点击上方蓝色字体灰产圈关注并置顶本公众号
来源:
合作伙伴:威胁猎人
(深圳永安在线科技有限公司)
目录
一、黑灰产工具软件特征分析
1.1 与产业链深度整合
1.2 极强的版本快速迭代能力
1.3 显著的逐利化趋向
1.4 游走在法律边缘的灰色地带
1.5 黑吃黑现象非常普遍
二、不断进化的方法和手段
2.1 从模拟脚本到多种开发语言
2.2 从PC端到多端支持
2.3 从终端发展到云端
2.4 从机械执行到机器学习
三、业务安全中活跃的黑灰产工具
3.1 账号类工具软件
3.2 刷量刷单类软件工具软件
3.3 薅羊毛类工具软件
3.4 内容爬取类工具软件
3.5 特定功能类工具软件
四、典型的黑灰产工具软件分析
4.1 B站手机注册机3.0
4.2 陌陌抢红包工具
4.3 58全职VIP发帖软件
五、总结
导语:2017年5月爆发的Wannacry勒索病毒造成了严重的影响,使得NSA武器库进入了大众的视野;在网络安全这片看不见硝烟的战场上,在战场的另外一个角落——互联网业务安全领域,黑灰产从业者手里也掌握着威力强大的武器库:各式各样的工具软件,而且不为人们熟知。如果说手机号、帐号、IP、设备等,是黑产从业者的弹药,那么工具软件就是将这些弹药威力发挥到最大的武器。而对于工具软件的分析和研究,是黑产研究的重要组成部分。
01
黑灰产工具软件特征分析
我们对过去半年捕获到的黑灰产工具软件进行了系统性的梳理和分析,发现现阶段黑灰产工具软件有如下一些明显的特征,深入理解这些特征,有助于我们对黑灰产业的发展有更加准确的掌控和判断。
1.1
1.2
1.3
1.4
1.5
02
不断进化的方法和手段
根据威胁猎人TH-Karma业务情报监测平台统计,每天互联网上新产生的各式各样的黑灰产工具软件,包括软件更新,超过1千款以上。这些工具软件伴随着互联网技术和IT技术的发展,也在不断的发展和进化中。
2.1
2.2
随着近年来移动互联网的高速发展,塑造了全新的服务体验和生活形态。互联网的产品、服务以及用户也从PC端更多的迁移到了移动端。对于黑灰产从业人员来说,他们所使用的工具软件,也从PC端发展到了移动端。从目前最火的短视频行业来看,过去几个月我们捕获了大量的黑灰产工具软件,移动端的数量已经远远超过了PC端,如下图:
相较于PC端工具软件,移动端工具软件可以通过外挂的方式,实现更低的对抗成本。经过我们分析,捕获的短视频行业黑灰产工具中,就有大量基于按键精灵安卓版和易安卓编写的黑灰产工具,覆盖了注册、刷量、引流等黑灰产核心业务场景,如下图:
图1
2.3
图2
2.4
图3.1
图3.2
03
业务安全中活跃的黑灰产工具
根据我们捕获的黑灰产工具软件情报分析,目前活跃的工具软件按照业务功能,大致可分为5大类:账号类、刷量类、薅羊毛类、内容爬取类和特定功能类。每种类型的工具数量占比如下图所示:
图3-1工具功能类型占比
在业务安全对抗中,刷量刷单类是黑灰产最常用的攻击工具,也是活跃度最高的一类工具,如刷文章阅读量、刷视频播放量、刷粉丝量和刷订单数量等,这类攻击集中体现在自媒体行业、电商行业和视频行业。除此之外,账号类、薅羊毛类和内容爬取类工具也活跃于黑灰产和厂商业务安全对抗中。特定功能类工具则主要包括模拟器、多开、改机和秒拨等功能性工具软件。
3.1
图3-1-1 火牛注册扫号软件
1
2
3
如今以账号为核心的黑灰产业链在各行业的发展都具有一定规模,尤其是在需要大规模账号刷量的业务场景,包括虚假注册、实名过脸、批量养号和刷量等。除去明显给厂商业务带来明显的薅羊毛伤害,更多的是虚假小号带来潜在的危害性。比如黄赌毒的传播,以及被使用于引流诈骗场景给厂商带来不良的舆论效果。下表是近期我们监控到的一些比较活跃的账号类工具软件:
表3-1-1 活跃的账号类工具
3.2
图3-2-1久久快手刷播放
1
2
3
下表是近期我们监控到的一些比较活跃的刷量刷单类工具软件:
表3-2-1 活跃的刷量刷单类工具
3.3
图3-2-2瓦利抢红包
1
2
3
下表是近期我们监控到的一些比较活跃的薅羊毛类工具软件:
表3-2-3 活跃的薅羊毛类工具
3.4
内容爬取类工具软件主要通过爬虫程序,采集电商数据、短视频用户作品、招聘网站简历和自媒体文章等。近期我们就发现有多款工具软件对拼多多的商品信息、店铺信息、拼团信息等数据进行爬取。以拼多多精灵为例,该工具软件通过请求apiv4.yangkeduo.com下的接口来爬取拼多多数据,提供开团提醒、关键词排名、类目排名、导出订单、物流监控、退款提醒、竞品对手监控等功能:
图3-2-3拼多多精灵截图1
图3-2-4拼多多精灵截图2
内容爬取类工具软件的牟利方式包括:
1
利用采集的拼多多数据,提供数据分析服务和店铺管理服务获利,包括关键词排名、商品排名、开团监控、一键下订单、一键发货和多个店铺管理等;
2
当店家在使用这些工具时,很可能导致订单数据泄露,黑灰产可以通过出售这些数据或利用数据进行营销和诈骗等来获利。
下表是近期我们监控到的比较活跃的内容爬取类工具软件:
表3-2-4 内容爬取类工具软件
3.5
图3-5-1 图3-5-2
特定功能类工具软件虽然不参与直接牟利,但提供的功能可以帮助黑灰产更好的攫取利益。比如改机工具,除了上面提到的引流场景外,在账号注册场景也很重要,可以实现一个设备多次复用的效果。下表是近期我们监控到的比较活跃的特定功能类工具软件:
表3-5 活跃的特定功能类工具
04
典型的黑灰产工具软件分析
过去半年我们对黑灰产工具软件做了大量的研究和分析,包括对其中一些工具软件做了深入的功能验证、动态调试和原理分析。我们选取几款比较典型的工具软件,进一步揭露其功能和原理。
4.1
图4-1-1 B站手机注册机运行界面
程序会登录接码平台:
http://www.7gxyun.com:9000/soft.html
接收短信验证码,接着调用B站注册接口:
https://passport.bilibili.com/register/phone
以及验证码下发接口:
https://passport.bilibili.com/captcha
提取到验证码,如下图:
之后该工具会使用内置的深度学习框架Caffe识别图片验证码。
识别验证码的过程会读取本地内置深度学习框架Caffe框架所需要的3个文件:
deploy.prototxt,res_lstm_ctc_iter.caffemodel,label-map.txt。
其中deploy.prototxt部分代码如下:
图4-1-2 deploy.prototxt代码截图
图像验证码识别成功后,完成帐号注册。
该工具的亮点和我们以往看到的工具不一样的地方的是用到了深度学习的图像识别能力,并且这个图像识别的准确率达到了99%以上,平均完成一个账号的注册时间大约在10秒内。以往这一类的注册工具绝大多数会接一个打码平台或者内置一个针对目标网站的一个验证码识别库,无论是从识别准确率还是注册效率远比利用深度学习图像识别的低很多。
图4-1-3 深度学习运用于验证码识别
4.2
这是7月份捕获的一款针对陌陌的抢红包类工具软件,基于按键精灵安卓版实现。通过自定义录制对手机屏幕的操作及重复次数等信息,按照一定模式进行对手机进行模拟操作从而实现抢红包等功能。工具运行如下图所示:
图4-2-1 陌陌抢红包工具运行界面
黑灰产人员只需要在按键精灵安卓版上编写相关的逻辑脚本,即可实现模拟用户操作的动作去实现他们想要的功能,按键精灵安卓版运行界面如下图所示:
图4-2-2 按键精灵安卓版运行界面
用户在点录制之后,就可以先手动操作一遍想要操作的功能,之后该软件会记录下用户操作的坐标轨迹,如下图所示:
图4-2-3 按键精灵安卓版运行界面
我们在分析的时候发现,该抢红包工具内置了工具需要的一些资源,包括识别出现红包时的图像,如下图所示:
图4-2-4 陌陌抢红包工具内置的图片资源
软件在后台运行,通过查找整个手机屏幕上满足上述截图图像所在的坐标,然后再模拟用户去点击操作,从而达到抢红包的目的。
4.3
图4-3-1 58全职VIP发帖软件运行界面
界面上会有很多发帖的相关设置,这些设置是黑灰产人员在分析58发帖的接口之后提取出来的,用户需要操作的一些变量值(包含发帖的省份、城市、街道、帖子标题、帖子职位等接口所需要的一些参数)。如下所示为我们构造的VIP用户发招聘帖捕获到的接口信息:
图4-3-2 捕获到的接口信息
以下为接口需要POST的内容(由于该数据经过UrlEncode方式编码,为了方便阅读,展示的是编码前的明文数据):
图4-3-3 POST的数据内容(编码前)
我们可以看出,上述大部分的内容为用户填写的信息,只要按照发帖的接口格式构造一样的形式数据就可以成功发出帖子。
我们可以从这个接口所需要的相关参数看到,58VIP发帖的接口需要的参数非常多,这就要求黑灰产人员具备较强能力的协议接口分析能力,能够分析出哪些是必须的参数,哪些是可有可无的参数,以及哪些是风控系统必须检测的参数,和参数的值是否加密。如果加密,则需要黑灰产人员破解加密算法之后,再计算出新的参数值以此绕过风控系统的检测。除了上述的发帖接口,其他接口调用的形式和上述大同小异。
05
结束语
黑灰产工具软件是网络黑灰产业发展的必然产物,黑灰产业会随着互联网的发展而发展,其工具软件也会随着黑灰产业的发展而发展。基于此,我们抛出以下观点,希望能引起行业共鸣,并与大家一起探讨和思考。
第一
从黑产视角出发,建设黑灰产工具软件的全面监控和快速响应能力。通过对黑灰产业的长期跟进,我们对于黑灰产工具的传播链条和路径有了比较深入的理解和认知,可以第一时间捕获到网络中活跃的黑灰产工具,并第一时间分析其危害和原理。我们希望通过合作的方式,帮助更多的厂商建立这方面的能力。
第二
建立黑灰产工具软件指纹库,增强风险设备识别能力。传统的设备指纹方案由于存在激烈的对抗,识别风险设备的效果并不理想;另一方面,风险设备往往会安装各种各样的黑灰产工具软件,通过提取这些黑灰产工具软件的特征作为指纹,可以有效的识别出风险设备。
第三
建立行业的黑灰工具软件情报共享,最大化情报价值。根据我们的观察,工具软件的作者、传播渠道、以及使用者存在交集。以电商抢购为例,我们在跟进针对淘宝的抢购工具时,发现该工具的使用者,很多也会同时使用京东、苏宁、唯品会、华为等商城的抢购工具,从而达到利益的最大化。也就是我们第二点提到的黑灰产工具软件指纹库,其实是可以行业共享的,而我们也一直致力于解决黑灰产情报,包括工具软件情报的数据孤岛问题。
写在最后:
如果说黑灰产代表着黑夜,那么我们只有在黑夜中不断的探索和前行,才有可能迎来光明,与诸位共勉。
来源合作伙伴:威胁猎人(深圳永安在线科技有限公司)
灰产圈 | 高端社群小程序 已开通
知识星球,交易担保,放心买,生财有道 | 商学院小程序
点击加入 生财有道 | 商学院
...