情报感知移动威胁

     1 概述 

    移动安全行业面临着前所未有的挑战，事实证明，传统的安全防护手段已经无法有效应对移动黑色产业链攻击。全行业正在试图找出一系列更有效的方法，基于大数据和大数据分析技术的威胁情报的应用是这些方法中比较有效且非常关键的一种，基于威胁情报的安全防御已经成为网络安全行业未来发展的方向。今年2月，美国宣布成立威胁情报整合中心（CTIIC），以提高美国防范和应对网络攻击的能力。

    利用数据能力和数据技术建立看见威胁的能力，将成为移动安全行业最重要的能力，也是保障国家移动网络安全的核心能力。这已经成为移动安全行业的新法则。

    基于情报的移动威胁感知平台的设立初衷，就是致力于建立一个完整成熟的大数据驱动的威胁情报分析体系，在这个体系的基础上，做到移动威胁精准控制平台。通过这个平台，在整个移动安全生态圈中，发挥重大积极的作用。

    2 移动黑产分析

    2.1 常见移动黑产分析

    目前常见的移动黑产，主要如下：

    1. 票务行业的刷票、抢票；

    2. 出行行业的刷单、抢单；

    3. 电子商务的刷虚拟资产，例如刷赞、刷积分、刷代金券、刷账户等级等；

    4. 运营商的乱扣费、滥计费

    5. 在线金融类的欺诈交易、欺诈信贷等；

    2.2 移动黑产链环节

    2.2.1 出行类移动黑产

    可以很清晰的看到，抢单常见的工具有硬件抢单、软件抢单、加速抢单等工具；

    刷单时都需要使用社工库、机器人自动工具、模拟器系统工具、位置造假工具等；

    2.2.2 电商刷单移动黑产

    在刷单准备时，都会有专门的刷单软件、刷单社工库等；

    2.2.3 在线金融移动黑产

    针对P2P金融、在线支付等，也存在常见的移动黑产，例如社工库、机器人自动化工具、模拟器环境、漏洞利用工具等；

    2.2.4 社工库的准备

    对于黑产中必备的社工库，也出现了明显的分工：

    在拖库、洗库、撞库存在了一个完整的产业链。

    3 基于情报的威胁感知方案

    3.1 三大检测思路

    对于移动黑产的检测，主要在于对于移动黑产套路的检测。

    主体而言，检测思路主要有三种：

    1. 对于移动黑产所复用的黑产工具的检测 例如修改器、加速器、位置造假工具、批量注册工具等的检测；

    2. 对于移动黑产所复用的技术的检测 例如攻击框架、注入、调试、二次打包、脱机挂等；

    3. 对于移动黑产所复用的资源主要是社工库的检测 例如泄露账户库、泄露运营商数据等的检测；

    3.2 检测、防护、统计一体化

    做到移动威胁检测、移动威胁防护、移动威胁统计一体化。

    在检测的同时，进一步防护和报表统计。