通过搜索QQ号，可以查到曾经创建过相关的群信息，根据群信息可以判断这个人的身份。

高发地域

对于攻击的行为特征，会做一些地域上的归类，可以通过攻击者的所在地判断其所从事的黑产方向，准确率基本上可以达到百分之百：

湖南娄底——icloud诈骗

深圳——跨境诈骗

福建龙岩——信息泄露与钓鱼黑产

海南瞻洲——机票改签与虚假中奖

黑客也是需要成长的，刚开始是个小黑，然后慢慢进入黑产行业，他肯定会在互联网上留下很多痕迹，通过交易平台、论坛、社交平台等数据的整合，就可以对他的档案进行一步一步的刻画。但，黑产同样压在进行溯源对抗升级。

通常大家普通的网络环境下上网，如家里，或者公司里。但现在，随着对黑产打击的升级，黑客会跑到深山老林里从事攻击活动，在山上搭个帐篷，用无线网卡，或者无人机架设WiFi来加大定位难度。如此一来，抓捕难度也会变大。在线上进行沟通时，也会选择一些可以即时销毁信息的方式。

在从事交易活动时，黑产也会采取一些资金匿名的对抗措施。最早使用银行卡，支付宝做一些资金的交易，现在用到各种虚拟资产变现的一些方式，通过游戏点卡或虚拟货币（比特币）来变现，或通过充话费的形式进行提现，同时还有专人在做黑产网站的安全加固。

对于黑产的对抗升级，也会提高相关溯源能力建设。不管怎样，关键链路信息的获取与掌握是溯源能力的核心，企业也可以利用黑产的攻击思路反向推演，通过拼凑相关信息进行追踪。

雷峰网原创文章，未经授权禁止转载。详情见转载须知。