《威脅獵人：業務安全藍軍測評標準白皮書（2024年版）（30頁）.pdf》由會員分享，可在線閱讀，更多相關《威脅獵人：業務安全藍軍測評標準白皮書（2024年版）（30頁）.pdf（30頁珍藏版）》請在三個皮匠報告上搜索。

1、12目錄一、業務安全藍軍測評標準.61.1 業務安全脆弱性評分(ISVS).61.2 ISVS 評分的參考意義.8二、業務安全藍軍測評案例.132.1 虛假安裝藍軍測評案例.132.2 人臉識別繞過藍軍測評案例.15三、業務安全藍軍測評類型.203.1 基礎測評.203.2 周期測評.213.3 行業橫評.21四、業務安全藍軍測評場景.234.1 營銷活動作弊場景.234.2 業務刷量場景.244.3 廣告刷量場景.244.4 人臉識別繞過場景.25附：攻擊效率指標取值高低參考.271.物料獲取效率.272.技術對抗效率.293前言互聯網黑灰產成長至今，已形成了團伙化、自動化、生態化、上下游嚴

2、密配合的產業鏈網。據統計，互聯網黑灰產對互聯網企業及線下實體行業每年造成近千億元的損失。網絡黑灰產的從業群體偽裝成正常的業務請求不斷蠶食鯨吞著企業業務的利益，如掠奪新人紅包的羊毛黨、利用企業平臺流量批量進行惡意營銷詐騙的引流產業、破壞企業推薦計費規則的刷量作弊產業等。隨著互聯網黑產攻擊模式的成熟，運作模式的可復制性越來越高，業務安全問題日漸突顯。當前，企業在處理業務安全問題時往往面臨著以下挑戰：攻防信息不對等：企業對黑灰產攻擊手段及變化缺乏深入了解，造成攻擊發現處理滯后、周期長的局面。策略效果評估難：策略下發后，難以全面評估策略效果、及時發現黑產新的繞過手段等。評估體系缺失：不同于互聯網基礎安

3、全，業務安全問題沒有明確的邊界。在基礎安全中，多數攻擊的危害程度已有像 OWASP Top10 這樣的評估標準，而業務安全由于場景復雜，同時需要綜合考慮用戶體驗及用戶活躍，一直缺乏一套行之有效的評估體系。與基礎安全的嚴防死打不同，業務安全的目標通常不是杜絕攻擊，而是將攻擊限制在可控的范圍內，從而確保業務的正常開展和業務規模的健康增長。以營銷活動場景對抗羊毛黨舉例，實體商品清庫存的互聯網促銷活動、餐飲行業需要到店消費優惠折扣券等情況，對羊毛黨的容忍度較高，業務安全的治理目標是將羊毛黨控制在 50%4以下，而針對特定客群的拉新活動，則希望補貼盡可能落在真人用戶上，對羊毛黨容忍度較低真人將有一定轉化

4、率成為長期用戶，羊毛黨的轉化率幾乎為 0，羊毛黨占比過高將損失掉很多機會成本，那么業務安全的治理目標是將其控制在 10%以下?？梢钥吹?，即使都是營銷活動場景，活動類型和規則不同，評估的目標也會不同。因此，企業的業務安全問題需要一套評估體系，能夠數字化體系化地描述遭受攻擊帶來的危害程度及安全策略實施后的效果等?；谝陨闲枨笈c目標，威脅獵人在 2020 年發布了國內首個 業務安全藍軍測評標準白皮書，填補了業務安全行業長期以來缺失攻擊危害及安全策略效果評估體系的空白。時隔四年，威脅獵人結合第一版標準落地過程中遇到的挑戰以及過去幾年在各行業多家客戶的業務安全藍軍實戰經歷，對第一版標準進行了修訂和更新，

5、發布了業務安全藍軍測評標準白皮書（2024 年版）。5業務安全藍軍測評標準016一、業務安全藍軍測評標準1.1 業務安全脆弱性評分(ISVS)業務安全脆弱性評分（Interaction Security Vulnerability Score）是從攻擊者視角出發，將企業的某個業務對象設定為攻擊目標，使用黑灰產的攻擊方式對該對象發起模擬攻擊測試，還原攻擊過程，并結合最終的攻擊結果評估黑灰產攻擊給該業務對象帶來的危害。ISVS 計算方式：ISVS=Max(攻擊效率 AE*目標達成率 AR)攻擊效率 AE(Attack Efficiency)測評對象或達成目標不同，評估攻擊效率取值的方式往往也會不同

6、，通?？梢苑謩e從物料獲取效率和技術對抗效率這兩個角度來考慮。物料包括攻擊過程中需要用到的手機號資源、賬號資源、IP 資源、設備資源、身份認證資源等，攻擊者獲取這些物料的成本越低，攻擊效率越高，反之越低；技術則包括攻擊過程中為了破解應用保護或繞過風控限制等，所用到的軟件逆向技術、改機技術、改定位技術、人臉偽造技術等等，攻擊者應用這些技術并攻擊成功的門檻越低，攻擊效率越高，反之越低。注：關于攻擊效率指標取值高低參考，詳見附件。7目標達成率 AR(Achievement Rate)目標達成率 AR 是指該攻擊方案的最終測試結果達到預期攻擊目標的比率。達到或超過預期攻擊目標，取值為 1。如果是定量的攻

7、擊目標，比如預期在指定時間段內攻擊成功 10000 次，實際攻擊成功 8000次，則目標達成率為(8000/10000)=0.8；如果是非定量的攻擊目標，比如預期是繞過測評對象的人臉識別，實際結果也是繞過成功，則目標達成率為 1，否則目標達成率為 0；如果需要在限定的條件下才能達成目標，比如只有低版本安卓系統才可以攻擊成功，則可以結合實際情況進行取值 0 到 1 之間。以上兩個指標各自評估出一個0,1區間的得分，相乘便得到ISVS評分，取值區間也是0,1。由于在測評過程中可能會采用多個攻擊方案進行測評，需要綜合多個攻擊方案的 ISVS 評分，取最大值（基于木桶短板原則）。ISVS 分數越高，則

8、說明測評對象面臨該攻擊方案時越脆弱，若黑灰產使用該方案對業務發起攻擊，造成的危害越大。下圖是 XX 產品面對五種攻擊方案時 ISVS 取值的散點圖分布：8XX 產品-業務安全藍軍測評結果1.2 ISVS 評分的參考意義企業在進行業務安全脆弱性評分(ISVS)時不是單純追求低分，而是從攻擊者視角，客觀反映出當前業務安全的水位，及時暴露短板，并以此推動整改和治理。1.2.1 基線對比前文提到業務安全的目標不是杜絕攻擊，而是將攻擊限制在可控的范圍內。如果有明確的定義，比如使用黑產廣泛掌握的攻擊方式（攻擊效率 AE 取值 1）發起 1000 次攻擊，攻擊成功次數低于 200 屬于可控，超出 500 屬

9、于失控，則可以建立兩個 ISVS 評分基準值：可控9基線 0.2 和失控基線 0.5。評分在區間0,0.2)說明將攻擊限制在可控的范圍內，評分在區間(0.5,1說明已經失控，急需加強安全建設。以散點圖形式對可控區間和失控區間進行直觀展示：XX 產品-業務安全藍軍測評基線1.2.2 縱向對比測評對象和預期目標不變的情況下，ISVS 評分也會隨著業務安全水位的變化和黑灰產攻擊方式的升級迭代而變化，因此業務藍軍測評需要周期性地進行，通過 ISVS 評分的縱向對比來反映安全建設工作的實際成效，以及是否出現了新的短板。以散點圖形式不同階段 ISVS 評分進行直觀展示：10XX 產品-業務安全藍軍縱向測評

10、1.2.3 橫向對比跟行業內的同類業務進行對比測評，并通過 ISVS 評分來反映測評對象在行業內的安全水位。如果相比行業內的同類業務，ISVS 評分偏高，則需要盡快加強安全建設，因為相對薄弱的業務必然會成為黑灰產的重點攻擊對象。以散點圖來展示測評對象在行業內的安全水位情況：11XX 行業-業務安全藍軍橫向測評12業務安全藍軍測評案例0213二、業務安全藍軍測評案例2.1 虛假安裝藍軍測評案例虛假安裝主要出現在業務營銷推廣當中，某些推廣渠道會跟黑灰產勾結，偽造虛假的應用安裝量，從而騙取企業的推廣費用。2.1.1 定義測評對象和攻擊目標測評對象：某社交應用預期攻擊目標：攻擊 1 周，每個攻擊方案平

11、均每天成功完成 2000 次虛假安裝2.1.2 制定攻擊方案基于黑灰產研究所掌握的情報信息，從攻擊者視角來看，虛假安裝目前主要有兩類攻擊路徑：1）在真實手機或模擬器上通過腳本模擬點擊的方式進行應用的安裝和啟動，并通過群控批量控制多臺設備，通過改機技術篡改設備的 IMEI、安卓 ID、Mac 地址等參數來偽造新設備。2）破解應用的接口協議，編寫自動化程序偽造應用安裝和啟動的接口請求，在請求參數中填入虛假的設備信息，在沒有實際安裝應用的情況下直接欺騙業務后臺。根據以上兩種攻擊路徑，制定出四種攻擊方案，如下：方案一：通過模擬器來偽造多臺手機設備；方案二：使用真實手機，并通過軟件改機的方式來偽造新設備

12、；14方案三：使用真實手機，并通過定制 ROM 改機的方式來偽造新設備；方案四：破解應用接口協議，直接偽造安裝和啟動的接口請求。2.1.3 執行攻擊并評估 ISVS攻擊方案方案說明AEARISVS方案一該應用具備較強的模擬器檢測能力，測試多款模擬器都無法正常啟動該應用，即使根據黑灰產所掌握的方法刻意抹去模擬器特征也不能成功，因此攻擊效率 AE 取值為 0，ISVS 評分也為 0。0/0方案二該應用具備較強的前端對抗能力，測試多款改機軟件，均被應用檢測出注入/Hook 等痕跡導致無法正常啟動該應用，因此攻擊效率 AE 取值為 0，ISVS 評分也為 0。0/0方案三定制 ROM 改機通過篡改系統

13、底層源碼來篡改設備信息，導致應用無法對其進行有效的對抗，測試可以安裝并啟動應用，同時每次改機后都會認為是一臺新設備的安裝。但定制 ROM 改機在測評期間并沒有被黑產廣泛使用，且需要購買專門的設備，因此攻擊效率 AE 取值為 0.5，最終平均0.50.60.315每天完成的虛假安裝次數為 1200 次，目標達成率AR為(1200/2000)=0.6，ISVS評分為0.5*0.6=0.3。方案四雖然協議攻擊是黑產常見的攻擊方式，但是該應用對接口協議做了加密，網絡抓包只能看到加密后的內容無法直接進行協議偽造；同時該應用做了代碼保護，無法直接反編譯加密算法也無法直接調用加密函數。最終在高級逆向分析工程

14、師投入一個月左右的時間才完成了協議算法的破解，這對于黑灰產來說技術對抗效率是比較低的，攻擊效率 AE 取值為 0.1。破解之后平均每天可以完成超過 2000 次的虛假安裝，目標達成率 AR 為 1，ISVS 評分為 0.1*1=0.1。0.110.1結合方案一到方案四的 ISVS 評分，測評對象的綜合 ISVS 評分為 0.3，同時可以給出評語：測評對象在防御虛假安裝上具備較強的安全能力，黑灰產無法通過模擬器或軟件改機偽造新設備來制造虛假安裝，而偽造協議的攻擊方式對于黑灰產有著很高的技術門檻，可以采用定期更換算法的方式來進一步限制這類攻擊。對于定制 ROM 改機不具備檢測能力，考慮到該方式會被

15、黑產越來越多地使用，需要盡早進行針對性防范。2.2 人臉識別繞過藍軍測評案例16人臉識別繞過主要出現在一些關鍵的身份認證場景當中，比如網絡犯罪分子在掌握了受害者的賬號密碼之后，還需要繞過人臉識別，才能成功進行異地登錄、轉賬等敏感操作。2.2.1 定義測評對象和攻擊目標測評對象：某金融應用預計攻擊目標：成功繞過應用的人臉識別，完成非本人的賬號登錄2.2.2 制定攻擊方案基于黑灰產研究所掌握的情報信息，從攻擊者視角來看，繞過人臉識別有兩個關鍵步驟，分別是生成虛假的人臉視頻和控制手機攝像頭播放人臉視頻。生成人臉視頻有兩種方式，分別是：1）人臉活化：借助 CrazyTalk 等軟件，基于受害者的照片生

16、成眨眼、點頭、搖頭等動作的視頻；2）人臉替換：借助 DeepFaceLab 等軟件，將提前錄制好的視頻中的人臉，替換成受害者的人臉?？刂剖謾C攝像頭播放人臉視頻有三種方式，分別是：1）拍攝電腦屏幕：在電腦上播放人臉視頻，手機攝像頭直接拍攝電腦屏幕；2）手機攝像頭劫持：購買黑灰產定制的過人臉手機，劫持攝像頭的視頻流；3）云手機虛擬攝像頭：利用云手機的虛擬攝像頭功能，可以播放指定的視頻。因此一共組合出 2*3=6 種攻擊方案，如下：17方案一：人臉活化+拍攝電腦屏幕；方案二：人臉活化+手機攝像頭劫持；方案三：人臉活化+云手機虛擬攝像頭；方案四：人臉替換+拍攝電腦屏幕；方案五：人臉替換+手機攝像頭劫持

17、；方案六：人臉替換+云手機虛擬攝像頭。2.2.3 執行攻擊并評估 ISVS攻擊方案方案說明AEARISVS方案一使用人臉活化方式制作出來的視頻，無法通過檢測，因此方案一的目標達成率 AR 取值為 0，ISVS 評分也為 0。/00方案二同方案一/00方案三同方案一/00方案四攝像頭對著電腦屏幕拍攝，無法通過檢測，因此方案四的目標達成率 AR 取值為 0，ISVS 評分也為 0。/00方案五劫持攝像頭并播放人臉替換后的視頻，可以通過檢測并登錄成功，因此方案五的目標達成率 AR 取值為 1。0.510.518但這種攻擊方案需要購買專門的過人臉手機，且不保證穩定性，攻擊效率 AE 取值為 0.5，I

18、SVS 評分為(0.5*1)=0.5。方案六云手機虛擬攝像頭播放人臉替換后的視頻，可以通過檢測并登錄成功，因此方案六的目標達成率 AR 取值為 1。雖然云手機使用門檻不高，但該攻擊方式在測評期間并沒有被黑灰產掌握，綜合攻擊效率 AR 取值為 0.2，ISVS 評分為(0.2*1)=0.2。0.210.2結合方案一到方案六的 ISVS 評分，測評對象的綜合 ISVS 評分為 0.5，同時可以給出評語：測評對象對于防御人臉識別繞過存在一定的安全盲區，雖然通過人臉活化技術制作的視頻無法繞過檢測，但通過人臉替換技術制作的視頻，配合特定手機劫持攝像頭以及云手機虛擬攝像頭，均可以成功繞過檢測。一旦被黑灰產

19、惡意利用，可能會給用戶帶來巨大的資產損失，因此需要盡早進行針對性防范。19業務安全藍軍測評類型0320三、業務安全藍軍測評類型前文提到互聯網黑灰產成長至今已形成了團伙化、自動化、生態化、上下游嚴密配合的產業鏈網，隨著網絡黑產攻擊模式的成熟，運作模式的可復制性越來越高，業務安全問題日漸突顯。當下，企業在處理業務安全問題時面臨著攻防信息不對等、策略效果難評估等挑戰，業務安全藍軍測評服務應運而生。業務安全藍軍測試人員將模擬真實黑產，使用真實環境中的黑產資源、攻擊工具和方法，在可控范圍內進行非破壞性的還原攻擊測試，復現攻擊細節，幫助企業了解以下內容：產業鏈現狀：得到當前產業鏈攻擊的投入成本、產出利益、

20、產業鏈的攻擊規模及攻擊企業自身的黑產的攻擊規模等。輔助企業從成本等多維度優化對攻擊行為的處理方式，提高防守效率，加高攻擊者門檻等。攻擊手段細節：得到當前黑產的一手數據及攻擊手段細節，輔助企業合理及時調整風控策略及規則。當前，業務安全藍軍測評主要有以下幾種類型：3.1 基礎測評基礎測評適用于業務安全建設早中期，這個階段企業往往對黑灰產缺乏了解，不清楚業務是否有遭受黑灰產攻擊以及是否攻擊成功，也不清楚黑灰產攻擊造成的危害，因此需要通過專業的業務安全藍軍測評來建立對黑灰產認知，并針對性進行安全建設。21為了幫助客戶進一步了解黑灰產，除了輸出業務安全藍軍測評報告之外，還可以根據客戶需求，輸出相關的黑灰

21、產產業鏈研究報告。3.2 周期測評周期測評適用于長期開展的業務功能或營銷活動，同時業務安全建設到中期之后，由于業務發展的變化和黑灰產的變化，需要通過周期性的測評來反映當前的業務安全水位，是否有提升或下降，評估各項安全策略的具體效果的同時，及時發現新出現的業務安全盲區。3.3 行業橫評指定相同場景下的相同測試項或相似測試項，選定同行業不同公司，對相同測試項同時進行測評，并對其進行橫向對比。此類測評會存在一定限制，對于需要取得授權才能進行的測試項，在未獲得授權時不能進行測評。22業務安全藍軍測評場景0423四、業務安全藍軍測評場景4.1 營銷活動作弊場景補貼、新人紅包、助力提現等活動是企業常見的營

22、銷手段，也是黑灰產普遍會關注的利益點。不同的活動和目標面對的羊毛黨攻擊風險及容忍度不同，測評的預期目標也會有所不同，以下是一些典型的測評項目舉例：1、特定優惠券批量獲取類活動測試項目：某平臺 5/10/15 元新人券獲取變現；預期攻擊目標：1 小時內完成 100 次賬號注冊，賬號要求可成功獲取并使用優惠券。2、拼團類活動測試項目：某平臺的老帶新拼團活動；預期攻擊目標：1 小時內完成 30 組拼團，進入發貨流程視為發起羊毛攻擊成功，考慮實體商品變現渠道前提下。3、助力邀請拉新提現類活動測試項目：某平臺邀請好友得現金活動；預期攻擊目標：老號拉新模式拿到最高獎勵，且可以批量執行，提現成功記為攻擊成功

23、。此外還有幾點需要注意下：1、營銷活動可能出現在應用中，也可能出現在小程序中或者 H5 頁面中，對于不同的端，黑灰產的攻擊效率也會不同；2、黑灰產攻擊營銷活動最終要通過某種渠道進行變現，因此測評時可以根據客戶需求，將最終成功變現的數量作為攻擊目標。244.2 業務刷量場景業務刷量主要出現在社交、內容、電商等平臺，通過刷指定對象的訪問量、點擊量、播放量、點贊量、評論量等，一方面可以騙取平臺的激勵，另一方面可以提升排名獲得更多曝光量或資源傾斜，對平臺生態造成破壞。以下是一些典型的測評項目舉例：1、刷訪問/點擊/播放量測試項目：某視頻網站指定視頻；預期攻擊目標：1 天內完成 10000 次視頻播放，

24、且不能被后端風控識別為虛假刷量。2、刷點贊/回復/評論量測試項目：某社交平臺指定帖子；預期攻擊目標：1 天內完成 500 次回帖，且不能被后端風控識別為虛假刷量。4.3 廣告刷量場景廣告刷量是廣告行業一直就有的潛規則，按照不同的結算方式，通過刷廣告的曝光量、點擊量、下載量、安裝量等，騙取廣告主的廣告費用。而對于廣告主而言，往往也并不要求做到100%的真量，因此測評項目主要圍繞以下兩個需求來設計：1、限制大規模刷量通過測評來評估黑灰產是否可以通過群控、偽造協議等方式大規模制造虛假的廣告曝光量、點擊量等。2、對比渠道質量通過測評獲取的數據，計算廣告主投放的各個渠道中假量的占比，作為渠道質量對比的重

25、要依據。254.4 人臉識別繞過場景人臉識別作為最為重要的身份認證手段，確保執行登錄、轉賬、支付等敏感業務動作時是本人在操作。一旦人臉識別被繞過，意味著最可靠的防御機制被突破，難以再對后續危害進行有效的阻斷。因此對于金融、支付等跟用戶資產強關聯的應用，針對人臉識別繞過場景的藍軍測評，是非常必要的。隨著 ChatGPT 等 AI 技術的發展，制作的人臉視頻會越來越逼真，這將是一個長期攻防對抗的過程，因此測評需要周期性地進行。26業務安全藍軍測評流程0527五、業務安全藍軍測評流程1、溝通測試需求：雙方就測評對象和預期攻擊目標等進行溝通說明；2、藍軍測評小組輸出推薦測試項文檔：測評小組根據客戶需求

26、輸出推薦的測試項及測試評估標準等；3、討論確定測試對象和預期攻擊目標；4、簽訂合同及授權協議；5、實施測試；6、驗收測試結果。附：攻擊效率指標取值高低參考1.物料獲取效率1）手機號獲取方式攻擊效率短信驗證碼存在暴破或回顯等漏洞，導致可以隨便填寫手機號高通過黑灰產接碼平臺獲取的手機號可以進行注冊、登錄和業務操作高通過黑灰產私密對接獲取的手機號可以進行注冊、登錄和業務操作中只能使用真人在用的手機號進行注冊、登錄和業務操作低28使用查殺分離的方式，只有在黑手機號注冊的賬號進行惡意業務操作的時候才進行限制低2）賬號獲取方式攻擊效率新注冊的賬號沒有任何限制，可執行敏感業務操作如批量發帖、回帖等高新注冊的

27、賬號無法執行敏感業務操作，需要積累到一定的活躍度中可以使用機器養號的方式積累賬號的活躍度高無法使用機器養號，只能人工養號或購買真人賬號低賬號更換設備或地域進行登錄時，無需進行任何驗證高賬號更換設備或地域進行登錄時，需要進行短信等驗證中可以通過 PS 偽造營業執照并成功注冊企業賬號高3）IP獲取方式攻擊效率無 IP 訪問頻率、常見登錄地域 IP 等風控限制策略高使用代理 IP、秒撥 IP 等方式可以繞過風控中使用代理 IP、秒撥 IP 等方式可以繞過風控，但部分攻擊被識別或攔截中29使用代理 IP、秒撥 IP 等方式難以繞過風控低4）設備獲取方式攻擊效率可以使用常見的模擬器來偽造出多臺設備高可以

28、使用多開分身等工具來偽造出多臺設備高可以使用軟件改機的方式來偽造出多臺設備高可以使用定制 ROM 改機的方式來偽造出臺設備中可以使用硬件改機的方式來偽造出多臺設備低2.技術對抗效率1）協議破解和偽造破解和偽造方式攻擊效率通過抓包工具截獲的可以直接進行重放攻擊高通過常見的反編譯工具可以直接還原出協議請求的相關代碼高協議請求相關的代碼做了加固，破解難度低高協議請求相關的代碼做了加固，破解難度高；但可以直接調用相關函數中協議請求相關的代碼做了加固，破解難度高；且無法直接調用相關函數低302）前端對抗對抗方式攻擊效率可使用 XPosed/LSPosed 等常見框架注入應用進程進行攻擊高可使用黑灰產魔改

29、后的框架注入應用進程進行攻擊中可使用注入系統進程或服務的方式進行攻擊中以上所有對抗方式都無法正常進行攻擊低3）人機識別對抗對抗方式攻擊效率未使用人機識別驗證碼或使用簡單的圖形驗證碼高使用了滑塊/點選等較為復雜的驗證碼，需要借助黑灰產打碼平臺中使用群控工具、按鍵精靈/AutoJs等腳本工具或WebDriver/Selenium等Web自動化工具編寫模擬人工操作的腳本，可以攻擊成功高使用群控工具、按鍵精靈/AutoJs等腳本工具或WebDriver/Selenium等Web自動化工具編寫模擬人工操作的腳本，部分攻擊被識別或攔截中使用群控工具、按鍵精靈/AutoJs等腳本工具或WebDriver/Selenium等Web自動化工具編寫模擬人工操作的腳本，很難攻擊成功低