SRC威脅情報挖掘

什么是威脅情報

從各大乙方的產品介紹和功能上看，對威脅情報的定義大概就是ip+域名的黑名單和rat馬子的樣本balabala。這部分跟src認定有價值的威脅情報相去甚遠，在這里不做討論。

本文單指狹義的src認定有價值的會給出賞金的漏洞情報。包括但不限于以下幾種黑灰產利用方式：

訂單信息泄漏（賞金重撈區，也是白帽子被坑錢最多的地方）
刷單（如果不是刷單詐騙，那真實的刷單團伙如何掙錢和交易的呢）
視頻刷量
賬號實名制解除、更換、代實名認證
企業資質認證等各種特權賬號認證
...
值得注意的是各個src對威脅情報的處理流程不同，有些大型公司往往配置自己的情報處理團隊（如情報部門）或交給對應業務的安全團隊（如風控部門），各src審核往往只針對業務方和情報部門的反饋根據影響范圍定級，不直接參與情報審核，所以情報類漏洞的處理流程和時間與常規漏洞提交相比往往會長數倍。但如果最終確認，如訂單泄漏類往往輕易達到高危嚴重級別
# SRC會收取怎樣的漏洞情報
情報和漏洞相同，如漏洞根據各項資產的權重不同會得到不一樣的最終評分一樣，情報根據廠商業務不同的側重點，也會收到不同程度的重視。如
某些依賴電商營收的業務方，往往對訂單泄漏問題極為重視，內部也存在專業的風控情報團隊第一時間收集、處理外部威脅情報
某些廠商作為“游戲”IM大廠，對游戲側外掛、賬號、私服、裝備等威脅情報往往更為重視（也較多發生）

簡單來說一句話

資損問題>法律問題>輿論壓力

除此之外還要思考業務部門能否處理問題和我們能否提出幫業務方解決問題，有一個很坦誠的邏輯：情報方/業務方支付賞金，代表認可你的情報對我方有威脅，那么我走了經費，收了情報，處理不了怎么辦，此處點名某app對社交白賬號批量注冊買賣無能為力的行為.......，而和漏洞的“該問題風險較小”相對應的是“這個問題我們暫時可接受”，當然他們不會直接回應這句話，但你提交一些情報被忽略要可以想到，哭唧唧.......

如何挖掘漏洞情報

訂單泄漏類情報挖掘

tg中文搜索引擎

tg上目前很多機器人搭建的搜索引擎，，根據關鍵字如母嬰、護膚、醫美等關鍵字在搜索引擎搜索，可以發現各類賣買數據的交流群，群中魚龍混雜，這里也是數據買賣新手最容易被騙的地方，因為之前幾波嚴打，現在很少會有愿意被白嫖給幾條數據測試這樣的老哥了。這里有幾個比較穩的判斷方法

群主牛批（只要群里還能自由聊天，群主一般會踏踏實實賣，除非要跑路了，反之進去人很多但進去就被全員禁言，群主一個人說話的...不行跑吧哥哥）
規模較大的，網站有子域名多套cms的>有網站的>有機器人的和客服的>單干的
數據源單一的，如只做某司某業務的
### potato、蝙蝠、密聊
除了tg之外最容易被引流的幾款加密聊天app，而且都是國人做的，很多老賣家非常喜歡用，這里的思路和tg其實大同小異。給的建議就是多加群和老哥們交流，這里的群要比tg值錢一點，其中某個匿名im前幾天還和某色情視頻拍攝團伙一起上了熱搜

料子來源

最后這里可以講下所謂的一號賣家的收料來源，幫助大佬們在和賣家聊天過程中判斷自己賣到的是不是一手料

店主雇傭的客服內鬼、或大賣家直接雇內鬼入職客服偷完數據就跑
木馬釣魚，普通人還是會中招pdf.exe的
快遞側員工數據泄漏
代運營公司插件漏洞或內鬼或干脆公司賣數據
油猴腳本帶后門

刷單刷量刷水果類情報挖掘

自動化刷量刷單

這類情報的挖掘相對來說較為簡單，因為法不責眾，且賣量老板自行搭建機房在用電方面存在現實風險，所以通常會通過tg相關群內發送建群信息請各大機房主進群，在群內發布autojs等自動化腳本，甚至貼心的發布使用教程對接他們的賣量系統（95社區等等），或在群內通知建立小群，在小群內發布刷單物品信息和返現通道（TT等），并在幾分鐘內解散群聊

，這時候只要建立運營一個可信身份的機房主賬號，就可以輕易的被邀請到各個內部群中

刷水果

這里專指利用各類電商平臺上的小活動小游戲薅羊毛，如xx農場，xx果園、養小雞等等，這類腳本可在github上搜索關鍵詞青龍去找到項目對應腳本，并通過fork、star、follow的人的其他項目批量遍歷通過關鍵字篩選擴充新項目代碼，畢竟總有程序員菩薩在github發慈悲

游戲類情報挖掘

游戲是一塊很大的肉，所以整個外掛售賣產業鏈極長，層層加碼分割吃肉，且一些工作室老板會財大氣粗的訂制本工作室外掛，所以整體環境比較復雜，后面會另開一篇文章給師傅們介紹。

這里簡單說一下思路就是緊盯游戲開服和即將開服的信息，黃金半個月，極大量的團隊會選擇在這時候出手，吃完最肥的肉就跑，而且企業和業務方也會在這時候非常重視和渴求威脅情報且對新出現的攻擊缺乏防范能力，所以這段時間對白帽子提交威脅情報的收獲最大，反應和確定時間最短。

小說類情報挖掘

目前國內盜版小說環境魚龍混雜且極為成熟，頭部的經常可以搜到的盜版小說app其實根本不能直接通過自己的技術手段獲取盜版小說資源，而是通過直接對接盜版小說源+套殼app+買簽名上架app商城的方式快速的低成本運作，被app商城封禁之后迅速套殼繼續上線，整套流程全部自動化，封禁下架甚至幾乎不能起到傷筋動骨的傷害，而它們的主要營收則來自內嵌的各大廣告商的sdk，通過廣告點擊率、觀看時長、轉化率收取傭金。這類app的盜版小說來源則來自tg群（如某開源小說群組），甚至在githun、gitee及各科技論壇發布盜版小說源集合，會有專人專群進行分享

如何在有情報部門的src手上吃肉

如何有耐心貼靠黑灰產人員，安全是個圈，黑灰產也是個圈，且黑灰產的老哥往往更希望得到友情等社交方面的認可。只要確定對方數據、外掛沒有問題，那就多和他溝通交流，讓他帶你進入圈子，不要買完測完數據就跑，買賣不成仁義在。這樣才能觸及到企業部門大量情報收集下觸及不到的深層地區。當你和他可以互道晚安的時候，相信他離法律的制裁就不會遠了

幾個src提交情報的感受

阿里這種有自己情報處理團隊且舉辦過專項活動的src就不多說了，有錢舒適，講下其他公司的體驗
某d的情報是風控團隊在處理，所以反應速度極其的慢。。。當然漏洞好像也不快哈哈哈
騰訊有自己的反外掛團隊除了技術也在做情報，所以對外掛側情報質量要求較高，但是給分也還可（畢竟在標準里寫明了有效外掛情報=高危）
其他的src大佬們可以嘗試一下，報告寫的盡量詳細一些，盡量可以落地到人、社工信息、真實照片，不然可能會出現他們可能不知道怎么處理的情況

目錄