原文始发于先知社区(lan3et):SRC威胁情报挖掘
目录
- 什么是威胁情报
- src会收取什么样的漏洞情报
- 如何挖掘漏洞情报
- 几个src提交情报的感受
什么是威胁情报
从各大乙方的产品介绍和功能上看,对威胁情报的定义大概就是ip+域名的黑名单和rat马子的样本balabala。这部分跟src认定有价值的威胁情报相去甚远,在这里不做讨论。
本文单指狭义的src认定有价值的会给出赏金的漏洞情报。包括但不限于以下几种黑灰产利用方式:
- 订单信息泄漏(赏金重捞区,也是白帽子被坑钱最多的地方)
- 刷单(如果不是刷单诈骗,那真实的刷单团伙如何挣钱和交易的呢)
- 视频刷量
- 账号实名制解除、更换、代实名认证
- 企业资质认证等各种特权账号认证
- …
值得注意的是各个src对威胁情报的处理流程不同,有些大型公司往往配置自己的情报处理团队(如情报部门)或交给对应业务的安全团队(如风控部门),各src审核往往只针对业务方和情报部门的反馈根据影响范围定级,不直接参与情报审核,所以情报类漏洞的处理流程和时间与常规漏洞提交相比往往会长数倍。但如果最终确认,如订单泄漏类往往轻易达到高危严重级别
# SRC会收取怎样的漏洞情报
情报和漏洞相同,如漏洞根据各项资产的权重不同会得到不一样的最终评分一样,情报根据厂商业务不同的侧重点,也会收到不同程度的重视。如 - 某些依赖电商营收的业务方,往往对订单泄漏问题极为重视,内部也存在专业的风控情报团队第一时间收集、处理外部威胁情报
- 某些厂商作为“游戏”IM大厂,对游戏侧外挂、账号、私服、装备等威胁情报往往更为重视(也较多发生)
简单来说一句话
资损问题>法律问题>舆论压力
除此之外还要思考业务部门能否处理问题和我们能否提出帮业务方解决问题,有一个很坦诚的逻辑:情报方/业务方支付赏金,代表认可你的情报对我方有威胁,那么我走了经费,收了情报,处理不了怎么办,此处点名某app对社交白账号批量注册买卖无能为力的行为…….,而和漏洞的“该问题风险较小”相对应的是“这个问题我们暂时可接受”,当然他们不会直接回应这句话,但你提交一些情报被忽略要可以想到,哭唧唧…….
如何挖掘漏洞情报
订单泄漏类情报挖掘
tg中文搜索引擎
tg上目前很多机器人搭建的搜索引擎,,根据关键字如母婴、护肤、医美等关键字在搜索引擎搜索,可以发现各类卖买数据的交流群,群中鱼龙混杂,这里也是数据买卖新手最容易被骗的地方,因为之前几波严打,现在很少会有愿意被白嫖给几条数据测试这样的老哥了。这里有几个比较稳的判断方法
- 群主牛批(只要群里还能自由聊天,群主一般会踏踏实实卖,除非要跑路了,反之进去人很多但进去就被全员禁言,群主一个人说话的…不行跑吧哥哥)
- 规模较大的,网站有子域名多套cms的>有网站的>有机器人的和客服的>单干的
- 数据源单一的,如只做某司某业务的
### potato、蝙蝠、密聊
除了tg之外最容易被引流的几款加密聊天app,而且都是国人做的,很多老卖家非常喜欢用,这里的思路和tg其实大同小异。给的建议就是多加群和老哥们交流,这里的群要比tg值钱一点,其中某个匿名im前几天还和某色情视频拍摄团伙一起上了热搜
料子来源
最后这里可以讲下所谓的一号卖家的收料来源,帮助大佬们在和卖家聊天过程中判断自己卖到的是不是一手料
- 店主雇佣的客服内鬼、或大卖家直接雇内鬼入职客服偷完数据就跑
- 木马钓鱼,普通人还是会中招pdf.exe的
- 快递侧员工数据泄漏
- 代运营公司插件漏洞或内鬼或干脆公司卖数据
- 油猴脚本带后门
刷单刷量刷水果类情报挖掘
自动化刷量刷单
这类情报的挖掘相对来说较为简单,因为法不责众,且卖量老板自行搭建机房在用电方面存在现实风险,所以通常会通过tg相关群内发送建群信息请各大机房主进群,在群内发布autojs等自动化脚本,甚至贴心的发布使用教程对接他们的卖量系统(95社区等等),或在群内通知建立小群,在小群内发布刷单物品信息和返现通道(TT等),并在几分钟内解散群聊
,这时候只要建立运营一个可信身份的机房主账号,就可以轻易的被邀请到各个内部群中
刷水果
这里专指利用各类电商平台上的小活动小游戏薅羊毛,如xx农场,xx果园、养小鸡等等,这类脚本可在github上搜索关键词青龙去找到项目对应脚本,并通过fork、star、follow的人的其他项目批量遍历通过关键字筛选扩充新项目代码,毕竟总有程序员菩萨在github发慈悲
游戏类情报挖掘
游戏是一块很大的肉,所以整个外挂售卖产业链极长,层层加码分割吃肉,且一些工作室老板会财大气粗的订制本工作室外挂,所以整体环境比较复杂,后面会另开一篇文章给师傅们介绍。
这里简单说一下思路就是紧盯游戏开服和即将开服的信息,黄金半个月,极大量的团队会选择在这时候出手,吃完最肥的肉就跑,而且企业和业务方也会在这时候非常重视和渴求威胁情报且对新出现的攻击缺乏防范能力,所以这段时间对白帽子提交威胁情报的收获最大,反应和确定时间最短。
小说类情报挖掘
目前国内盗版小说环境鱼龙混杂且极为成熟,头部的经常可以搜到的盗版小说app其实根本不能直接通过自己的技术手段获取盗版小说资源,而是通过直接对接盗版小说源+套壳app+买签名上架app商城的方式快速的低成本运作,被app商城封禁之后迅速套壳继续上线,整套流程全部自动化,封禁下架甚至几乎不能起到伤筋动骨的伤害,而它们的主要营收则来自内嵌的各大广告商的sdk,通过广告点击率、观看时长、转化率收取佣金。这类app的盗版小说来源则来自tg群(如某开源小说群组),甚至在githun、gitee及各科技论坛发布盗版小说源集合,会有专人专群进行分享
如何在有情报部门的src手上吃肉
如何有耐心贴靠黑灰产人员,安全是个圈,黑灰产也是个圈,且黑灰产的老哥往往更希望得到友情等社交方面的认可。只要确定对方数据、外挂没有问题,那就多和他沟通交流,让他带你进入圈子,不要买完测完数据就跑,买卖不成仁义在。这样才能触及到企业部门大量情报收集下触及不到的深层地区。当你和他可以互道晚安互的时候,相信他离法律的制裁就不会远了
几个src提交情报的感受
- 阿里这种有自己情报处理团队且举办过专项活动的src就不多说了,有钱舒适,讲下其他公司的体验
- 某d的情报是风控团队在处理,所以反应速度极其的慢。。。当然漏洞好像也不快哈哈哈
- 腾讯有自己的反外挂团队除了技术也在做情报,所以对外挂侧情报质量要求较高,但是给分也还可(毕竟在标准里写明了有效外挂情报=高危)
- 其他的src大佬们可以尝试一下,报告写的尽量详细一些,尽量可以落地到人、社工信息、真实照片,不然可能会出现他们可能不知道怎么处理的情况