近期的央视315晚会中,黑灰产业链又被曝光了,这次是主板机携“切换IP”一起出镜。
事件中的主板机,简单来说就是将多台手机主板集成在一个机箱里,通过软件操控,一台电脑可以同时操作几十甚至上百台手机。
值得关注的是,此类主板机可以通过接入软路由等方式,实现动态更换IP并发动自动化攻击,如恶意注册、刷量、薅羊毛、虚假投票、骗积分、地域伪装等。
通过伪装,网络平台及监管部门很难区分IP背后的用户是真实用户还是虚假用户,传统的安全防御机制难以奏效,导致平台损失大量营销成本,真实用户的权益受到挤压。目前这类操作被广泛应用于网络营销、游戏作弊、社交平台刷量等多种灰色地带。
解密黑产IP切换技术
IP资源是黑产进行规模化攻击的核心资源,为了绕过IP检测,大量黑产使用代理IP、秒拨IP等技术进行攻击。威胁猎人安全运营人员对黑产攻击方式分析发现,存在以下几种主要的换IP方式:
1、秒拨:基于家庭宽带ADSL账号重拨切换IP方式
秒拨的核心在于利用家庭宽带拨号上网(PPPoE)的原理,每次断线重连时都能获取一个新的IP地址。
通过远程地址以及管理员账号密码链接控制,机器的类型可以简单分为单城市以及全国混播,通过选择多台不同城市或者多台混播组成代理池,搭建控制服务器进行远程管理和调配,通过使用脚本、命令或者浏览器插件的方式达到修改本机IP的目的。
2、代理池:用于管理和分发代理IP资源的系统
IP代理池可以用来隐藏用户的真实IP地址,提高访问速度,解决IP限制等问题。IP代理池有两种形式,一种是由多台秒拨机组成的代理池,第二种是提供代理池的公司从运营商的IP池内获取IP。
第三种是通过散布免费软件的形式,如游戏加速器、vip影视共享软件等**,植入木马控制正常用户电脑作为中转服务器,把普通用户的家庭宽带IP作为代理IP放入代理池供代理平台网站用户使用**,且每次使用时间很短,普通用户难以感知到自己的IP被盗用,这也就是我们所说的**“好坏共用-代理”IP**。
在代理平台购买了IP套餐后,通过该套餐生成API接口,访问该接口会获得一个IP:端口的组合,通过脚本、命令或者浏览器插件的方式达到修改本机IP的目的。
3、切换IP工具:通过建立SSL/TLS、PPTP、L2TP等VPN加密隧道实现动态切换IP的软件
换IP工具是软件的形式,几乎零门槛使用,用户只需下载对应的软件到本地,注册账号购买套餐后点击连接即可实现全局代理,换IP工具通过建立SSL/TLS、PPTP、L2TP等VPN加密隧道,从而动态切换用户的公网IP地址。
部分换IP工具通过对应的设置还可以实现单窗口单IP,这种工具常用于游戏工作室。
4、软路由:使用软件自定义路由功能的****路由器
通过软路由,可以虚拟出20-100个虚拟Wifi,通过对应的设置,可以把虚拟出的Wifi信号当作正常的Wifi信号使用,并且每个虚拟出的Wifi所对应的IP都是不同的,每台机器连接不同的WiFi即可做到单机器单IP。
解密风险IP分布数据
2023年9月至2024年3月,威胁猎人持续监测国内风险IP 2.97亿个,国外风险IP 6.89亿个,如何识别不断变化的风险IP已成为各大企业亟须重视的问题,我们对国内及国外两种类型的风险IP分析发现:
**(1)**2023年9月至2024年3月国内风险IP归属最多的三个省份:江苏、浙江、安徽
**(2)**2023年9月至2024年3月国内风险IP归属最多的三个地级市:苏州、珠海、南通
**(3)**2023年9月至2024年3月国外风险IP归属最多的三个国家:美国、巴西、印度
**(4)**2023年9月至2024年3月国内风险IP类型中,家庭宽带类型占比超94%
对企业平台而言,有效识别不断变化的风险IP,能够从根本上摸清黑产行径、确保业务安全及真实用户的权益。
对于这种快速变化的风险IP识别,威胁猎人自2018年起就提出针对业务流量中IP的“实时风险检测能力”,提倡IP风险画像产品应该更关注IP的实时风险判定能力,并于2019年正式推出以“实时风险检测能力”为核心的IP风险画像产品。
经过多年迭代与打磨,威胁猎人IP风险画像产品持续提升实时风险检测能力,支持对IPv4和IPv6协议风险IP的精准识别,可覆盖基于秒拨、代理、多开分身、真人作弊、自动化脚本等场景的风险IP。
为了检验对于不断变化的风险IP的识别能力,我们从攻击者视角出发,在各种渠道购买黑产在攻击时常用的代理IP资源池并进行了多次测试,风险IP画像平均召回率达到85.73%。
近期,威胁猎人IP风险画像产品再次升级,在原有的【代理】、【秒拨】等风险标签基础上,新增了【好坏共用-代理】、【好坏共用-云函数】、【VPN】、【搜索引擎爬虫】4个风险标签,实现识别能力翻倍,帮助企业有效识别鱼龙混杂的风险IP。
目前,IPv4近一个月总量达到13亿,每日识别风险IP总量约1100万,IPv6风险库总量600万,实时高风险IP总量38万,已覆盖64个城市,基于秒级更新识别、强时效性、高准确性的风险IP数据库,进一步助力准确识别业务流量风险,解决IP策略误判高的问题。
未来,期望能贴近实际业务场景,在稳步提升产品能力的同时,不断拓展服务边界,更好地满足企业在不同业务场景下的安全需求。
2023年1月5日,永安在线进行品牌焕新,正式更名为**“威胁猎人”**(详见:成立6周年,威胁猎人焕新回归)。
