Çağrı ücreti şarj etkinliğini toplayan e-ticaret platformu olay analizinden etkilendi
Siyah üretim çeteleri, tüm İnternet endüstrisi için istikrarlı izleme kanallarına sahiptir ve kurumsal risk kontrolünün gücünü tespit edebilirler. Hızlı bir şekilde saldırmak ve para kazanmak için zayıf risk kontrolüne sahip platformlar bulabilirler.
Bununla birlikte, çoğu şirketin siyah ve gri endüstri zincirinin tam resmini kendi veri trafiği üzerinden görmesi zordur, bu da şirketleri siyah ve gri üretim saldırıları karşısında çok pasif hale getirir. Bu nedenle, siyah ve gri ürünlerin saldırgan davranışlarını düzenli olarak açıklamaya, tüm sektördeki siyah ve gri ürünlerin saldırı ve savunma bilincini iyileştirmeye ve kurumsal saldırı ve savunma girişimlerini artırmaya karar verdik.
ETİKET: Çağrı ücreti yeniden doldurma faaliyetleri, tüyleri ayırma, otomatik araçlar, saldırı trafiği, siyah üretim kaynakları
Tarih: 28 Mart 2019
Etkinlik Açıklaması
özet:
Tehdit avcısı TH-Karma'nın iş zekası izleme platformu, 11 Mart 2019'dan beri siyah üretim çetelerinin e-ticaret platformunun "% 10 indirimli arama" pazarlama kampanyasına karşı sürekli "polar saldırılar" gerçekleştirdiğini ortaya çıkardı. Saldırı hacmi, 24 Mart 2019'da günlük siyah ve gri saldırı trafiği eşiğinin çok ötesine geçerek zirveye ulaştı.
Yünün mantığı:
Yunji, "telefon faturasında% 10 indirim" pazarlama kampanyasını yayınladı.Her hesap, günde% 10 telefon faturası şarjından (50 RMB'nin üzerinde) yararlanabiliyor.
Sonuç olarak, bazı kara kül üretim çeteleri, Yunji hesaplarını toplu olarak kaydetmek için alıcı platformu kullandı. Daha sonra vekil şarj platformu (arı vb.) Üzerinden telefon faturası yeniden ücretlendirilmesinde% 9,85 indirim sağlama hizmeti normal kullanıcılara sunulmaktadır. Proxy ücretlendirme platformundan sipariş aldıktan sonra, istifleme hesabı Yunji platformundaki telefon faturasını% 10 indirimli olarak şarj etmek için kullanılır.
Başka bir deyişle, yeniden doldurulan her 100 yuan telefon faturası için, siyah ve gri üretim çetesi 1.5 yuan fark kazanabilir.
Otomatik saldırı yöntemleri:
Tehdit avcısı TH-Karma'nın iş zekası izleme platformu izlemesine göre, etkinlik başladıktan kısa bir süre sonra, etkinliğe yönelik otomatik saldırı araçları ağda göründü ve araç adları çoğunlukla "Yunji Register", "Yunji Register + Bee Snatching Order" idi. En son özel "vb. İçin sipariş toplama Bu tür bir yazılım, Yunji platformunda toplu kayıt, otomatik sipariş kapma ve şarj platformu adına eksiksiz bir prosedürler setini entegre eder Siyah endüstrisi, kaşmir yününün hızlı ve toplu olarak gerçekleştirilmesi için bu tür araçları kullanabilir.
Bu tür araçların temel işlevleri aşağıdaki gibidir:
Toplu olarak mevcut Yunji hesaplarını almak için numarayı alıcı platform aracılığıyla otomatik olarak kaydedin veya tarayın;
Otomatik toplu oturum açma için hesap oturum açma bilgilerini otomatik olarak kaydedin;
Hesapta kalan yeniden yükleme indirimi sayısını ve gün içindeki yeniden yükleme kayıtlarını kontrol edin;
Yunji platformu aracılığıyla belirlenen cep telefonu numarasının yeniden doldurulması için otomatik olarak bir istek başlatın;
Araçlardan bazıları, Bee gibi platformlarda telefon faturası siparişlerini yükleme işlevi ile donatılmıştır.
Saldırı ölçeği
Tehdit avcısı TH-Karma'nın iş zekası izleme platformu, Yunji'nin arama ücreti yeniden yükleme indirim etkinliğine yönelik saldırının 11 Mart 2019'da başladığını ve 24 Mart 2019'da toplam 73W + saldırı hacmi ile zirveye ulaştığını gösteriyor.
Kara kül üretiminin maliyeti ve kârı
Siyah ve gri üretim tamamen kâr amacı güden bir gruptur.Tehdit avcılarından gelen eksik istatistiklere göre siyah ve gri üretim, 24 Mart 2019'da yalnızca 800.000 ila 1 milyon arasında bir günlük kâr sağlayabilir.
Belirli maliyet ve kar verileri aşağıdaki gibidir:
Kar:
Tek Yunji hesabı: 1.5 yuan / gün;
maliyet:
Kayıtlı hesap: 0.1 yuan / her biri;
Satın alma araçları: 100 ila 200 yuan arasında değişiyor.
Tehdit göstergeleri (IOC)
1. Kötü amaçlı cep telefonu numaralarının bir kısmı (kısmi)
170814711911380746494018458343749184582477571887469649813456733041178584108311470923071213486394970183343595971572496668617139987161158244483591762177484266134863403846 2. Saldırı kaynağı IP adresi (kısmen, tümü ADSL dinamik IP'dir)
IP adresi 125.44.92.188 Luohe Şehri, Henan Eyaleti 115.234.109.148 Wenzhou Şehri, Zhejiang Eyaleti 221.234.159.51 Wuhan Şehri, Hubei Eyaleti 183.202.17.8 Linfen Şehri, Shanxi Eyaleti 3. Saldırı araçları (kısmi)
Dosya adı MD5 Kayıt Giriş son yarı adanmış .zip4e6d04d6cbbea85f74f31298dfd5bdc5 toplanan yeni arayüzü 20. APP toplanan _ Ki-çivili başyardımcısı v1.8.exe920de167dc7999cc27f10712f83b5d2b süper kapmak biri 1.5.exe97bae6f7bb4d0c97949fc4a8ed43eacf toplanan .exe878bd8f43a5e5fa4e0fce2ade55d36cb toplanan .exe460aa3894442525a0bde4e5fb45aefb2 Toplanan 8.92_ (düzeltme) + Arı kapmak kayıtlı bir .exe6a3597258104f0b8c96cfa7afed7a1d4 4. Siyah üretim kaynakları-kod bağlantı platformu:
Tehdit avcısı tavsiyesi
1. Kayıtlı hesabın riskini tanımlamak için harici risk veri etiketini tamamlayın.
2. Siyah ve gri üretim saldırılarının dinamiklerinin zamanında tespit edilebilmesini ve güncellenen ve geçersiz olan risk kontrol stratejisinin ayarlanabilmesini sağlamak için iş trafiğini izlemek ve harici istihbarat yetenekleri yardımıyla iyi bir iş yapın.
Hakkımızda
Threat Hunter, ticari güvenlik istihbaratı yetenekleriyle tanınan yenilikçi bir güvenlik şirketidir.Müşterilere, önleme ve kontrolden mücadeleye kadar kapsamlı bir iş güvenliği çözümü olan ticari saldırı ve savunma istihbaratı sağlamayı amaçlamaktadır. Kuruluşundan bu yana şirket, bir dizi yerli lider iş güvenliği istihbaratı izleme ve erken uyarı sistemleri oluşturmak, güçlü bir kara kül üretim kontrol yeteneği oluşturmak ve müşterilere kara kül üretim zekası ve iş riski kontrol çözümleri sağlamak için çok fazla kaynak yatırdı. Şu anda Tencent, Baidu, Ali ve Huawei gibi internet şirketleri için iş güvenliği hizmetleri sağlamıştır.
* Yazar: Hunter tehdidi Threathunter, FreeBuf.COM'dan yeniden basılmıştır.
