【干货分享】网络黑色产业的前世今生

三生三世,十里“黑产”。“黑产”的前世究竟历了哪些劫?

黑产的定义、种类、手段、实例和防护。

网络黑色产业概述

什么是黑产?

以网络作为媒介,利用病毒,木马以及其它恶意工具,通过漏洞或其它非法途径控制他人计算机、窃取或盗用合法用户权限以及身份,从而谋取金钱利益的各类行为的总称。

早期的黑产,仅仅是一小撮人的行为,那时做黑产的人需要什么都会,什么都懂…

现在的黑产是这样……My God!!

黑产到底有多黑?

我们身边的黑产

不仅指的是网络黑色产业,而是指整个庞大繁杂的利益链条。漏洞利益是保证这台巨型黑色机器转动的媒介和燃料。

互联网资源与服务滥用

真实资产盗窃

虚拟资产盗窃

技术与培训

僵尸网络

垃圾邮件

DDoS

黑链

黑链,顾名思义就是以用不正当的手段在被人的网站挂上你的链接,通过网站程序漏洞、服务器漏洞拿到网站的webshell之后加入暗链,这类网站一般管理疏忽,多见于GVM、企业站,PR和权重都比较高,所谓的暗链就是将链接文本的颜色做成与网站背景色一致,或者是通过隐藏层。这样做是为了不让别人发现。但这样做已经存在欺骗搜索引擎的嫌疑,已经构成了作弊。但是为什么这么多人会选择黑链呢?黑帽SEO黑链盛行,黑链往往以比较低的价格出售,一般的站长都能承担低廉的价格,使用黑链的大多数为比较热门行业:SF、医疗等暴利行业。

信息买卖

有些漏洞获取的信息价值连城

撞库

扫号器

钓鱼

0day交易

黑产相关技术简析

典型手法1:撞库+扫号

利用技术:SQL注入/上传,验证绕过,限制功能缺失

利用场景:含有“代金券”功能的大中型电商网站

利用难度:★

造成损失:★★★★

利用步骤:

早些年,大部分电商为追求用户体验,并不会在首次登录时设置验证码,同时并未对单个IP大量登录的行为进行发现和限制。

“黑客”们会使用假冒的收货人姓名,并可能直接消费掉代金券或积分金额。对于一个大约有50w注册用户的中型电商,大概可造成2000左右代金券用户被盗,攻击者则可一次性获利10万元左右。这类事件对电商类网站的声誉以及经济损失相当直接。

典型手法2:订单劫持

利用技术:直接对象引用

利用场景:可修改订单配送地址的电商网站

利用难度:★

造成损失:★★★

利用步骤:

能够允许修改订单地址也算是奇葩功能了….

典型手法3:多重跳转的XSS

利用技术:XSS

利用场景:部分特定的电商网站

利用难度:★★★★

造成损失:★★★

利用步骤:

在点击诸如这样的短域名之前,一定要三思..三思..三思….

http://mcs.paipai.com/RWsiZVpoe

如果不慎点击了,会302到下面链接上

http://shop1.paipai.com/cgi-bin/shopmsg/showshopmsg?shopId=2622893717&page=1&iPageSize=1&t=0.8497088223518993&g_tk=2019233269&g_ty=ls&PTAG=40012.5.9

上面的链接功能引用了店主的QQ昵称,并且未经过滤就带入了页面代码。店主的昵称如下….

点击昵称中的链接,发现源代码如下:

又经过了一次短域名的跳转,最终看到了最邪恶的一段代码…

即通过DOM跨站,向拍拍的页面中嵌入了一个iframe,由于js同源的原因,这段代码会操纵拍拍的cookie并发送至my.tuzihost.com。攻击者收集到了这些cookie就可以直接盗用受害者身份访问拍拍了…

正是由于一些网站会依赖于js进行cookie操作以页面访问分析,因此舍不得为cookie设置HTTPonly属性…

典型手法4:钓鱼

利用技术:仅仅是精巧的思路即可

利用场景:所有能想到的地方

利用难度:

造成损失:★★★

利用步骤:

需要说的是,钓鱼重要的其实不是技术,而是如何以一名骗子的身份充分利用人性的弱点…

这类攻击通常还会有完善的功能,比如一个后台管理系统…

还有的时候,其实就是“黑”吃”黑”,大鱼吃小鱼…

典型手法5:开源模板getshell

利用技术:未知

利用场景:使用开源代码做模板进行快速开发的所有网站

利用难度:★★★★★

造成损失:★★★★★

利用步骤:

快速开发的代价就是要花费更多的时间在修复问题上…

防护措施

发表评论