CaaS威胁，在2023年开始流行

上一篇《报告：互联网上，73%流量来自网络爬虫》提到，恶意爬虫增长有两个原因：一是人工智能技术的普遍可用性，提高恶意爬虫的性能；二是黑灰产通过“犯罪即服务”提高了攻击的商业普及，让发起新攻击的速度加快，进一步增加黑灰产的数量。

“犯罪即服务”（CaaS，Crime as a Service）是一种网络犯罪模式，指的是一些有资源、技术和时间的黑客，为那些想要针对某个企业或组织进行攻击，但没有这些条件的人或团体，提供定制化的网络攻击服务，并收取一定的费用。也就是说，CaaS让那些有攻击意图但没有技能的人，可利用一站式的攻击服务轻松发起攻击。而对于提供攻击服务的人而言，制造并出售攻击产品、攻击服务，即可轻松坐享简便、快速和可重复的持续收益。CaaS为是一个日益严重的威胁。曾被认为是2018年最大的网络安全问题之一，随着人工智能、机器学习、云计算的普及，更成为攻击者改进攻击方法的工具或目标。

CaaS威胁通常是针对性的，有特定的企业或组织目标，其目的主要是来窃取数据、破坏系统、勒索赎金或实施其他恶意行为。由于发起攻击者经验丰富，因此其攻击行为具有高度的隐蔽性和灵活性，并能够根据付费者的需求和目标，定制攻击方案、时间和方式。此外，CaaS威胁具有高度的可扩展性和可复制性，出租服务的攻击者拥有可以现成的工具和技术，能够快速地发动大规模的攻击。

CaaS打开了另一面网络犯罪的潘多拉魔盒，目前国际上常见的CaaS威胁有：恶意爬虫、勒索软件、分布式拒绝服务（DDoS）、网络钓鱼等攻击。

勒索软件即服务 （RaaS）：熟练和不熟练的攻击者，租用勒索软件工具并发起攻击，这是勒索软件攻击持续增加的原因之一。

攻击众包：攻击者在暗网中举行的公开比赛，以寻求新的攻击技术和方法，让更多攻击者帮助其提升其研发流程。

网络钓鱼即服务：想成为网络钓鱼攻击者的人，通过购买网络钓鱼工具包就可以发起钓鱼攻击。其中包括发起攻击所需的功能和工具，例如电子邮件模板、欺骗性网站模板、潜在目标的巧妙列表等。

购买分布式拒绝服务（DDoS）：攻击者只需要花费较少的费用（例如，在欧洲此类服务的价格范围在5到500欧元之间），就可以将目标的网站、App或单独某项服务造成短时间的无法访问或服务中断，由此导致重大收入损失和形象损失。

国内悄然兴起的CaaS威胁

国内的CaaS威胁悄然兴起，是从代抢票服务、作弊软件销售开始。

票务代抢服务

2023年9月，周杰伦在天津的演唱会开票不到30秒即被全部售罄，超过13万张门票被抢购一空。许多网友纷纷抱怨无法抢到票，与此同时，“黄牛”已将票价抬高到离谱的水平。一些内场前三排的票据称售价达到19800元。甚至有人将原价2000元的连座票定价150000元出售。

2023年暑假，博物馆门票成为热门。在官方渠道无法抢到的免费参观门票，却频繁传出可以通过加价代抢或捆绑服务等方式获得。这种情况发生在包括国家博物馆、南京博物馆、湖南省博物馆、陕西历史博物馆等热门博物馆。

2020年底，53度飞天茅台在多个电商平台大量上架。同时，某网购平台出现大量“茅台代抢服务”，消费者花几百元就能够通过该服务抢购到茅台酒。

所谓代抢服务，就是攻击者拿着粉丝、游客、消费者的个人信息进行的抢票、抢购行为。同样的一件商品或服务，如果A比B快了1秒钟，那么A就能成功购买，而B则无法购买到。

抢购者通过作弊工具进行批量注册、登录、抢购等操作，以快速、瞬时、批量地哄抢指定的商品或服务。这些作弊工具具备破解功能，能够突破电商下单协议，绕过图片验证码，自动更换IP地址，伪造设备编号等。只需填写好账号密码，设置好运行时间，就能够完成自动抢购的任务。

作弊工具销售

2022年1月，顶象防御云业务安全情报中心监测发现，黑灰产破解多家公司保险考勤系统，还制作出打卡作弊工具。通过该工具，保险公司员工能够不出门不到岗，也可以实现“上班打卡”，轻松领取全勤奖。

购买者通过电商平台、IM工具购买“人脸伪造考勤作弊工具”，然后登录保险公司的官方App。上传个人照片、输入工号信息，作弊工具通过注入方式向系统内提交虚假数据，从而骗过人脸识别，完成考勤打卡。

针对CaaS威胁的防御技术

顶象防御云业务安全专家分析发现，CaaS威胁在技术上有以下几个特征：

1、CaaS威胁通常采用模块化的设计，拥有大量攻击组件或服务，能够根据需要自由组合。例如，虚假账号、恶意爬虫都可以作为CaaS攻击的组件。

批量虚假账号。注册是创建一个账号的关键流程，攻击者利用技术能够进行批量自动化账号注册，从而注册几百乃至几万个账号，以实现瞬时规模化抢购。

2、CaaS威胁往往利用先进的加密和逃避技术，以避免被安全软件或机构检测和拦截。例如，通过秒拨工具、改机工具、模拟器来隐藏真实身份和位置。

快速伪造IP位置。IP 地址就是用户上网时的网络信息地址。攻击者使用秒拨 IP 的工具，能够自动调用全国甚至国外的动态IP地址，具有自动切换、断线重拨、自动清理浏览器的Cookies缓存、虚拟网卡信息等功能，能够快速无缝切换国内国外不同区域的 IP 地址。

快速伪造GPS定位。GPS 定位就是用户使用网络服务时所处的地理位置信息，攻击者利用模拟软件、第三方工具，就可以改变所在位置的经纬度，可以实现任何地方的瞬间“穿越”。

批量伪造设备属性。设备的型号、串码、IMEI等具有唯一性。攻击者利用改机工具能够从系统层面劫持设备接口，当应用调用这些接口来获取设备的各项参数时，获取到的都是改机工具伪造出来设备的属性信息。一般来说，2-3分钟改机工具就能完成1000个设备属性。

3、 CaaS威胁往往具有高度的协作性和可持续性，可以通过远程控制来实现长期的网络攻击活动。例如，使用群空软件操纵大量账号接收指令、发送数据、发布信息等。

使用群控对账号进行操控。黑灰产利用群控可以实现一台电脑控制上几十、几百部乃至几千台设备，进行统一的注册、登录、抢购、下单等。群控还提供模拟定位、摇一摇、批量导入通讯录等功能，还可以进行消息推送。

针对CaaS攻击的安全方案

顶象防御云业务安全专家建议，除了对业务规则的补充完善外，更需要针对性的更迭业务安全体系，以有效防范CaaS类的风险攻击。

设备及IP地址风险监测：接入IP风险库，对用户关联的IP进行风险匹配，识别代理、秒拨IP等恶意行为，并及时拦截恶意IP地址。同时，通过设备指纹识别技术，判断客户端设备的合法性，识别是否存在注入、hook、模拟器等潜在风险，并快速识别刷机改机、Root、越狱等非法行为。还可以通过监测同一设备多次激活、同设备关联IP行为异常、同一渠道中老设备型号占比异常等维度，进一步提升风险识别和拦截能力。

风险账号识别与拦截：在用户验证环节，分析验证环境信息和token，及时发现异常和风险操作。利用用户行为分析技术，对账号进行策略布控，针对同一设备切换大量账号进行订单发起的情况进行布控，有效识别并拦截风险账号。

数据分析与预测：建立本地名单动态运营维护机制，根据注册数据、登录数据、激活数据等信息，沉淀并维护对应的黑白名单数据，包括用户ID、手机号、设备等维度的黑名单。同时，结合风险控制策略和业务沉淀数据，利用机器学习和数据挖掘技术进行行为建模，对注册、登录、下单、抢购等行为进行分析与预测，输出的模型结果可直接为风险控制策略提供支持。

通过加强对设备和IP地址的监测，识别并拦截风险账号，以及基于数据分析和预测的风险行为变化，能够更加精准地识别和应对潜在的风险因素，为用户提供更安全、可靠的服务环境。同时，及时更新和优化风险控制策略，不断满足不断演变的风险形势和需求，保障业务的安全。

业务安全产品：免费试用

业务安全交流群：加入畅聊