阿里现在的溯源能力建设主要有两个方面,
线上防控(事发前的预防和事中的阻止),
线下打击(联合公安,实人打击和震慑)。
instruder认为,
攻击溯源能力建设的核心,是攻击者从发起攻击的环境起点到攻击中所使用的各种手段、资源、链路以及最后到达攻击目标后的“完整链路数据掌握和获取能力”.
就是说不管攻击者有多少路径,如果都能掌握,就可以顺利的反推回来这个攻击者是谁。
在这方面除了企业内部数据可以利用外,还有很大一部分是来自互联网的数据,可以帮助实现“信息探测”、“信息拓展”、“身份鉴定”和“互联网活动资源收集”。
| 定向信息探测
在定向信息探测方面,主要是通过可获取的信息转换到IP,做身份关联,有以下几种情况:
QQ账户:
大部分黑产在qq平台上达成交易,5位的qq号有很大一部分是做黑产的,通过QQ识别后,转换为IP信息,对攻击者进行定位;
强身份信息:
通过其发布的钓鱼网站页面,获取到攻击者的社交账号信息或引导攻击者访问QQ空间,来获取强身份信息;
手机号:
通过所使用网络的运营商收费接口来获取,通常运营行还有提供此类数据的服务;
网络代理或VPN:
通常很容易能定位到使用这些工具的真实IP;
| 信息拓展
在信息拓展方面包括:
社工库:
可以从社工库中清理出大量的信息,如IP、手机号、社交账号等。除了市面上的一小部分社工库,黑产也在建立全国身份的一个关联关系;
联系客服