【白皮书市场研报】业务安全蓝军测评标准白皮书（2024年版）+.docx

的麻B18人THPCRTHl>4T6业务安全蓝军测评标准白皮书（2024年版）出品方：威胁猎人（深圳永安在姗技有限公司）a目标达成率AR(AchievementRate)目标达成率AR是旨该攻击方案的最终测试结果达瞬期攻击目标的比率，达到或超过预期攻击目标，取值为1.如果是定景的攻击目标，比如预期在指定A寸间段内攻击成功100次，实际攻击成功80次，则目标达成率为(8000/10000)=0.8;如果是三淀量的攻击目标，比如预期是绕过测评对象的人脸识别，实际结果也是绕过成功,则目标达成率为1,否则目标达成率为0；如果需要在限定的条件下才能达成目标，比如只有低版本安卓系统才可以攻击成功，则可以结合实际佶况进行取值0到1之间.以上两个指标各自评估出1区间的得分，蟀IJISVSi平分，TOZlBjffiSlO,1.由于在则评过程中可能会采用多个攻击方案进行洌评，需要综合多个攻击方案的ISVS评分.取最大值(基于木桶短板原则).ISVS分数越高，则说明测评对象面临该攻击方案时越能弱,若黑灰产使用该方案对业务发起攻击，造成的危吉越大.下图是XX产品面对五种攻击方案时ISVS取值的散点图分布:基线0.2和失控基线0.5.评分在区间©0.2)说明将攻击跟制在可控的范围内，评分在区间(051)说明已经失控，急需加强安全建设.以散点图形式对可控区间和失控区间进行直观展示：XX产品-业务安全蓝军测评基线3<1.2.2纵向对比测评对象和预期目标不变的情况下，ISVS评分也会随着业务安全水位的变化和黑灰产攻击方式的升级迭代而变化，因此业务盘军测评需要周期性地进行，通过ISVS评分的纵向对比来反映安全建设工作的实际成效,以及是否出现了新的短板.以散点图形式不同阶段ISVS评分进行直观展示：二、业务安全蓝军测评案例2.1 虚假安装蓝军测评案例虚假安装主要出现在业务舌销推广当中，某些推T磔道会跟黑灰产勾结，伪造虚假的应用安装量，从而奖取企业的推广费用.2.1.1 定义测评对象和攻击目标测评对象：某社交应用预期攻击目标：攻击1周，每个攻击方案平均每天成功完成2000次虚假安装2.1.2 制定攻击方案基于瓢产研究所掌握的情报信息，从攻击者视角来看，虚假安装目前主要有两类攻击路径：1)在真实手机或模拟器上通过脚本模拟点击的方式进行应用的安装和启动，并通过群拽比显控制多台设法,通过改机技术隽改设制的IMEI、安卓ID、Mac地址等参数来伪造新设备.2)破解应用的接口办议，编写自动化程序伪造应用安装和启动的接口请求，在请求参数中填入虚假的设备信息，在没有实际安装应用的情况下亘接欺骗业务后台.根提以上两种攻击路径,制定出四种攻击方案，如下：方案一：通过模拟器来伪造多台手机设备；方案二：使用亘实手机，并通过软件改机的方式来伪造新设备；每天完成的虚假安装次数为12次，目标达成$AR为(1200/2000)=0.6JSVS评分项.5*0.6=0.3.方案四虽然协议攻击是黑产常见的攻击方式，但是该应用0.110.1对接口协议做了加密，网络抓包只能若到加密后的内容无法直接进行协议伪造；同时该应用做了代朝保护，无法直接反编译加密算法也无法直接调用加宓困数,最终在高级逆向分析工程师投入一月左右的时间才完成了协议算法的破解,这对于黑灰产来说技术对抗效率是比姣氏的,攻击效率AE取值为O1.破解之后平均每天可以完成超过2000雄虚假媛，目标达癖AR为,ISVS评分为0.1*1=0.1.结合方案一到方案四的ISVS评分，测评对象端合ISVS评分为0.3,同时可以给出评语:源平对象在防御虚辍安装上的安全能力，黑灰产无法过模拟甥或软件¾出I伪造新来制造虚假安装，而伪造协议的攻击方式对于黑灰产有着很高的技术门槛，可以采用定期更换舞撷方式来进一步限制这类攻击,对于定制RoM改机不具备检测能力，考虑更咳方式会被黑产越来越多地使用,需要尽早进行针对性防范.2.2 人脸识别绕过蓝军测评案例方案一：人脸活化+拍摄电脑屏幕；方案二：人脸活化+手机摄像头劫持；方案三：人脸舌化+云手机虚拟摄像头；方案四：人胎替换+拍摄电脑屏茸；方案五：人脸替换+手机撮像头劫持；方案六：人脸替换+云手机虚拟摄像头.2.2.3执行攻击并评估ISVS攻击方案方案说明AEARISVS方案一使用人脸活化方式制作出来的嬲，无法通过检测，因此方案一的目标达成率AR取值为O,ISVS评分也为0/00方案二同方/00方案三l¾3S6-/00方案四摄像头对着电脑屏尊K三,无去通过检测,因此方案四的目标达成率AR取值为O,ISVS评分也为0./00方案五劫持摄像头并播放人睑替换后的视频，可以通过检测0.510.5并登录成功.因此方案五的目标达成率AR取值为1.a三加R四、业务安全蓝军测评场景4.1营销活动作弊场景÷H.新Aa包眼健陶励处!麻财翻拜S.½SCeg遍会关注三JS点.不同的活动和目标面对的羊毛党攻击风险及容忍度不同，测评的预期目标也会有所不同，以下是一些典型的测评项目举例：1、特定优忠券批获取类活动测试项目：某平台5/10/15元新人券获取变现；预期攻击目标：1"树内完成100次账号注册,账号要求可成功获取并使用优惠券.2、拼团类活动测试项目：某平台的老带新拼团活动；预期攻击目标：1时内完成30组拼团，进入发货流程视为发起羊毛攻击成功，考虑实体商品变现渠道前提下.3、助力邀请拉新提现类活动测试项目：某平台邀请好友得现金;舌动;预期攻击目标：老号拉新模式拿到最高奖励,且可以批量执行，提现成功记为攻击成功.此勺HsW几点需要的下：1.营销活动可能出现在应用中，也可能出现在谯序中或者H5页面中，对于不同的端,黑灰产的攻击效率也会不同；2、黑灰产攻击营销活动最终要通过某种渠道进行变现，因此测评时可以根据客户需求，将最终成功变现的数量作为攻击目标.4.4人脸识别绕过场景人脸识另蚱为最为至要的身份认证手段，确保执行登录、转账、支付等敏嗖业务动作时是本人在操作,一旦人脸识别被绕过,意味着最可靠的防御机制破突破，难以再对后续危客进行有效的阻断.因此对于金融、支付等跟用户资产强关联的应用，针对人脸识8!1绕过场景的蓝军测评,是非罐必要的.随君ChatGPT等Al技术的发展，制作的人脸视频会越来越逼真，这将是一个长期攻防对抗的过程，因此测评需要周期性地迸行.S五、业务安全蓝军测评流程1、沟通测试需求：双方豳辟对象和预期攻击目标等进行沟通说明；2、蓝军测评小组输出推荐测试项文档：测砰组根据客户需求输出推荐的洌试项及测试评估标准等；3.讨论蜘定测试又搀和预期攻击目标；4、签订合同及授权协议；5、实施测试；6、鸵收测试结果.附：攻击效率指标取值高低参考1.物料获取效率1）手机号攻击效率短信验证码存在罂显等泯洞，导致可以随便填写手机号通过焦灰产接码平台获取的手机号可以进行注册、登录和业务操作高通过黑灰产私密潮瀛取的手机号可以进行注三.登录和业务操作中只能使用真人在用的手机号进行注册、登录和业务操作使用亘杀分留的方式，只有在黑手机号注册的账号进行恶意业务操作的时候才低进彳强制2）账号攻击效率新注册的账号没有任何限制，可执行敏感业务操作如批量发帖、回帖等新注册的账号无去执行敏感业务操作，需要积累到一定的活跃度可以使用机器养号的方式积景账号的活跃度元去使用机器养号，只能人工养号或购买宜人账号账号更换设备期共行S录时，无需进行任何验证账号颊设备行登制，需要进行短信可以通过PS伪造营业执照并成功注册企业账号3)IP攻击效率无IP访问频率、觉见登录地域IP等风控限制策略使用代理IP、秒拨IP等方式可以绕过风控使用代理IP、秒拨IP等方式可以绕过风控，但部分攻击破识SU或拦截使用代理【P、秒拨IP等方式难以绕过风控低4）设备获取方式攻击效率可以使用常见的模拟器来伪造出多台设备高可以使用多开分身等工具来伪造出多台设备高可以使用软件改机的方式来伪造出多台设备高可以使用定制ROM改机的方式来伪造出台设备中可以使用硬件改机的方式来伪造出多台设备低2.技术对抗效率D协议破解和伪造破解和伪造方式攻击效率通过抓包工具截获的可以直接进行重放攻击高通过常见的反知译工具可以直接还原出协议请求的相关代码高协议请求相关的代码做了加固，破解难度低高协议请求相关的代码做了加固，破解难度高;但可以直接调用相关函数中协议谙求相关的代码做了加固，破解难度高;且无法直接调用相关函数2）前蜿对抗前放三三可使用XPosed/1.SPosed等常见框架注入应用进程进行攻击高可使用黑灰产魔改后的框柒注入应用进程进行攻击中可使用注入系统进程或服务的方式进行攻击中以上所有对抗方式都无法正常进行攻击（氐3）人机识别对抗m5三c三三未使用人机识别验证码或使用衙单的图形验证码高使用了滑块/点选等较为良杂的辑证码，需要借助黑灰产打码平台中使储控工具、搬精灵/AutoJs等脚本工具或WebDriVer/Selenium等Web高自动化工具编写模拟人工操作的脚本，可以攻击成功使邮展工具、蝌精灵/AutoJs等脚本工具或WebDriVer/Selenium等Web中自动化工具编写模拟人工操作的脚本，部分攻击被识别或拦战使JW控工具、蝌精灵/AutoJs等脚本工具或WebDriVer/Selenium等Web低自动化工具编写模拟人工操作的脚本，很难攻击成功