获得用户敏感信息后,黑客对这些信息进行整理和筛选,然后“洗库”。将有价值的财产全部转移,例如银行卡余额,Q币,游戏币等,最后再大批次循环转账洗钱分赃。
DDoS产业链
DDoS攻击指黑客组织通过控制服务器、肉鸡等资源,发动对包括国家骨干网络、重要网络设施、政企或个人网站在内的互联网上任一目标的攻击,致使目标服务器断网,最终停止提供服务。在这条黑色产业链中,相关从业人员或已达到38万余人,涉及6000多个大大小小的黑产团伙,年产值可能超过100亿人民币。
DDoS只是黑客手里的筹码,其最终目的要么敲诈勒索、要么利益冲突、要么表达政治立场。近几年,高收益行业深受DDoS攻击困扰,比如游戏行业,经常遇到DDos攻击导致服务器宕机业务中断。
目前,对于DDoS攻击,普遍采用的防护手段包括:
1、源验证/反向探测,对源进探测和人机识别,段包括cookie、识别码等;
2、限源,即对源IP或协议进行限制,blacklist是一个常见手段;
3、特征丢弃,依据数据包的特征或访问行为进行丢弃,如基于Payload特征、发包行为特征、QPS特征、 HOST、UA、URL等;
4、限速,对流量/访问的速率进行限流。
敲诈勒索产业链
网络敲诈勒索是一种犯罪,它对企业造成攻击事实和攻击威胁后,某公司向企业提出金钱要求来避免或停止攻击。
随着勒索即服务RaaS模式的兴起,勒索软件的制作、分发和销售分工明确,入门槛也将降低,具备广泛分销网络的复杂犯罪组织也将介入勒索软件市场,即使技术一般的人也很容易开始传播恶意软件来牟取暴利。
勒索软件的传播手段主要以成本较低的邮件传播为主。同时也有针对医院、企业等特定组织的攻击,通过入侵组织内部的服务器,散播勒索软件。随着人们对勒索软件的警惕性提高,勒索者也增加了其他的传播渠道,具体的传播方式如下:
邮件传播:攻击者以广撒网的方式大量传播垃圾邮件、钓鱼邮件,一旦收件人打开邮件附件或者点击邮件中的链接地址,勒索软件会以用户看不见的形式在后台静默安装,实施勒索;
漏洞传播:当用户正常访问网站时,攻击者利用页面上的恶意广告验证用户的浏览器是否有可利用的漏洞。如果存在,则利用漏洞将勒索软件下载到用户的主机;
捆绑传播:与其他恶意软件捆绑传播;
僵尸网络传播:一方面僵尸网络可以发送大量的垃圾邮件,另一方面僵尸网络为勒索软件即服务(RaaS)的发展起到了支撑作用;
可移动存储介质、本地和远程的驱动器(如C盘和挂载的磁盘)传播:恶意软件会自我复制到所有本地驱动器的根目录中,并成为具有隐藏属性和系统属性的可执行文件;
文件共享网站传播:勒索软件存储在一些小众的文件共享网站,等待用户点击链接下载文件;
网页挂马传播:当用户不小心访问恶意网站时,勒索软件会被浏览器自动下载并在后台运行;
社交网络传播:勒索软件以社交网络中的.JPG图片或者其他恶意文件载体传播。
信息窃取产业链
信息窃取通常指黑客通过木马类的病毒植入到受害者计算机中,定期获取受害者有商业价值的敏感账号信息,或者通过互联网入侵包含大量有价值信息的网站窃取信息。获取到信息后通过筛选、清洗和倒卖进行获利,比如这次某知名视频网站的用户数据售卖事件。
大数据撞库产业链
什么是撞库攻击?简单来说,在盗取他人在A网站的账号密码后,去B网站尝试登陆,就是撞库攻击。在早些年,盗取他人账号主要靠木马,密码字典则靠软件生成,而随着近几年频繁出现网站数据库泄漏事件,撞库攻击逐渐成为主流的盗号方式。撞库的数据来源除了黑客直接“脱库”外,主要来自“信息窃取”产业。其完整过程如下:
目前,不少人习惯多个平台用同一账户密码,一旦有一平台的账号密码被窃取,其他平台的同一账号密码全部需要马上修改。针对这种攻击方式,建议大家:
1.定期更改各网络账号的密码,尽量不要使用过于简单的密码。
2.尽量在不同的平台设置不一样的密码,避免某一账号出现问题后导致其他账号出现连锁反应。
网络钓鱼产业链
网络钓鱼是指网络非法攻击者利用欺骗性垃圾邮件或网络链接等,引诱互联网用户点击进入其伪造的Web站点,以使点击者输入个人敏感信息,并用这些信息用于网络诈骗等非法用途。该伪造Web站点往往通过精心设计,与某知名企业或机构网站非常相似。点击者对此伪造Web站点往往疏于鉴别,加上对相关知名企业或机构的信任,就会在伪造Web站点上输入自己的私人信息资料,如:各种网络用户名(ID)、口令密码、个人身份证号、银行卡号及密码等。
据央视调查结果表明:31.8%有网络购物经历的网民曾在网购过程中遇到钓鱼网站或诈骗网站,网购被骗网民的规模达6169万人次。超过39.7%的网民损失额度超过500元。根据估算,最近几年,钓鱼网站或诈骗网站给网民造成的损失每年都达到300亿元以上。
日益猖獗的黑客攻击,如何防范
黑色产业不断扩大,威胁发展太快,安全形势日益严峻。建议广大用户做好日常防范措施:
1、文明上网,不点击来历不明邮件或链接;
2、做好密码管理,如不使用简单密码,定期更新密码、不同平台使用不同账户密码;
3、安装终端病毒检测查杀工具,定期升级。
对于企业用户,某公司提供以下10个建议保护您以及您的单位免受黑客攻击的伤害:
1. 制定备份与恢复计划。经常备份您的系统,并且将备份文件离线存储到独立设备;
2. 使用专业的电子邮件与网络安全工具,可以分析电子邮件附件、网页、或文件是否包含恶意软件,可以隔离没有业务相关性的潜在破坏性广告与社交媒体网站;
3. 及时对操作系统、设备、以及软件进行打补丁和更新;
4. 确保您的安全设备及安全软件等升级到最新版本,包括网络上的反病毒、入侵防护系统、以及反恶意软件工具等;
5. 在可能的情况下,使用应用程序白名单,以防止非法应用程序下载或运行;
6. 做好网络安全隔离,将您的网络隔离到安全区,确保某个区域的感染不会轻易扩散到其他区域;
7. 建立并实施权限与特权制度,使大多数用户无法感染到关键应用程序、数据、或服务;
8. 建立并实施自带设备安全策略,检查并隔离不符合安全标准(没有安装反恶意软件、反病毒文件过期、操作系统需要关键性补丁等)的设备;
9. 部署鉴定分析工具,可以在攻击过后确认:
a)感染来自何处;
b)病毒已经在您的环境中潜伏多长时间;
c)是否已经从所有设备移除了感染文件;
d)所有设备是否恢复正常。
10. 加强用户安全意识培训,不要下载不明文件、点击不明电子邮件附件、或点击电子邮件中来路不明的网页链接;毕竟人是安全链中最薄弱的一环,需要围绕他们制定计划。
针对日益严峻的攻击形势,某公司提供立体防护解决方案,利用人工智能大数据技术以及威胁情报,通过某公司下一代防火墙+安全感知+EDR三者相互联动协同,实现事前的风险预警、事中的积极防御、事后的监测响应,帮助用户建立更加完整的风险识别和防护响应的闭环机制,有效应对各种未知威胁!
发表于 2018-7-16 10:59
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
工程师2级