深度 | 互聯(lián)網(wǎng)黑灰產(chǎn)工具軟件2018半年報(bào)告
目錄
一、黑灰產(chǎn)工具軟件特征分析
1.1 與產(chǎn)業(yè)鏈深度整合
1.2 極強(qiáng)的版本快速迭代能力
1.3 顯著的逐利化趨向
1.4 游走在法律邊緣的灰色地帶
1.5 黑吃黑現(xiàn)象非常普遍
二、不斷進(jìn)化的方法和手段
2.1 從模擬腳本到多種開(kāi)發(fā)語(yǔ)言
2.2 從PC端到多端支持
2.3 從終端發(fā)展到云端
2.4 從機(jī)械執(zhí)行到機(jī)器學(xué)習(xí)
三、業(yè)務(wù)安全中活躍的黑灰產(chǎn)工具
3.1 賬號(hào)類(lèi)工具軟件
3.2 刷量刷單類(lèi)軟件工具軟件
3.3 薅羊毛類(lèi)工具軟件
3.4 內(nèi)容爬取類(lèi)工具軟件
3.5 特定功能類(lèi)工具軟件
四、典型的黑灰產(chǎn)工具軟件分析
4.1 B站手機(jī)注冊(cè)機(jī)3.0
4.2 陌陌搶紅包工具
4.3 58全職VIP發(fā)帖軟件
五、總結(jié)
導(dǎo)語(yǔ):2017年5月爆發(fā)的Wannacry勒索病毒造成了嚴(yán)重的影響,使得NSA武器庫(kù)進(jìn)入了大眾的視野;在網(wǎng)絡(luò)安全這片看不見(jiàn)硝煙的戰(zhàn)場(chǎng)上,在戰(zhàn)場(chǎng)的另外一個(gè)角落——互聯(lián)網(wǎng)業(yè)務(wù)安全領(lǐng)域,黑灰產(chǎn)從業(yè)者手里也掌握著威力強(qiáng)大的武器庫(kù):各式各樣的工具軟件,而且不為人們熟知。如果說(shuō)手機(jī)號(hào)、帳號(hào)、IP、設(shè)備等,是黑產(chǎn)從業(yè)者的彈藥,那么工具軟件就是將這些彈藥威力發(fā)揮到最大的武器。而對(duì)于工具軟件的分析和研究,是黑產(chǎn)研究的重要組成部分。
01黑灰產(chǎn)工具軟件特征分析
我們對(duì)過(guò)去半年捕獲到的黑灰產(chǎn)工具軟件進(jìn)行了系統(tǒng)性的梳理和分析,發(fā)現(xiàn)現(xiàn)階段黑灰產(chǎn)工具軟件有如下一些明顯的特征,深入理解這些特征,有助于我們對(duì)黑灰產(chǎn)業(yè)的發(fā)展有更加準(zhǔn)確的掌控和判斷。
1.1與產(chǎn)業(yè)鏈深度整合
伴隨著網(wǎng)絡(luò)黑灰產(chǎn)的發(fā)展和成熟,如今的工具軟件已經(jīng)深度整合到了整個(gè)產(chǎn)業(yè)鏈當(dāng)中,成為其中不可取代的一部分。以賬號(hào)注冊(cè)場(chǎng)景為例,黑灰產(chǎn)業(yè)除了掌握接碼平臺(tái)、打碼平臺(tái)和動(dòng)態(tài)IP等資源外,還通過(guò)整合改機(jī)工具,模擬點(diǎn)擊工具,批量掃號(hào)工具,代理軟件工具等各類(lèi)工具軟件,實(shí)現(xiàn)了高度自動(dòng)化和高度協(xié)同的作業(yè)流程,如下圖:
1.2極強(qiáng)的版本快速迭代能力
相較于正常的軟件,黑灰產(chǎn)工具軟件具有更快的版本更新迭代速度。以一款針對(duì)京東的注冊(cè)機(jī)工具軟件為例,從2018年1月到4月,我們共監(jiān)控到該軟件的20次版本更新,頻繁時(shí)1天更新2個(gè)版本,如下圖:
除了增加新功能,修復(fù)BUG之外,頻繁的版本更新是黑產(chǎn)從業(yè)人員跟業(yè)務(wù)安全團(tuán)隊(duì)攻防對(duì)抗加劇的體現(xiàn)。一個(gè)比較典型的場(chǎng)景:一款針對(duì)X廠商的工具軟件發(fā)布一段時(shí)間之后,通過(guò)業(yè)務(wù)側(cè)的數(shù)據(jù)和模型,X廠商的業(yè)務(wù)安全團(tuán)隊(duì)感知到了由于工具軟件產(chǎn)生的異常,并通過(guò)修復(fù)漏洞,改進(jìn)檢測(cè)模型等方式使工具軟件失效;而工具軟件的作者則需要重新找到新的突破口,然后發(fā)布新版本。
1.3顯著的逐利化趨向
如果說(shuō)早些年的黑客工具軟件多多少少存在炫技的成分,當(dāng)下的黑灰產(chǎn)工具則已經(jīng)變得非常“務(wù)實(shí)”,完全以利益為驅(qū)動(dòng)。近些年互聯(lián)網(wǎng)發(fā)展迅猛,尤其以短視頻行業(yè)、自媒體行業(yè)和電子商務(wù)行業(yè)為首的一批互聯(lián)網(wǎng)公司業(yè)務(wù)蓬勃發(fā)展;而寄生在這些公司業(yè)務(wù)上的黑灰產(chǎn)從業(yè)人員,有著非常敏銳的“商業(yè)”嗅覺(jué)。每當(dāng)業(yè)務(wù)發(fā)展過(guò)程中出現(xiàn)了一些薄弱點(diǎn),很快就會(huì)出現(xiàn)利用這些薄弱點(diǎn)來(lái)攫取利益的工具軟件,其中以針對(duì)營(yíng)銷(xiāo)活動(dòng)的薅羊毛工具軟件最為典型。美團(tuán)在2018年俄羅斯世界杯前夕推出了看球競(jìng)猜活動(dòng):
活動(dòng)推出后不久,網(wǎng)絡(luò)上就出現(xiàn)了50款以上針對(duì)該活動(dòng)的工具軟件,跟美團(tuán)業(yè)務(wù)相關(guān)的工具軟件中,競(jìng)猜類(lèi)軟件直接躥升到第一位。
1.4游走在法律邊緣的灰色地帶
自《中國(guó)人民共和國(guó)網(wǎng)絡(luò)安全法》發(fā)布并嚴(yán)格執(zhí)行以來(lái),黑產(chǎn)從業(yè)者發(fā)生了兩個(gè)明顯的變化:一個(gè)是越來(lái)越多的人采用匿名通信、匿名交易的方式來(lái)隱藏自己;另外一個(gè)是明顯觸發(fā)法律的黑產(chǎn)工具,如盜號(hào)木馬、遠(yuǎn)控木馬、游戲外掛等,做的人越來(lái)越少。雖然也有鋌而走險(xiǎn)者,但更多的人還是會(huì)權(quán)衡風(fēng)險(xiǎn)和收益,做到最大化的趨利避害。以電商行業(yè)為例,雖然有人仍然利用一些木馬類(lèi)工具軟件進(jìn)行資金的盜取和詐騙,但更為活躍的是一些輔助類(lèi)工具軟件,比如商家輔助工具,提供數(shù)據(jù)采集和分析、店鋪引流等功能。有些軟件還在界面顯著位置放置了免責(zé)聲明(雖然不一定有用),如下圖:
當(dāng)然,隨著法律的不斷健全和完善,目前認(rèn)為是法律邊緣的“灰色”地帶,未來(lái)某一天也可能不再是“安全”地帶,這必然也會(huì)再次帶來(lái)從業(yè)人群以及相關(guān)工具軟件的集體遷移。
1.5黑吃黑現(xiàn)象非常普遍
如果說(shuō)黑灰產(chǎn)也是一個(gè)江湖,并不是所有的從業(yè)者都會(huì)遵守江湖規(guī)則,黑吃黑的現(xiàn)象非常普遍。這點(diǎn)在工具軟件上,也體現(xiàn)得非常明顯。在網(wǎng)絡(luò)上傳播的黑灰產(chǎn)工具軟件中,很大一部分都存在各種各樣的問(wèn)題,對(duì)于剛進(jìn)入這個(gè)江湖的“小白”來(lái)說(shuō),一不小心就會(huì)成為他人的盤(pán)中餐。根據(jù)我們的分析,有問(wèn)題的工具軟件主要有以下幾類(lèi):
1、掛羊頭賣(mài)狗肉類(lèi):這類(lèi)工具軟件根本沒(méi)有其宣稱(chēng)的功能,卻會(huì)在背后偷偷干其他一些事情。最典型的是一款流氓推廣軟件(注:運(yùn)行之后會(huì)在后臺(tái)下載并安裝各種“全家桶”),以“刺激戰(zhàn)場(chǎng)輔助外掛”、“流量寶瘋狂刷量”、“搶紅包神器”等名字在網(wǎng)絡(luò)上傳播量,每天的下載量超過(guò)1千以上;
2、買(mǎi)一送一類(lèi):簡(jiǎn)單來(lái)說(shuō)就是二次打包,一些別有用心的人把正常的工具軟件和病毒木馬打包在一起,然后在放到網(wǎng)絡(luò)上傳播。由于黑灰產(chǎn)工具很多情況下都會(huì)被殺軟報(bào)毒,所以即使真的有病毒,工具的使用者也會(huì)選擇放行。經(jīng)常使用黑灰產(chǎn)工具軟件的人,其設(shè)備上往往也存在著各式各樣的病毒;
3、請(qǐng)君入甕類(lèi):一些黑灰產(chǎn)工具在使用之前,要先進(jìn)行登錄操作(比如針對(duì)騰訊業(yè)務(wù)的工具軟件需要先登錄QQ或微信,針對(duì)阿里業(yè)務(wù)的工具軟件需要先登錄淘寶),因?yàn)樵谝恍┣闆r下需要拿到登錄態(tài)才能進(jìn)行下一步的操作。然而,輸入的賬號(hào)和密碼不僅僅用于業(yè)務(wù)的登錄,還發(fā)送到了一些別有用心的工具軟件制作者手里;
4、夸大其辭類(lèi):這種一般出現(xiàn)在收費(fèi)類(lèi)工具軟件中。花大價(jià)錢(qián)買(mǎi)了所謂的牛逼工具,比如“百分百修改機(jī)器碼”、“VIP會(huì)員破解”、“全自動(dòng)秒殺”等,用起來(lái)發(fā)現(xiàn)實(shí)際效果很差,甚至沒(méi)有效果。工具的買(mǎi)家遇到這種情況肯定是投訴無(wú)門(mén),只能咬碎了牙往肚里吞。
所以,奉勸一下打算進(jìn)入這個(gè)江湖的人,黑產(chǎn)有風(fēng)險(xiǎn),入行需謹(jǐn)慎。
02不斷進(jìn)化的方法和手段
根據(jù)威脅獵人TH-Karma業(yè)務(wù)情報(bào)監(jiān)測(cè)平臺(tái)統(tǒng)計(jì),每天互聯(lián)網(wǎng)上新產(chǎn)生的各式各樣的黑灰產(chǎn)工具軟件,包括軟件更新,超過(guò)1千款以上。這些工具軟件伴隨著互聯(lián)網(wǎng)技術(shù)和IT技術(shù)的發(fā)展,也在不斷的發(fā)展和進(jìn)化中。
2.1從模擬腳本到多種開(kāi)發(fā)語(yǔ)言
黑灰產(chǎn)工具軟件在早期大多以通過(guò)模擬人工操作的方式實(shí)現(xiàn)攻擊,比如基于按鍵精靈、大漠插件等編寫(xiě)定制化的腳本,就可以通過(guò)模擬點(diǎn)擊完成注冊(cè)、登錄、刷金幣等操作。這種方式簡(jiǎn)單,學(xué)習(xí)門(mén)檻低,但是使用的場(chǎng)景受限,效率也偏低。
后來(lái)也出現(xiàn)了基于VB/C/C++等高級(jí)語(yǔ)言編寫(xiě)的黑灰產(chǎn)工具軟件,這類(lèi)工具軟件不再基于模擬人工操作的方式,更多的是基于網(wǎng)絡(luò)協(xié)議的破解和重放,直接攻擊業(yè)務(wù)接口,從而可以在單位時(shí)間內(nèi)發(fā)起更多的攻擊次數(shù),將利潤(rùn)最大化。不過(guò)這類(lèi)編程語(yǔ)言開(kāi)發(fā)難度較高,需要開(kāi)發(fā)者具備比較好的編程能力。
如今的黑灰產(chǎn)工具軟件,則多以易語(yǔ)言、C#、Python、Lua等語(yǔ)言編寫(xiě)。這些語(yǔ)言由于功能化模塊和框架比較完善,很多復(fù)雜功能通過(guò)一個(gè)簡(jiǎn)單的調(diào)用就可以完成,有著上手快、開(kāi)發(fā)周期短的優(yōu)點(diǎn)。尤其是易語(yǔ)言和C#,我們過(guò)去幾個(gè)月捕獲的PC端黑灰產(chǎn)工具軟件,超過(guò)50%都是采用這兩個(gè)語(yǔ)言編寫(xiě)。
除此之外,為了保護(hù)自己的核心代碼邏輯不被他們發(fā)現(xiàn),目前很多工具軟件還會(huì)使用一些加殼軟件給自己加殼。下圖是一款基于C#編寫(xiě)的破解百度網(wǎng)盤(pán)下載限速的工具軟件,本身加了UPX殼:
相對(duì)于VMProtect、DNGuardHVM等強(qiáng)殼,UPX殼比較容易脫掉,脫殼之后,可以找出其核心代碼邏輯,下圖是拼接百度網(wǎng)盤(pán)下載鏈接的代碼片段:
2.2從PC端到多端支持
隨著近年來(lái)移動(dòng)互聯(lián)網(wǎng)的高速發(fā)展,塑造了全新的服務(wù)體驗(yàn)和生活形態(tài)。互聯(lián)網(wǎng)的產(chǎn)品、服務(wù)以及用戶(hù)也從PC端更多的遷移到了移動(dòng)端。對(duì)于黑灰產(chǎn)從業(yè)人員來(lái)說(shuō),他們所使用的工具軟件,也從PC端發(fā)展到了移動(dòng)端。從目前最火的短視頻行業(yè)來(lái)看,過(guò)去幾個(gè)月我們捕獲了大量的黑灰產(chǎn)工具軟件,移動(dòng)端的數(shù)量已經(jīng)遠(yuǎn)遠(yuǎn)超過(guò)了PC端,如下圖:
相較于PC端工具軟件,移動(dòng)端工具軟件可以通過(guò)外掛的方式,實(shí)現(xiàn)更低的對(duì)抗成本。經(jīng)過(guò)我們分析,捕獲的短視頻行業(yè)黑灰產(chǎn)工具中,就有大量基于按鍵精靈安卓版和易安卓編寫(xiě)的黑灰產(chǎn)工具,覆蓋了注冊(cè)、刷量、引流等黑灰產(chǎn)核心業(yè)務(wù)場(chǎng)景,如下圖:
圖1
2.3從終端發(fā)展到云端
如果說(shuō)黑灰產(chǎn)工具軟件從PC端發(fā)展到移動(dòng)端是現(xiàn)在的趨勢(shì),那么從終端走向云端則是未來(lái)的趨勢(shì),部分工具軟件已經(jīng)體現(xiàn)出來(lái)了這樣的特點(diǎn)。以我們分析的一款刷視頻播放量的軟件為例,從今年7月份開(kāi)始,終端的工具軟件只保留了登錄、注冊(cè)、充值等基本功能,登錄后可以發(fā)布任務(wù),但刷視頻播放量的核心邏輯已經(jīng)放到了云端:
促成工具軟件從終端往云端化發(fā)展,主要有兩方面的原因:
1、黑灰產(chǎn)技術(shù)的發(fā)展,特別是群控/云控系統(tǒng)等技術(shù)的發(fā)展,使得部分黑灰產(chǎn)從業(yè)人員手中掌握了大量的帳號(hào)和設(shè)備資源,如下圖:
圖2
對(duì)于這些人而言,不再需要開(kāi)發(fā)專(zhuān)門(mén)的工具軟件給到下游的終端設(shè)備上使用,下游只需要通過(guò)網(wǎng)頁(yè)或者其他方式提交任務(wù)需求,所有動(dòng)作都可以在其掌握的大量云端設(shè)備上完成;
2、終端的黑灰產(chǎn)工具軟件,即使只是在小圈子內(nèi)傳播,也可以比較容易被外界獲取到,然后通過(guò)逆向分析等方式獲取到該工具的核心邏輯,從而被業(yè)務(wù)側(cè)封殺,或者被他人模仿;云端化則將工具的核心邏輯隱藏到了后端,對(duì)于外界來(lái)說(shuō)就是一個(gè)黑盒,想要封殺或者模仿的難度大大增加。
2.4從機(jī)械執(zhí)行到機(jī)器學(xué)習(xí)
早期的工具軟件,執(zhí)行的核心邏輯大多是Hardcode在程序代碼里面,或者通過(guò)編寫(xiě)任務(wù)腳本的方式來(lái)指定。雖然編寫(xiě)簡(jiǎn)單,但都是機(jī)械的執(zhí)行固定的邏輯,不僅缺乏擴(kuò)展性和自適應(yīng)能力,比如針對(duì)不同的屏幕分辨率,需要編寫(xiě)不同的腳本,也比較容易被檢測(cè)和攔截。
隨著IT技術(shù)的不斷發(fā)展,特別是近些年機(jī)器學(xué)習(xí)和深度學(xué)習(xí)在圖像識(shí)別等領(lǐng)域取得長(zhǎng)足進(jìn)展,黑灰產(chǎn)工具軟件也完成了自身的技術(shù)升級(jí)。以驗(yàn)證碼為例,廠商通過(guò)驗(yàn)證碼來(lái)識(shí)別人和機(jī)器,從簡(jiǎn)單的字母/數(shù)字開(kāi)始演變到現(xiàn)在流行的滑塊驗(yàn)證碼,甚至各種驗(yàn)證碼組合使用;另一方面,發(fā)展到今天,黑灰產(chǎn)從業(yè)人員手里已經(jīng)擁有了完整的基于深度學(xué)習(xí)的驗(yàn)證碼識(shí)別系統(tǒng),無(wú)論是從獲取驗(yàn)證碼的響應(yīng)速度還是識(shí)別準(zhǔn)確率都遠(yuǎn)高于傳統(tǒng)的打碼平臺(tái)(注:傳統(tǒng)的打碼平臺(tái)主要依賴(lài)于人工輸入或者以針對(duì)某個(gè)網(wǎng)站生成的驗(yàn)證碼識(shí)別庫(kù))。如圖3.1和3.2所示:
圖3.1
圖3.2
另一個(gè)典型的例子是過(guò)臉認(rèn)證。專(zhuān)業(yè)的過(guò)臉認(rèn)證軟件可以通過(guò)簡(jiǎn)單的自拍照,快速生成3D人臉模型,以及快速模擬人臉做出簡(jiǎn)單的認(rèn)證動(dòng)作,從而繞過(guò)注冊(cè)或登錄環(huán)節(jié)的人臉識(shí)別。
03業(yè)務(wù)安全中活躍的黑灰產(chǎn)工具
根據(jù)我們捕獲的黑灰產(chǎn)工具軟件情報(bào)分析,目前活躍的工具軟件按照業(yè)務(wù)功能,大致可分為5大類(lèi):賬號(hào)類(lèi)、刷量類(lèi)、薅羊毛類(lèi)、內(nèi)容爬取類(lèi)和特定功能類(lèi)。每種類(lèi)型的工具數(shù)量占比如下圖所示:
圖3-1工具功能類(lèi)型占比
在業(yè)務(wù)安全對(duì)抗中,刷量刷單類(lèi)是黑灰產(chǎn)最常用的攻擊工具,也是活躍度最高的一類(lèi)工具,如刷文章閱讀量、刷視頻播放量、刷粉絲量和刷訂單數(shù)量等,這類(lèi)攻擊集中體現(xiàn)在自媒體行業(yè)、電商行業(yè)和視頻行業(yè)。除此之外,賬號(hào)類(lèi)、薅羊毛類(lèi)和內(nèi)容爬取類(lèi)工具也活躍于黑灰產(chǎn)和廠商業(yè)務(wù)安全對(duì)抗中。特定功能類(lèi)工具則主要包括模擬器、多開(kāi)、改機(jī)和秒撥等功能性工具軟件。
3.1賬號(hào)類(lèi)工具軟件
在大部分黑產(chǎn)鏈中,賬號(hào)的質(zhì)量和數(shù)量很大程度決定了黑產(chǎn)的投入產(chǎn)出比。賬號(hào)類(lèi)工具軟件主要針對(duì)注冊(cè)場(chǎng)景和登陸場(chǎng)景,實(shí)現(xiàn)的功能包括批量注冊(cè)、掃號(hào)、鑒權(quán)和越權(quán)等。以“火牛注冊(cè)掃號(hào)軟件”為例,該工具直接和接碼平臺(tái)對(duì)接,用于接收短信驗(yàn)證碼。同時(shí)內(nèi)置VPS撥號(hào)功能用于繞過(guò)廠商的IP限制策略,從而完成帳號(hào)的批量注冊(cè)和掃號(hào)。
圖3-1-1 火牛注冊(cè)掃號(hào)軟件
帳號(hào)類(lèi)的工具軟件的牟利方式包括:
1.直接對(duì)外出售批量注冊(cè)的小號(hào)、對(duì)賬號(hào)售賣(mài)有一定的分銷(xiāo)制度,不同等級(jí)的代理拿貨價(jià)格不一;
2.通過(guò)將批量注冊(cè)的小號(hào)用于刷量、引流的業(yè)務(wù)場(chǎng)景,像QQ、Email、微博號(hào)本身對(duì)其他廠商的業(yè)務(wù)可做授權(quán)服務(wù),這類(lèi)賬號(hào)稱(chēng)為跳轉(zhuǎn)號(hào),同時(shí)跳轉(zhuǎn)號(hào)的成本低廉;
3.批量針對(duì)廠商推廣活動(dòng)的定制化小號(hào),結(jié)合接碼平臺(tái)、打碼平臺(tái)等完成全自動(dòng)化欺詐作業(yè),短時(shí)間內(nèi)薅取大量用戶(hù)獎(jiǎng)金。
如今以賬號(hào)為核心的黑灰產(chǎn)業(yè)鏈在各行業(yè)的發(fā)展都具有一定規(guī)模,尤其是在需要大規(guī)模賬號(hào)刷量的業(yè)務(wù)場(chǎng)景,包括虛假注冊(cè)、實(shí)名過(guò)臉、批量養(yǎng)號(hào)和刷量等。除去明顯給廠商業(yè)務(wù)帶來(lái)明顯的薅羊毛傷害,更多的是虛假小號(hào)帶來(lái)潛在的危害性。比如黃賭毒的傳播,以及被使用于引流詐騙場(chǎng)景給廠商帶來(lái)不良的輿論效果。下表是近期我們監(jiān)控到的一些比較活躍的賬號(hào)類(lèi)工具軟件:
表3-1-1 活躍的賬號(hào)類(lèi)工具
3.2.刷量刷單類(lèi)工具軟件
刷量刷單類(lèi)工具軟件主要活躍在電商、自媒體、短視頻等行業(yè),主要功能包括刷成交量、刷閱讀量、刷播放量、刷關(guān)注量、刷粉絲量、以及刷評(píng)論量等。以“久久快手刷播放”為例,該工具首先批量加載一批快手小號(hào)的Token,然后通過(guò)模擬網(wǎng)絡(luò)請(qǐng)求的方式,訪問(wèn)指定的快手作品網(wǎng)址,最終可以成功刷取播放量。
圖3-2-1久久快手刷播放
刷量刷單類(lèi)工具軟件的牟利方式包括:
1.通過(guò)提供刷量、刷單服務(wù)對(duì)任務(wù)發(fā)布者收取傭金;
2.針對(duì)電商平臺(tái)對(duì)商家補(bǔ)貼的運(yùn)費(fèi),通過(guò)結(jié)合空包物流服務(wù),發(fā)起退貨請(qǐng)求薅取補(bǔ)貼;
3.將點(diǎn)贊和刷評(píng)論結(jié)合,在用戶(hù)作品下置頂評(píng)論,通過(guò)個(gè)人介紹或是評(píng)論內(nèi)容出粉,出粉價(jià)格按引入其他平臺(tái)賬號(hào)個(gè)數(shù)計(jì)數(shù)等。
下表是近期我們監(jiān)控到的一些比較活躍的刷量刷單類(lèi)工具軟件:
表3-2-1 活躍的刷量刷單類(lèi)工具
3.3薅羊毛類(lèi)工具軟件
薅羊毛類(lèi)工具軟件主要活躍于營(yíng)銷(xiāo)活動(dòng)、電商搶購(gòu)、紅包領(lǐng)取等場(chǎng)景。以“瓦力搶紅包”為例,該工具通過(guò)開(kāi)通輔助功能,模擬點(diǎn)擊控件從而實(shí)現(xiàn)搶紅包及自動(dòng)回復(fù)等功能。
圖3-2-2瓦利搶紅包
薅羊毛類(lèi)工具軟件的牟利方式包括:
1.直接出售工具軟件獲利;
2.利用工具領(lǐng)取平臺(tái)推出的優(yōu)惠券或減免紅包等,或者將優(yōu)惠券、紅包等轉(zhuǎn)手出售
3.將搶購(gòu)到的物品二次出售,從而賺取差價(jià)等。
下表是近期我們監(jiān)控到的一些比較活躍的薅羊毛類(lèi)工具軟件:
表3-2-3 活躍的薅羊毛類(lèi)工具
3.4內(nèi)容爬取類(lèi)工具軟件
內(nèi)容爬取類(lèi)工具軟件主要通過(guò)爬蟲(chóng)程序,采集電商數(shù)據(jù)、短視頻用戶(hù)作品、招聘網(wǎng)站簡(jiǎn)歷和自媒體文章等。近期我們就發(fā)現(xiàn)有多款工具軟件對(duì)拼多多的商品信息、店鋪信息、拼團(tuán)信息等數(shù)據(jù)進(jìn)行爬取。以“拼多多精靈”為例,該工具軟件通過(guò)請(qǐng)求apiv4.yangkeduo.com下的接口來(lái)爬取拼多多數(shù)據(jù),提供開(kāi)團(tuán)提醒、關(guān)鍵詞排名、類(lèi)目排名、導(dǎo)出訂單、物流監(jiān)控、退款提醒、競(jìng)品對(duì)手監(jiān)控等功能:
圖3-2-3拼多多精靈截圖1
圖3-2-4拼多多精靈截圖2
內(nèi)容爬取類(lèi)工具軟件的牟利方式包括:
1.利用采集的拼多多數(shù)據(jù),提供數(shù)據(jù)分析服務(wù)和店鋪管理服務(wù)獲利,包括關(guān)鍵詞排名、商品排名、開(kāi)團(tuán)監(jiān)控、一鍵下訂單、一鍵發(fā)貨和多個(gè)店鋪管理等;
2.當(dāng)?shù)昙以谑褂眠@些工具時(shí),很可能導(dǎo)致訂單數(shù)據(jù)泄露,黑灰產(chǎn)可以通過(guò)出售這些數(shù)據(jù)或利用數(shù)據(jù)進(jìn)行營(yíng)銷(xiāo)和詐騙等來(lái)獲利。
下表是近期我們監(jiān)控到的比較活躍的內(nèi)容爬取類(lèi)工具軟件:
表3-2-4 內(nèi)容爬取類(lèi)工具軟件
3.5特定功能類(lèi)工具軟件
特定功能類(lèi)工具軟件主要包括模擬器、多開(kāi)、改機(jī)和秒撥等功能工具軟件,常見(jiàn)應(yīng)用于注冊(cè)賬號(hào)、邀請(qǐng)新用戶(hù)領(lǐng)取紅包、刷贊、刷分享、刷評(píng)分和刷榜等場(chǎng)景。特定功能類(lèi)工具軟件種類(lèi)和數(shù)量不多,但是黑灰產(chǎn)業(yè)鏈中也發(fā)揮著極其關(guān)鍵的作用。
以改機(jī)軟件“海魚(yú)魔器”為例,在抖音引流這個(gè)場(chǎng)景,利用改機(jī)可以偽造位置,利用抖音附近視頻的功能做引流,誘導(dǎo)附近看到視頻的人添加微信小號(hào)。
圖3-5-1 圖3-5-2
如上圖,借助改機(jī)軟件將所在地點(diǎn)修改到人流量多的廣州火車(chē)站,然后通過(guò)抖音上傳“精心”制作的美女視頻或圖片,并配上包含微信號(hào)的文字,最終將上鉤的男性用戶(hù)定向引流至銷(xiāo)售男性用品的微商,或被誘導(dǎo)發(fā)紅包觀看色情視頻,最終上當(dāng)受騙。
特定功能類(lèi)工具軟件雖然不參與直接牟利,但提供的功能可以幫助黑灰產(chǎn)更好的攫取利益。比如改機(jī)工具,除了上面提到的引流場(chǎng)景外,在賬號(hào)注冊(cè)場(chǎng)景也很重要,可以實(shí)現(xiàn)一個(gè)設(shè)備多次復(fù)用的效果。下表是近期我們監(jiān)控到的比較活躍的特定功能類(lèi)工具軟件:
表3-5 活躍的特定功能類(lèi)工具
04典型的黑灰產(chǎn)工具軟件分析
過(guò)去半年我們對(duì)黑灰產(chǎn)工具軟件做了大量的研究和分析,包括對(duì)其中一些工具軟件做了深入的功能驗(yàn)證、動(dòng)態(tài)調(diào)試和原理分析。我們選取幾款比較典型的工具軟件,進(jìn)一步揭露其功能和原理。
4.1B站手機(jī)注冊(cè)機(jī)3.0
這是6月份捕獲的一款針對(duì)B站的注冊(cè)類(lèi)工具軟件,采用C++語(yǔ)言編寫(xiě)。通過(guò)使用接碼平臺(tái)手機(jī)號(hào)接收手機(jī)驗(yàn)證碼,同時(shí)內(nèi)置深度學(xué)習(xí)框架Caffe識(shí)別圖像驗(yàn)證碼,完成帳號(hào)批量注冊(cè)。 程序運(yùn)行界面如下圖:
圖4-1-1 B站手機(jī)注冊(cè)機(jī)運(yùn)行界面
程序會(huì)登錄接碼平臺(tái):
http://www.7gxyun.com:9000/soft.html
接收短信驗(yàn)證碼,接著調(diào)用B站注冊(cè)接口:
https://passport.bilibili.com/register/phone
以及驗(yàn)證碼下發(fā)接口:
https://passport.bilibili.com/captcha
提取到驗(yàn)證碼,如下圖:
之后該工具會(huì)使用內(nèi)置的深度學(xué)習(xí)框架Caffe 識(shí)別圖片驗(yàn)證碼。
識(shí)別驗(yàn)證碼的過(guò)程會(huì)讀取本地內(nèi)置深度學(xué)習(xí)框架Caffe框架所需要的3個(gè)文件:
deploy.prototxt,res_lstm_ctc_iter.caffemodel,label-map.txt。
其中deploy.prototxt部分代碼如下:
圖4-1-2 deploy.prototxt代碼截圖
圖像驗(yàn)證碼識(shí)別成功后,完成帳號(hào)注冊(cè)。
該工具的亮點(diǎn)和我們以往看到的工具不一樣的地方的是用到了深度學(xué)習(xí)的圖像識(shí)別能力,并且這個(gè)圖像識(shí)別的準(zhǔn)確率達(dá)到了99%以上,平均完成一個(gè)賬號(hào)的注冊(cè)時(shí)間大約在10秒內(nèi)。以往這一類(lèi)的注冊(cè)工具絕大多數(shù)會(huì)接一個(gè)打碼平臺(tái)或者內(nèi)置一個(gè)針對(duì)目標(biāo)網(wǎng)站的一個(gè)驗(yàn)證碼識(shí)別庫(kù),無(wú)論是從識(shí)別準(zhǔn)確率還是注冊(cè)效率遠(yuǎn)比利用深度學(xué)習(xí)圖像識(shí)別的低很多。
圖4-1-3 深度學(xué)習(xí)運(yùn)用于驗(yàn)證碼識(shí)別
4.2陌陌搶紅包工具
這是7月份捕獲的一款針對(duì)陌陌的搶紅包類(lèi)工具軟件,基于按鍵精靈安卓版實(shí)現(xiàn)。通過(guò)自定義錄制對(duì)手機(jī)屏幕的操作及重復(fù)次數(shù)等信息,按照一定模式進(jìn)行對(duì)手機(jī)進(jìn)行模擬操作從而實(shí)現(xiàn)搶紅包等功能。工具運(yùn)行如下圖所示:
圖4-2-1 陌陌搶紅包工具運(yùn)行界面
黑灰產(chǎn)人員只需要在按鍵精靈安卓版上編寫(xiě)相關(guān)的邏輯腳本,即可實(shí)現(xiàn)模擬用戶(hù)操作的動(dòng)作去實(shí)現(xiàn)他們想要的功能,按鍵精靈安卓版運(yùn)行界面如下圖所示:
圖4-2-2 按鍵精靈安卓版運(yùn)行界面
用戶(hù)在點(diǎn)“錄制”之后,就可以先手動(dòng)操作一遍想要操作的功能,之后該軟件會(huì)記錄下用戶(hù)操作的坐標(biāo)軌跡,如下圖所示:
圖4-2-3 按鍵精靈安卓版運(yùn)行界面
我們?cè)诜治龅臅r(shí)候發(fā)現(xiàn),該搶紅包工具內(nèi)置了工具需要的一些資源,包括識(shí)別出現(xiàn)紅包時(shí)的圖像,如下圖所示:
圖4-2-4 陌陌搶紅包工具內(nèi)置的圖片資源
軟件在后臺(tái)運(yùn)行,通過(guò)查找整個(gè)手機(jī)屏幕上滿足上述截圖圖像所在的坐標(biāo),然后再模擬用戶(hù)去點(diǎn)擊操作,從而達(dá)到搶紅包的目的。
4.3 58全職VIP發(fā)帖軟件
這是8月份捕獲的一款針對(duì)58同城的自動(dòng)發(fā)帖類(lèi)工具軟件,該工具的原理是通過(guò)破解58發(fā)帖相關(guān)接口來(lái)實(shí)現(xiàn)。在調(diào)用相關(guān)接口的時(shí)候,軟件會(huì)把接口所需要的參數(shù)拼接一起然后再向服務(wù)器請(qǐng)求。在該軟件中實(shí)現(xiàn)調(diào)用的接口包括:登陸、發(fā)帖、獲取展示中的帖子、未展示帖子、已刪除帖子、審核帖子、獲取未讀簡(jiǎn)歷等。我們以發(fā)帖這一功能來(lái)說(shuō)明該軟件的工作原理,其他接口調(diào)用類(lèi)似。該工具軟件運(yùn)行的界面如下圖所示:
圖4-3-1 58全職VIP發(fā)帖軟件運(yùn)行界面
界面上會(huì)有很多發(fā)帖的相關(guān)設(shè)置,這些設(shè)置是黑灰產(chǎn)人員在分析58發(fā)帖的接口之后提取出來(lái)的,用戶(hù)需要操作的一些變量值(包含發(fā)帖的省份、城市、街道、帖子標(biāo)題、帖子職位等接口所需要的一些參數(shù))。如下所示為我們構(gòu)造的VIP用戶(hù)發(fā)招聘帖捕獲到的接口信息:
圖4-3-2 捕獲到的接口信息
以下為接口需要POST的內(nèi)容(由于該數(shù)據(jù)經(jīng)過(guò)UrlEncode方式編碼,為了方便閱讀,展示的是編碼前的明文數(shù)據(jù)):
圖4-3-3 POST的數(shù)據(jù)內(nèi)容(編碼前)
我們可以看出,上述大部分的內(nèi)容為用戶(hù)填寫(xiě)的信息,只要按照發(fā)帖的接口格式構(gòu)造一樣的形式數(shù)據(jù)就可以成功發(fā)出帖子。
我們可以從這個(gè)接口所需要的相關(guān)參數(shù)看到,58VIP發(fā)帖的接口需要的參數(shù)非常多,這就要求黑灰產(chǎn)人員具備較強(qiáng)能力的協(xié)議接口分析能力,能夠分析出哪些是必須的參數(shù),哪些是可有可無(wú)的參數(shù),以及哪些是風(fēng)控系統(tǒng)必須檢測(cè)的參數(shù),和參數(shù)的值是否加密。如果加密,則需要黑灰產(chǎn)人員破解加密算法之后,再計(jì)算出新的參數(shù)值以此繞過(guò)風(fēng)控系統(tǒng)的檢測(cè)。除了上述的發(fā)帖接口,其他接口調(diào)用的形式和上述大同小異。
05結(jié)束語(yǔ)
黑灰產(chǎn)工具軟件是網(wǎng)絡(luò)黑灰產(chǎn)業(yè)發(fā)展的必然產(chǎn)物,黑灰產(chǎn)業(yè)會(huì)隨著互聯(lián)網(wǎng)的發(fā)展而發(fā)展,其工具軟件也會(huì)隨著黑灰產(chǎn)業(yè)的發(fā)展而發(fā)展。基于此,我們拋出以下觀點(diǎn),希望能引起行業(yè)共鳴,并與大家一起探討和思考。
第一,從黑產(chǎn)視角出發(fā),建設(shè)黑灰產(chǎn)工具軟件的全面監(jiān)控和快速響應(yīng)能力。通過(guò)對(duì)黑灰產(chǎn)業(yè)的長(zhǎng)期跟進(jìn),我們對(duì)于黑灰產(chǎn)工具的傳播鏈條和路徑有了比較深入的理解和認(rèn)知,可以第一時(shí)間捕獲到網(wǎng)絡(luò)中活躍的黑灰產(chǎn)工具,并第一時(shí)間分析其危害和原理。我們希望通過(guò)合作的方式,幫助更多的廠商建立這方面的能力。
第二,建立黑灰產(chǎn)工具軟件指紋庫(kù),增強(qiáng)風(fēng)險(xiǎn)設(shè)備識(shí)別能力。傳統(tǒng)的設(shè)備指紋方案由于存在激烈的對(duì)抗,識(shí)別風(fēng)險(xiǎn)設(shè)備的效果并不理想;另一方面,風(fēng)險(xiǎn)設(shè)備往往會(huì)安裝各種各樣的黑灰產(chǎn)工具軟件,通過(guò)提取這些黑灰產(chǎn)工具軟件的特征作為指紋,可以有效的識(shí)別出風(fēng)險(xiǎn)設(shè)備。
第三,建立行業(yè)的黑灰工具軟件情報(bào)共享,最大化情報(bào)價(jià)值。根據(jù)我們的觀察,工具軟件的作者、傳播渠道、以及使用者存在交集。以電商搶購(gòu)為例,我們?cè)诟M(jìn)針對(duì)淘寶的搶購(gòu)工具時(shí),發(fā)現(xiàn)該工具的使用者,很多也會(huì)同時(shí)使用京東、蘇寧、唯品會(huì)、華為等商城的搶購(gòu)工具,從而達(dá)到利益的最大化。也就是我們第二點(diǎn)提到的黑灰產(chǎn)工具軟件指紋庫(kù),其實(shí)是可以行業(yè)共享的,而我們也一直致力于解決黑灰產(chǎn)情報(bào),包括工具軟件情報(bào)的“數(shù)據(jù)孤島”問(wèn)題。
寫(xiě)在最后:
如果說(shuō)黑灰產(chǎn)代表著黑夜,那么我們只有在黑夜中不斷的探索和前行,才有可能迎來(lái)光明,與諸位共勉。
