本文整理自2020北京網絡安全大會（BCS）企業安全運營實踐論壇上京東耿志峰的發言。

　　耿志峰，京東安全首席架構師，負責京東產品與基礎設施安全、數據安全和藍軍建設等工作，具有多年大數據安全、威脅情報、黑產對抗等經驗，是大數據安全、企業安全架構設計和攻防對抗等領域專家。

　　我是京東安全的首席架構師耿志峰，很高興參加企業安全運營實踐論壇。我報告的題目是《以攻為守，黑產攻防的反制之道》，感謝論壇和君哥的邀請。

　　京東每天都在抵御各種各樣的網絡攻擊。以前黑產來攻擊京東的時候，京東是主動地感知黑產的攻擊，然后發現黑產的攻擊點，對攻擊點進行重點防護，除此之外，我們也會通過提前預演攻擊進行防護。

　　后來我們發現，只有防護是不夠的，我們應該主動去發現弱點，比如我們的產品有哪些漏洞，基礎設施開放了哪些不應開放的端口。

　　再后來，我們認為，弱點是發現不完的，因為業務會越做越大，弱點也會隨著業務的膨脹而膨脹。當然，企業可以用自動化的方法來控制弱點的發生概率，但是我們更應該正視弱點——弱點是不可能被完全消滅的。所以我們開始思考，如何才能站在黑產的角度，對黑產進行對抗和反制。

　　作為一家電商公司，京東每天都在遭受各種各樣的攻擊，比如薅羊毛、盜取數據、控制服務器等，甚至還有從名譽上對京東進行攻擊的。我們就從一個真實的案例說起——

　　前段時間，我們發現暗網上有人出售機器注冊的賬號（以下簡稱“機注賬號”），里面有很多京東的賬號。發現這個情況以后，我們首先去獲取了一批機注賬號，在系統里對它們進行了標記，然后觀察這些賬號的行為。我們發現，這些賬號不僅活躍于暗網的賬號交易市場，它們的利用也非?；钴S。通過標記，我們發現了黑產的主要攻擊點，并進行了修復。除了標記之外，從這些數據本身也可以看出他們的主要攻擊點，因為通過這些數據的行為，我們能夠進行聚類，從而發現他們的主要目標進行修復。

　　通常來說，到這里攻防已經基本結束了，但還有其他問題——

　　機注賬號從哪里來的？

　　為什么這些賬號能夠機注？

　　為什么黑產拿到這些賬號之后可以實施后續的攻擊？

　　除了企業資產有弱點之外，更深層次的原因是什么？

　　首先看第1個問題，機注賬號是怎么來的。我們對這些攻擊進行了溯源，發現這些賬號都來源于一個打碼平臺。這些打碼平臺會提供一個正常的賬號注冊成功所必需的一切條件，比如驗證碼等等。我們在拿到這個打碼平臺的一些工作原理之后，發現在注冊環節其實是可以對它進行一定防御的，這樣就從某種程度上減少了賬號本身的生產量。

　　除此之外，黑產在攻擊企業資產弱點的時候，為什么能夠準確地發現，并且大批量的應用？首先，我們會想到黑產有自動化的工具，因此，我們要去查找這些弱點和工具，找到以后對它的利用方式進行研判，然后把這些弱點給修復掉。但是更深層的是，為什么他們能夠發現這些弱點？京東每天也在進行大量的或人工、或自動的檢測，為什么沒有發現？說到這里，我們在下一個話題會繼續豐富這段內容。

　　到目前為止，我們已經對黑產有了基本的掌握——有人在生產物料，也就是機注賬號，有人在發掘公司資產的弱點，有人在制作利用賬號對弱點進行攻擊的工具，這樣才能使整個鏈條高效運轉。然而，現在探查到的是否就是黑產攻擊的全貌？不一定。所以在發現的這些弱點的基礎上，我們做了一些陷阱，通過這些陷阱，果然捕獲到了更多的攻擊行為。隨后，我們對通過陷阱拿到的所有數據進行了分析，得到了更多的攻擊信息，挖掘到了更多攻擊路徑，找到了更多弱點，掌握了更多黑產動態，這是一個比較典型的案例。

　　上圖就是黑產攻擊的流量曲線圖。在對整個黑產攻擊進行監控的過程中，隨著監控的范圍、方法和手段越來越豐富，我們逐漸探查到越來越多的黑產攻擊，然后把探查到的黑產攻擊放在這張圖上。

　　這張圖最明顯的特點就是有波谷和波峰，對比時間，每一個峰谷恰好對應著一次漏洞的爆發或者公司一項重大事件的發生，以圖中的三個爆發點為例：

　　第1個點是京東安全的藍軍挖掘到一個Apache，頂級項目大數據分析平臺clean的一個0day漏洞，我們第一時間把這個漏洞貢獻給了Apache基金會，官方也進行了公布，并且在隨后不久進行了修復。但就在這公布的一小段時間里，馬上迎來了一波攻擊，所以一定是有人在盯著這些被大規模應用的中間件的漏洞。

　　第2個點，也是一個比較典型的案例，就是業內所熟知的Fastjson漏洞的一次爆發，恰巧在京東618之前，所以也給我們造成了很多困擾。從圖中可以看到，因為在這個過程中我們投入大量精力進行修復，所以它呈一個交替上升下降的過程，即這是一個跟黑產對抗的過程。

　　第3個點，是京東每年一度的618大促活動，這次活動的前期，黑產攻擊幾乎是一字型上升的態勢，黑產的攻擊流量大幅增加。所以從這張圖我們能夠看出，所謂的黑產攻擊，跟事件的爆發、原料的突發息息相關。

　　通過過去一段時間的運營，我們基本上掌握了黑產的兩個基本特點，這里我畫了一個簡圖——

　　首先黑產具有目的性，一方面是他們有直接利益驅動，另一方面是間接獲利，包括竊取數據，獲取服務器的控制權，獲取計算資源等等，比如在計算資源里面放置挖礦等木馬，還有一種情況是有一些商業上的競爭關系，希望阻斷被攻擊企業的業務連續性。

　　對于這些目的，通常都有不同的金主，也就是所謂的需求方來發布需求。發布需求的方式多種多樣，有QQ群、線下等。一旦攻擊者拿到了這個需求之后，就會開始實施攻擊。

　　但通常來說攻擊者不會從0開始，不會重新拉漏洞，收集信息，然后進行攻擊，攻擊者往往會到大的交易平臺上再去拆解，尋找他希望獲取的物料。

　　在大的交易平臺上會有人提供企業的漏洞、工具等物料，然后攻擊者就可以利用這些物料組合起來，去實現金主的需求。

　　這個交易平臺其實是一個虛擬的概念，有可能是暗網，有可能是各種各樣的溝通群。我們對這個工具平臺上的需求進行了三種分類：

　　第1類是公司資產的弱點。有大量的黑帽會對公司資產的弱點進行挖掘，比如破解協議、發現漏洞、邏輯繞過、魚叉攻擊等等。這些黑帽會把他發現的弱點發布到市場上，以滿足攻擊者的需求。

　　第2類是工具。通常情況下，工具都是自動化批量攻擊，而非手工一次一次進行攻擊。所以工具制作者的主要目標是要把一些已知的漏洞信息進行組合，打磨成一個工具，例如前面提到的案例，把機注賬號輸入，把弱點變成自動化的、可以利用的一個小工具，然后把它們結合在一起，制造出一個黑軟，最后在工具市場上發布和銷售。

　　第3個是物料。物料制作者的手中有大量的賬號、肉雞和流量。流量可以實施DDoS攻擊，賬號可以實現薅羊毛等攻擊，肉雞則可以通過植入木馬，進行挖礦、控制或者越權等操作。

　　有了這幾個角色的密切配合，在攻擊者的協同下，一次企業所要面臨的攻擊就完整地呈現給了攻擊者，最后實現金主的需求。

　　前面是我們對黑產的一設想，以及對他們進行的聚類分析，這些黑產分工明確，有上下業務，有鏈條式的協作關系，結合我們平時所掌握的攻擊手段，我們分別對黑產所用到的主要手段進行了反制研究——

　　第一類，物料和信息類的反制方法，即如何對提供賬號、肉雞和流量的黑產進行反制。

　　首先，需要探查到這件事情正在發生，但最大的問題是，我們無法掌握全部信息，甚至掌握的信息已經后置，在這里有一個反制竅門，就是滲透投放。我們偽造一批賬號、肉雞投到市場上去，來引出更多的線索，比如我們發現買家是誰，這個買家是不是還買了其他的賬號和肉雞，從而擴充我們的整個信息源，提高我們的感知能力。

　　第二類就是對工具類攻擊的反制，首先我們會對這些工具進行收集，在這個基礎上對工具進行逆向研究，看工具本身是如何實施這項工程的，并且，從工具本身我們也能挖掘到大量的數據，最后，工具還可以再投放，再引出更多的工具和數據。拿到這些工具和數據之后，我們對它進行特征分析，辨別它所使用的流量特征，行為特征，以及其他更多特征，然后對這些特征進行建模，通過模型對我們自身的流量再進行分析，就可以引出更多類似的攻擊。

　　在拿到這些工具和數據之后，我們基本上可以掌握一家公司被攻擊的底貌。掌握這個底貌之后，就可以辨別這個團伙的明顯特征，不同團伙的傾向、偏好和擅長點都不相同，我們對這些團伙進行聚類，只要發現他的一個蛛絲馬跡，就能夠順藤摸瓜。

　　因此，在這個環節，我們重要的方法是提取特征，隨后進行延伸，順藤摸瓜找到這個團伙以及他的上下游，并在合規的前提下對這些團伙和工具進行壓制。

　　第三類就是前面講到的攻擊的實施，黑產最終要對企業的資產進行攻擊來實現獲利的目的。這個時候我們會設置一些密碼，把一些流量放出來去觀察黑產的行為，通過蜜罐的方式把這些攻擊導入陷阱。這些攻擊通常來說是自動化的，感知能力并不強，因此我們可以通過陷阱的方式給他提供假的數據，以此探查黑產的目的。通過類似蜜罐的收集，我們還可以對攻擊源頭進行定位，比如源頭是一個IT資產，然后再對這些資產進行反制，所有的反制措施和黑客的攻擊手段基本都是一一對應的。

　　隨著收集的樣本和反制的案例越來越多，我們也基本明確了黑產反制的主要目標——

　　第一個目標，是要讓黑產利用的弱點和工具失效；

　　第二個目標，是要迷惑黑產，誘敵深入；

　　第三個目標，是要進行反擊，對黑產的源頭——無論是團伙還是工具進行打擊。

　　圍繞這些目標，京東也形成了自身的黑產反制框架——JFC-OPS，分為四大步驟：

　　第1步：感知。通過監控告警數據，以及暗網流量等，確認當前是否被攻擊，以及攻擊的種類、方式和攻擊的資產類型。

　　第2步：引導。我們會對可疑流量以及可能發生的攻擊點設置一些陷阱，從而推導出更多的攻擊特征、攻擊流量以及攻擊方法。

　　第3步：對攻擊進行溯源。到底是誰、用何種方式和資產、對京東的哪些資產進行攻擊，進行全鏈條的分析，最后得到工具的生產者，攻擊的實施者以及他們的一些特征，甚至于位置信息。

　　第4步：溯源之后的反攻。根據攻擊源和攻擊方式的不同，采用不同的反制手段，讓攻擊語言本身喪失攻擊能力。

　　通過整個框架不斷地迭代成熟，從上圖中我們可以看到攻擊流量發生了轉折，但不可忽視的是，安全的本質是對抗，在上圖中也深刻地反映了這一點——我們有我們的反制之道，黑產也有黑產的對抗之道。

　　比如在上圖中，某一周我們通過反制，使攻擊流量迅速下降，但是經過2~3周的迭代之后，我們發現攻擊流量又有了新的方法，我們又進行了反制，攻擊流量繼續下降，未來會一直延續這樣的過程，只不過對抗的強度和力度會越來越大。

　　前面所有的數據我都特意做了脫敏，其中的一些數量級以及特征都進行了虛化，因為話題本身比較敏感，感興趣的朋友，可以加我的微信，我們一起聊一下如何對抗黑產。

　　我們知道，靠一家公司去對抗整個黑產是不現實的，而且可以看到，黑產分工明確，可能比圖中所呈現的更為細致，最重要的是他們有利益驅動，不會放棄攻擊。

　　最后我想講一講在黑產反制的過程中需要注意的問題：

　　首先，反制過程一定要合規。如果我們做這件事情沒有合規，那我們跟黑產可能也沒什么區別。

　　其次，就是我們會不會又被黑產反制，也就是反反制——前段時間，京東內部進行紅藍對抗，就有過一個經典的案例：我們的攻擊方對紅軍進行了釣魚攻擊，他把這個過程做的比較容易讓人發現，我們的防守方發現了以后就進行了反制。但是在反制的過程中，攻擊方設置了一個攻擊方的陷阱，防守方去反制攻擊方的時候，反倒中了攻擊方的一個圈套，留下了自己的一些關鍵信息，讓攻擊方拿到了更多的權限，獲取了更大的勝利。

　　這也是我們在黑產反制的過程中一定要注意的一點，這個話題業界討論還不太多，我也不能透露的非常具體，歡迎大家能夠一起跟我線下交流，也希望君哥的論壇能夠再次組織這方面的探討。