长亭百川云 - 文章详情

劫持共用代理IP攻击占总量63%,成为攻击者主要使用的IP类型

威胁猎人Threat Hunter

49

2024-07-13

2024年第一季度,威胁猎人IP风险画像在原有标签基础上新增4个IP风险标签,分别是:“好坏共用-代理”、“云函数”、“搜索引擎爬虫”、“VPN”。

为了帮助用户更准确判定风险IP的类别及作恶来源,威胁猎人将在6月底对“好坏共用-代理”及“云函数”两个IP风险标签的名称进行变更

将“好坏共用-代理”IP风险标签的名称变更为“劫持共用代理”IP风险标签

这一命名的变更,将更加直观地突显这类IP资源的本质特征,即被黑产恶意劫持的正常用户IP资源

“劫持共用代理”IP风险标签上线是威胁猎人IP风险画像能力提升的一大重点,该IP风险标签上线后,威胁猎人国内风险IPv4数量实现翻倍增长,同时识别能力也实现翻倍。

“劫持共用代理”IP风险标签详细说明如下:

1、 “劫持共用代理”IP指黑产和正常用户共用的IP(被黑产劫持)

本质上是指代理IP平台通过木马后门劫持正常用户的IP,出售给黑产作为代理IP使用,由于每次使用时间很短,普通用户难以感知到自己的IP被盗用。

2、 基于其好坏共用的特性,这类IP风险分数设定为0分但会标记风险标签

基于这类IP资源被正常用户与不法分子混合使用的特性,在IP风险画像产品中,这类IP的风险分数设定为0分,但是会对其进行风险标签标记,以避免对正常用户IP的误判。

**风险分数等级说明:**共包含四个等级,由低到高分别是0,( 70,10] ,( 90,70] ,( 100,90]

值得关注的是,近期威胁猎人基于情报监测及挖掘能力发现大量“劫持共用代理”IP,日均捕获数量达80万。

从2024年5月份的IP类型占比来看,这一类标签的IP攻击占比达到代理IP总量的63%以上,已经成为攻击者主要使用的IP类型,由于作恶情况更加普遍,各企业可重点关注这类IP资源,针对性进行风控策略调整。

将“云函数”IP风险标签的名称变更为“云服务”IP风险标签

“云服务”更加明确地传达了这类IP资源来源于“云计算服务”的特性,帮助用户快速把握其标签定义,有效识别黑产批量利用云服务发起的恶意攻击。

“云服务”IP风险标签详细说明如下:

1、 “云服务”IP指黑产利用云服务搭建代理IP池并执行攻击的IP

“云服务”风险IP主要来源于主流云服务商提供的“无服务器云计算平台”,攻击者可能利用该平台的云函数IP搭建代理IP池执行攻击,借此掩盖其真实源IP。

2、 基于其好坏共用的特性,这类IP风险分数设定为0分但会标记风险标签

由于该类IP本质是云服务商合法提供的服务出口,广泛服务于众多正常用户,因此在IP风险画像产品中,这类IP的风险分数设定为0分,但是会对其进行“云服务”风险标签标记,以避免对正常服务的误判。

“劫持共用代理”、“云服务”等IP风险标签能够帮助客户审慎处理这类灰色地带的IP,避免“一刀切”拦截处置策略带来的误伤(例如直接封禁可能会阻碍正常用户的访问)。

建议各位企业客户充分利用这类IP风险标签,并结合具体业务场景,通过多维度数据进行校验及风险判定,发现更多潜在风险。如果您在使用过程中存在任何疑问,欢迎随时与威胁猎人IP风险画像产品团队或售后团队联系

守护更多企业的业务安全

(部分客户)

想要了解详情/试用

欢迎扫码申请

相关推荐
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2