直擊RSAC 2022:看威脅情報如何反網路詐騙

零日情報局發表於2022-06-22


2022年的RSA大會“如何利用威脅情報打擊網路犯罪和網路詐騙”議題中,兩位演講者介紹瞭如何利用威脅情報相關知識應對日益猖獗的網路犯罪,尤其是以獲取經濟利益為目的的網路詐騙犯罪活動。

網路犯罪發展趨勢

網路犯罪呈現手段多樣化、技術專業化、分工精細化、目的明確化等特點。其發展初期主要以色情賭博為主,web時代出現了流量劫持、釣魚網站等、移動時代出現了欺詐簡訊、偽基站、惡意軟體等。當前網路活動平臺已擴充套件電腦、移動端、手機通話、簡訊、物聯網等媒介,網路應用也是呈現爆發式增長,例如網路購物、投資理財、網路交友、生活繳費、政務民生活動,網路犯罪分子也基於網路媒介、業務場景、輿論熱點製造機會,隨之出現了殺豬盤、殺鳥盤、殺魚盤、社工冒充、跑分平臺、網路傳銷、網路刷單、投資理財等新興網路詐騙活動和違法犯罪上下游精細化分工平臺等。


圖片


據不完整統計,網路黑色產業鏈中,2020年僅網路詐騙的“黑色產業”市場規模已高達1100億元。網路犯罪行為已經從簡單單一的網路入侵活動轉變為多元化型別發展的態勢。


如何反網路詐騙犯罪


基於網路詐騙的特點,對域名相關情報(DNS intelligence)的分析可以有效與之對抗。


在RSAC上,兩位演講者分別介紹了各自透過域名相關情報的分析來應對網路詐騙犯罪的流程:


圖片


著重域名資訊和信譽、與此相關的威脅情報以及和具體域名有關的文字資訊和網路行為三方面。具體的分析可以分為三步:域名識別、豐富域名資訊、分析域名內容和網路行為,之後就可以從以上三個方面列出每個需要檢測的域名的風險,並量化打分以便預防。


圖片


第二位來自FBI的演講者介紹了域名分析的五個步驟:


· 資料採集:主要是在重要事件發生後收集和關鍵詞有關的新出現的域名資訊,從其中初步篩選出可疑域名;


· 域名匹配:主要是對可疑域名進行進一步篩選,可以透過自動和人工手段檢查相關域名指向網頁的具體內容,看是否包含網路詐騙相關資訊;


· 域名檢測:利用各類安防手段檢測域名是否和已知的病毒和惡意軟體相關聯,這是確認此事是否可移交美國境內執法部門處理的關鍵步驟之一,另一個步驟是確認域名相關託管平臺是否在美國境內;


· 資料內容豐富:已經確定可疑域名有進一步的惡意行為後,可以透過各類開源、商業情報,進一步對其惡意行為,相關資訊進行分析(查詢各大安全廠商報告、各類黑名單等),將已知情報和域名關聯;


· 移交線下執法部門處理:有了上一步的切實證據以後,就可以聯絡其他機構,線上下對網路詐騙採取行動,如將相關網站下線或更嚴厲的行動。


360威脅情報反網路詐騙的落地實踐

  • 釣魚網址和仿冒APP識別


黑灰產型別眾多,其中常見高發的涉詐型別包括:投資、貸款、刷單、黃、假冒熟人、仿冒公檢法、殺豬盤等。360在涉詐大分類的基礎上基於場景細分出更多的場景,其中黑灰產惡意型別包括15大類、200餘小類,涉詐細分型別包括40餘類,例如:投資理財、借貸欺詐、購物退款、網遊交易、機票退改、裸聊交友、仿冒金融證券、仿冒銀行、虛假招聘、虛假中獎、仿冒公檢法等。360黑灰產資料分析範圍覆蓋域名、網址和APP程式、APP下載連結等,可以有效應對各類風險。


  • 域名/網址檢測、APP安全檢測

圖片


360雲端安全大腦域名/網址安全檢測業務流程:


· 外部資料來源:資料輸入是整個平臺的入口,資料的輸入與輸出對應,一條網址經過爬蟲系統爬取、檢測後,輸出一條分類結果資料;


· 資料接入/預處理:不同渠道的資料格式不盡相同,為了便於爬蟲與分類系統處理方便,需要對輸入資料做預處理,比如統一格式、過濾消重;


· 內容爬取:網頁爬蟲對目標域名或站點進行定向爬取,惡意站點通常對爬蟲做針對性防護,不讓爬蟲爬取到正確的內容。因此爬蟲要偽裝成普通使用者訪問,繞過防爬機制;


· 網頁快照:對爬取的頁面內容進行快照截圖,並同步到url樣本庫、證據庫;


· AI演算法分析分類系統:對網頁爬取的內容進行分類識別判斷所屬的惡意型別並進行標記;


· 人員運營稽核:對未知或低疑似度網頁樣本資料進行分析確認。


· 網址分類資料管理系統:對黑灰產資料進行持久化儲存、提供消費服務。


圖片


360雲端安全大腦APK應用程式安全檢測業務流程:


· APK資料輸入:
基於應用市場URL下載連結、網頁主動爬取、其它渠道採集的APK檔案和下載連結對APK應用程式的網址和樣本進行採集、檔案收集;


· APK檔案分析:對採集的APK樣本檔案透過資源分析、反編譯、沙箱模擬執行等手段提取靜態資訊、分析動態行為;


· APK分析檢測:基於規則識別系統對提取的APK動靜態資訊進行分類分析,識別並定義APK檔案的安全威脅等級和型別,然後同步到資料系統或被業務應用系統呼叫。


  • 反詐威脅情報應用


· 品牌保護
金融、企業提供釣魚網址、仿冒APP、logo侵權高價值資料推送服務,及時提供品牌侵權的線索、依據配合使用者單位報警、起訴及要求停止侵權的業務應用場景


· 黑灰產預警和攔截處置
配合執行商、監管單位推送涉詐威脅情報資料,基於流量分析平臺,發現惡意網路行為提供全網預警和攔截、關停處置。


未來,360將持續利用安全情報能力助力廣大政企客戶打擊網路犯罪和網路詐騙,築牢數字安全屏障,護航數字經濟平穩健康發展。



相關文章