目录
一、黑灰产工具软件特点剖析
1.1与产业链深度整合
1.2极强的版本快速迭代能力
1.3明显的逐利化趋于
1.4穿行在法律边沿的黄色地带
1.5黑吃黑现象十分普遍
二、不断进化的方式和手段
2.1从模拟脚本到多种开发语言
2.2从PC端到多端支持
2.3从终端发展到云端
2.4从机械执行到机器学习
三、业务安全中活跃的黑灰产工具
3.1帐号类工具软件
3.2刷量刷单类软件工具软件
3.3薅羊绒类工具软件
3.4内容爬取类工具软件
3.5特定功能类工具软件
四、典型的黑灰产工具软件剖析
4.1B站手机注册机3.0
4.2微信抢红包工具
4.358全职VIP发贴软件
五、总结
编者按:2017年5月爆发的Wannacry恐吓病毒引起了严重的影响,致使NSA装备库步入了大众的视野;在网路安全这片看不见烽烟的战场上,在战场的另外一个角落——互联网业务安全领域,黑灰产从业者手里也把握着威力强悍的装备库:各色各样的工具软件,并且不为人们熟知。假如说手机号、帐号、IP、设备等,是黑产从业者的弹药,这么工具软件就是将这些弹药威力发挥到最大的装备。而对于工具软件的剖析和研究,是黑产研究的重要组成部份。
01
黑灰产工具软件特点剖析
我们对过去半年捕获到的黑灰产工具软件进行了系统性的梳理和剖析,发觉现阶段黑灰产工具软件有如下一些显著的特点,深入理解这种特点,有助于我们对黑灰产业的发展有愈发确切的掌控和判别。
1.1
与产业链深度整合
伴随着网路黑灰产的发展和成熟,现今的工具软件早已深度整合到了整个产业链当中,成为其中不可替代的一部份。以帐号注册场景为例,黑灰产业不仅把握接码平台、打码平台和动态IP等资源外,还通过整合改机工具,模拟点击工具,批量扫号工具,代理软件工具等各种工具软件,实现了高度手动化和高度协同的作业流程,如右图:
1.2
极强的版本快速迭代能力
相较于正常的软件,黑灰产工具软件具有更快的版本更新迭代速率。以一款针对易迅的注册机工具软件为例,从2018年1月到4月,我们共监控到该软件的20次版本更新,频繁时1天更新2个版本,如右图:
不仅降低新功能,修补BUG之外,频繁的版本更新是黑产从业人员跟业务安全团队攻守对抗激化的彰显。一个比较典型的场景:一款针对X厂商的工具软件发布一段时间以后,通过业务侧的数据和模型,X厂商的业务安全团队感知到了因为工具软件形成的异常,并通过修补漏洞,改进测量模型等方法使工具软件失效;而工具软件的作者则须要重新找到新的突破口,之后发布新版本。
1.3
明显的逐利化趋于
假如说早些年的黑客工具软件多多少少存在炫技的成份,当下的黑灰产工具则早已显得十分“务实”,完全以利益为驱动。近年互联网发展迅猛,尤其以短视频行业、自媒体行业和电子商务行业为首的一批互联网公司业务蓬勃发展;而寄生在那些公司业务上的黑灰产从业人员,有着十分敏锐的“商业”嗅觉。每每业务发展过程中出现了一些薄弱点,很快还会出现借助那些薄弱点来谋取利益的工具软件,其中以针对营销活动的薅羊绒工具软件最为典型。美团在2018年美国世界杯前夕推出了看球竞猜活动:
活动推出后不久,网路上就出现了50款以上针对该活动的工具软件,跟美团业务相关的工具软件中,竞猜类软件直接飙升到第一位,如右图:
1.4
穿行在法律边沿的黑色地带
自《中国人民共和国网路安全法》发布并严格执行以来,黑产从业者发生了两个显著的变化:一个是越来越多的人采用匿名通讯、匿名交易的方法来隐藏自己;另外一个是显著触发法律的黑产工具,如盗号木马、远控木马、游戏外挂等,做的人越来越少。其实也有铤而走险者,但更多的人还是会权衡风险和利润,做到最大化的趋利避害。以电商行业为例,即使有人一直借助一些木马类工具软件进行资金的窃取和盗窃,但更为活跃的是一些辅助类工具软件,例如店家辅助工具,提供数据采集和剖析、店铺引流等功能。有些软件还在界面明显位置放置了免责申明(即使不一定有用),如右图:
其实,随着法律的不断完善和健全,目前觉得是法律边沿的“灰色”地带,未来某三天也可能不再是“安全”地带,这必然也会再度带来从业人群以及相关工具软件的集体迁移。
1.5
黑吃黑现象十分普遍
假如说黑灰产也是一个江湖,并不是所有的从业者还会遵循江湖规则,黑吃黑的现象十分普遍。这点在工具软件上,也彰显得十分显著。在网路上传播的黑灰产工具软件中,很大一部份都存在各类各样的问题,对于刚步入这个江湖的“小白”来说,一不留神都会成为别人的盘西餐。按照我们的剖析,有问题的工具软件主要有以下几类:
1、挂羊头卖狗豆类:这类工具软件根本没有其声称的功能,却会在背后偷偷干其他一些事情。最典型的是一款流氓推广软件(注:运行以后会在后台下载并安装各类“全家桶”),以“刺激战场辅助外挂”、“流量宝疯狂刷量”、“抢红包利器”等名子在网路上传播量,每晚的下载量超过1千以上;
2、买一送一类:简单来说就是二次打包,一些别有用心的人把正常的工具软件和病毒木马打包在一起,之后在放在网路上传播。因为黑灰产工具好多情况下就会被杀软报毒,所以就算真的有病毒,工具的使用者也会选择放行。常常使用黑灰产工具软件的人,其设备上常常也存在着各色各样的病毒;
3、请君入瓮类:一些黑灰产工具在使用之前,要先进行登陆操作(例如针对腾讯业务的工具软件须要先登陆QQ或陌陌,针对阿里业务的工具软件须要先登入天猫),由于在一些情况下须要领到登陆态能够进行下一步的操作。但是,输入的帐号和密码不仅仅用于业务的登陆,还发送到了一些别有用心的工具软件制做者手里;
4、夸大其辞类:此类通常出现在收费类工具软件中。花大价格买了所谓的牛逼工具,例如“百分百更改机器码”、“VIP会员破解”、“全手动秒杀”等,用上去发觉实际疗效很差,甚至没有疗效。工具的卖家遇见这些情况肯定是投诉无门,只能咬断了牙往腹中吞。
所以,告诫一下准备步入这个江湖的人,黑产有风险,入行需慎重。
02
不断进化的方式和手段
按照恐吓猎人TH-Karma业务情报检测平台统计,每晚互联网上新形成的各色各样的黑灰产工具软件,包括软件更新,超过1千款以上。这种工具软件伴随着互联网技术和IT技术的发展,也在不断的发展和进化中。
2.1
从模拟脚本到多种开发语言
黑灰产工具软件在初期大多以通过模拟人工操作的方法实现功击,例如基于按钮精灵、大漠插件等编撰多样化的脚本,就可以通过模拟点击完成注册、登录、刷金币等操作。这些方法简单,学习门槛低,而且使用的场景受限,效率也偏高。
后来也出现了基于VB/C/C++等中级语言编撰的黑灰产工具软件,这类工具软件不再基于模拟人工操作的方法,更多的是基于网路合同的破解和重放,直接功击业务插口,因而可以在单位时间内发起更多的功击次数,将收益最大化。不过这类编程语言开发难度较高,须要开发者具备比较好的编程能力。
现在的黑灰产工具软件,则多以易语言、C#、Python、Lua等语言编撰。这种语言因为功能化模块和框架比较健全,好多复杂功能通过一个简单的调用就可以完成,有着上手快、开发周期短的优点。尤其是易语言和C#,我们过去几个月捕获的PC端黑灰产工具软件,超过50%都是采用这两个语言编撰。
除此之外,为了保护自己的核心代码逻辑不被她们发觉,目前好多工具软件都会使用一些免杀软件给自己免杀。右图是一款基于C#编撰的破解百度云盘下载限速的工具软件,本身加了UPX壳:
相对于VMProtect、DNGuardHVM等强壳,UPX壳比较容易脱掉,脱壳以后,可以找出其核心代码逻辑,右图是拼接百度云盘下载链接的代码片断:
2.2
从PC端到多端支持
随着近些年来联通互联网的高速发展,打造了全新的服务体验和生活形态。互联网的产品、服务以及用户也从PC端更多的迁移到了联通端。对于黑灰产从业人员来说,她们所使用的工具软件,也从PC端发展到了联通端。从目前最火的短视频行业来看,过去几个月我们捕获了大量的黑灰产工具软件,联通端的数目早已远远超过了PC端,如右图:
相较于PC端工具软件,联通端工具软件可以通过外挂的形式,实现更低的对抗成本。经过我们剖析,捕获的短视频行业黑灰产工具中,就有大量基于按钮精灵安卓版和易安卓编撰的黑灰产工具,覆盖了注册、刷量、引流等黑灰产核心业务场景,如右图:
图1
2.3
从终端发展到云端
假如说黑灰产工具软件从PC端发展到联通端是现今的趋势,这么从终端迈向云端则是未来的趋势,部份工具软件早已彰显下来了这样的特性。以我们剖析的一款刷视频播放量的软件为例,从去年7月份开始,终端的工具软件只保留了登陆、注册、充值等基本功能,登陆后可以发布任务,但刷视频播放量的核心逻辑早已放在了云端:
促使工具软件从终端往云端化发展,主要有两方面的缘由:
1、黑灰产技术的发展,非常是群控/云控系统等技术的发展,促使部份黑灰产从业人员手中把握了大量的账号和设备资源,如右图:
图2
对于那些人而言,不再须要开发专门的工具软件给到下游的终端设备上使用,下游只须要通过网页或则其他形式递交任务需求,所有动作都可以在其把握的大量云端设备上完成;
2、终端的黑灰产工具软件,虽然只是在小圈子内传播,也可以比较容易被外界获取到,之后通过逆向剖析等方法获取到该工具的核心逻辑,进而被业务侧封杀,或则被别人模仿;云端化则将工具的核心逻辑隐藏到了前端,对于外界来说就是一个黑盒,想要封杀或则模仿的难度大大降低。
2.4
从机械执行到机器学习
初期的工具软件,执行的核心逻辑大多是Hardcode在程序代码上面,或则通过编撰任务脚本的形式来指定。其实编撰简单,但都是机械的执行固定的逻辑,除了缺少扩充性和自适应能力,例如针对不同的屏幕码率,须要编撰不同的脚本,也比较容易被测量和拦截。
随着IT技术的不断发展,非常是近年机器学习和深度学习在图象辨识等领域取得长足进展,黑灰产工具软件也完成了自身的技术升级。以验证码为例,厂商通过验证码来识他人和机器,从简单的字母/数字开始演化到现今流行的滑块验证码,甚至各类验证码组合使用;另一方面,发展到明天,黑灰产从业人员手里早已拥有了完整的基于深度学习的验证码辨识系统,无论是从获取验证码的响应速率还是辨识确切率都远低于传统的打码平台(注:传统的打码平台主要依赖于人工输入或则以针对某个网站生成的验证码辨识库)。如图3.1和3.2所示:
图3.1
图3.2
另一个典型的事例是过脸认证。专业的过脸认证软件可以通过简单的自照相,快速生成3D人脸模型,以及快速模拟人脸作出简单的认证动作,因而绕开注册或登陆环节的人脸辨识。
03
业务安全中活跃的黑灰产工具
依据我们捕获的黑灰产工具软件情报剖析,目前活跃的工具软件根据业务功能,大致可分为5大类:帐号类、刷量类、薅羊绒类、内容爬取类和特定功能类。每种类型的工具数目占例如右图所示:
图3-1工具功能类型占比
在业务安全对抗中,刷量刷单类是黑灰产最常用的功击工具,也是活跃度最高的一类工具,如刷文章阅读量、刷视频播放量、刷粉丝量和刷订单数目等,这类功击集中彰显在自媒体行业、电商行业和视频行业。除此之外,帐号类、薅羊绒类和内容爬取类工具也活跃于黑灰产和厂商业务安全对抗中。特定功能类工具则主要包括模拟器、多开、改机和秒拨等功能性工具软件。
3.1
帐号类工具软件
在大部份黑产链中,帐号的质量和数目很大程度决定了黑产的投入产出比。帐号类工具软件主要针对注册场景和登录场景,实现的功能包括批量注册、扫号、鉴权和越权等。以“火牛注册扫号软件”为例,该工具直接和接码平台对接,用于接收邮件验证码。同时外置VPS拔号功能用于绕开厂商的IP限制策略,进而完成账号的批量注册和扫号。
图3-1-1火牛注册扫号软件
账号类的工具软件的行骗方法包括:
1
直接对外转让批量注册的大号、对帐号售卖有一定的分销制度,不同等级的代理拿货价钱不一;
2
通过将批量注册的大号用于刷量、引流的业务场景,像QQ、Email、微博号本身对其他厂商的业务可做授权服务,这类账堪称为跳转号,同时跳转号的成本低廉;
3
批量针对厂商推广活动的多样化大号,结合接码平台、打码平台等完成全手动化欺诈作业,短时间内薅取大量用户奖金。
现在以帐号为核心的黑灰产业链在各行业的发展都具有一定规模,尤其是在须要大规模帐号刷量的业务场景,包括虚假注册、实名过脸、批量养号和刷量等。去除显著给厂商业务带来显著的薅羊绒伤害,更多的是虚假大号带来潜在的害处性。例如黄赌毒的传播,以及被使用于引流盗窃场景给厂商带来不良的舆论疗效。下表是近日我们监控到的一些比较活跃的帐号类工具软件:
表3-1-1活跃的帐号类工具
3.2
刷量刷单类工具软件
刷量刷单类工具软件主要活跃在电商、自媒体、短视频等行业,主要功能包括刷成交量、刷阅读量、刷播放量、刷关注量、刷粉丝量、以及刷评论量等。以“久久快手刷播放”为例,该工具首先批量加载一批快手大号的Token,之后通过模拟网路恳求的方法,访问指定的快手作品网址,最终可以成功刷取播放量。
图3-2-1久久快手刷播放
刷量刷单类工具软件的行骗方法包括:
1
通过提供刷量、刷单服务对任务发布者缴纳佣金;
2
针对电商平台对店家补助的邮费,通过结合空包货运服务,发起退款恳求薅取补助;
3
将点赞和刷评论结合,在用户作品下置顶评论,通过个人介绍或是评论内容出粉,出粉价钱按引入其他平台帐号个数计数等。
下表是近日我们监控到的一些比较活跃的刷量刷单类工具软件:
表3-2-1活跃的刷量刷单类工具
3.3
薅羊绒类工具软件
薅羊绒类工具软件主要活跃于营销活动、电商疯抢、红包发放等场景。以“瓦力抢红包”为例,该工具通过开通辅助功能,模拟点击控件进而实现抢红包及手动回复等功能。
图3-2-2瓦利抢红包
薅羊绒类工具软件的行骗方法包括:
1
直接转让工具软件获利;
2
借助工具发放平台推出的让利券或免除红包等,或则将让利券、红包等转手转卖
3
将疯抢到的物品二次转卖,因而攫取价差等。
下表是近日我们监控到的一些比较活跃的薅羊绒类工具软件:
表3-2-3活跃的薅羊绒类工具
3.4
内容爬取类工具软件
内容爬取类工具软件主要通过爬虫程序,采集电商数据、短视频用户作品、招聘网站简历和自媒体文章等。近日我们就发觉有多款工具软件对拼多多的商品信息、店铺信息、拼团信息等数据进行爬取。以“拼多多精灵”为例,该工具软件通过恳求apiv4.yangkeduo.com下的插口来爬取拼多多数据,提供开团提醒、关键词排行、类目排行、导出订单、物流监控、退款提醒、竞品对手监控等功能:
图3-2-3拼多多精灵截图1
图3-2-4拼多多精灵截图2
内容爬取类工具软件的行骗方法包括:
1
借助采集的拼多多数据,提供数据剖析服务和店面管理服务获利,包括关键词排行、商品排行、开团监控、一键下订单、一键发货和多个店面管理等;
2
当商家在使用这种工具时,很可能引起订单数据泄漏,黑灰产可以通过转让那些数据或借助数据进行营销和盗窃等来获利。
下表是近日我们监控到的比较活跃的内容爬取类工具软件:
表3-2-4内容爬取类工具软件
3.5
特定功能类工具软件
特定功能类工具软件主要包括模拟器、多开、改机和秒拨等功能工具软件,常见应用于注册帐号、邀请新用户发放红包、刷赞、刷分享、刷评分和刷榜等场景。特定功能类工具软件种类和数目不多,而且黑灰产业链中也发挥着非常关键的作用。
以改机软件“海鱼魔器”为例,在抖音引流这个场景,借助改机可以伪造位置,借助抖音附近视频的功能做引流,诱导附近见到视频的人添加陌陌大号。
图3-5-1图3-5-2
如上图,利用改机软件将所在地点更改到人流量多的上海列车站,之后通过抖音上传“精心”制作的美眉视频或图片,并配上包含微讯号的文字,最终将上钩的女性用户定向引流至销售女性用具的微商,或被诱导发红包观看情色视频,最终上当被骗。
特定功能类工具软件即使不参与直接谋利,但提供的功能可以帮助黑灰产更好的赚取利益。例如改机工具,不仅前面提及的引流场景外,在帐号注册场景也很重要,可以实现一个设备多次复用的疗效。下表是近日我们监控到的比较活跃的特定功能类工具软件:
表3-5活跃的特定功能类工具
04
典型的黑灰产工具软件剖析
过去半年我们对黑灰产工具软件做了大量的研究和剖析,包括对其中一些工具软件做了深入的功能验证、动态调试和原理剖析。我们选定几款比较典型的工具软件,进一步揭发其功能和原理。
4.1
B站手机注册机3.0
这是6月份捕获的一款针对B站的注册类工具软件,采用C++语言编撰。通过使用接码平台手机号接收手机验证码,同时外置深度学习框架Caffe辨识图象验证码,完成账号批量注册。程序运行界面如右图:
图4-1-1B站手机注册机运行界面
程序会登陆接码平台:
:9000/soft.html
接收邮件验证码,接着调用B站注册插口:
以及验证码下发插口:
提取到验证码,如右图:
以后该工具会使用外置的深度学习框架Caffe辨识图片验证码。
辨识验证码的过程会读取本地外置深度学习框架Caffe框架所须要的3个文件:
deploy.prototxt,res_lstm_ctc_iter.caffemodel,label-map.txt。
其中deploy.prototxt部份代码如下:
图4-1-2deploy.prototxt代码截图
图象验证码辨识成功后,完成账号注册。
该工具的亮点和我们往年听到的工具不一样的地方的是用到了深度学习的图象辨识能力,但是这个图象辨识的确切率达到了99%以上,平均完成一个帐号的注册时间大概在10秒内。往年这一类的注册工具绝大多数会接一个打码平台或则外置一个针对目标网站的一个验证码辨识库,无论是从辨识确切率还是注册效率远比借助深度学习图象辨识的低好多。
图4-1-3深度学习运用于验证码辨识
4.2
微信抢红包工具
这是7月份捕获的一款针对微信的抢红包类工具软件,基于按钮精灵安卓版实现。通过自定义录制对手机屏幕的操作及重复次数等信息,根据一定模式进行对手机进行模拟操作进而实现抢红包等功能。工具运行如右图所示:
图4-2-1微信抢红包工具运行界面
黑灰产人员只须要在键盘精灵安卓版上编撰相关的逻辑脚本,即可实现模拟用户操作的动作去实现她们想要的功能,键盘精灵安卓版运行界面如右图所示:
图4-2-2键盘精灵安卓版运行界面
用户在点“录制”之后,就可以先手动操作一遍想要操作的功能,然后该软件会记录下用户操作的座标轨迹,如右图所示:
图4-2-3键盘精灵安卓版运行界面
我们在剖析的时侯发觉,该抢红包工具外置了工具须要的一些资源,包括辨识出现红包时的图象,如右图所示:
图4-2-4微信抢红包工具外置的图片资源
软件在后台运行,通过查找整个手机屏幕上满足上述截图图象所在的座标,之后再模拟用户去点击操作,进而达到抢红包的目的。
4.3
58全职VIP发贴软件
这是8月份捕获的一款针对58同城的手动发贴类工具软件,该工具的原理是通过破解58发贴相关插口来实现。在调用相关插口的时侯,软件会把插口所须要的参数拼接一起之后再向服务器恳求。在该软件中实现调用的插口包括:登入、发帖、获取展示中的贴子、未展示贴子、已删掉贴子、审核贴子、获取未读简历等。我们以发贴这一功能来说明该软件的工作原理,其他插口调用类似。该工具软件运行的界面如右图所示:
图4-3-158全职VIP发贴软件运行界面
界面上会有很多发帖的相关设置,这种设置是黑灰产人员在剖析58回帖的插口以后提取下来的,用户须要操作的一些变量值(包含回帖的省份、城市、街道、帖子标题、帖子职位等插口所须要的一些参数)。如下所示为我们构造的VIP用户发急聘帖捕获到的插口信息:
图4-3-2捕获到的插口信息
以下为插口须要POST的内容(因为该数据经过UrlEncode形式编码,为了便捷阅读,展示的是编码前的明文数据):
图4-3-3POST的数据内容(编码前)
我们可以看出,上述大部份的内容为用户填写的信息,只要依照回帖的插口格式构造一样的方式数据就可以成功发出贴子。
我们可以从这个插口所须要的相关参数看见,58VIP回帖的插口须要的参数十分多,这就要求黑灰产人员具备较强能力的合同插口剖析能力,还能剖析出什么是必须的参数,什么是可有可无的参数,以及什么是风控系统必须检查的参数,和参数的值是否加密。假如加密,则须要黑灰产人员破解加密算法以后,再估算出新的参数值借此绕开风控系统的检查。不仅上述的回帖插口,其他插口调用的方式和上述承德小异。
05
结束语
黑灰产工具软件是网路黑灰产业发展的必然产物,黑灰产业会随着互联网的发展而发展,其工具软件也会随着黑灰产业的发展而发展。基于此,我们抛出以下观点,希望能造成行业共鸣,并与你们一起阐述和思索。
第一
从黑产视角出发,建设黑灰产工具软件的全面监控和快速响应能力。通过对黑灰产业的常年跟进,我们对于黑灰产工具的传播链条和路径有了比较深入的理解和认知,可以第一时间捕获到网路中活跃的黑灰产工具,并第一时间剖析其害处和原理。我们希望通过合作的形式,帮助更多的厂商构建这方面的能力。
第二
构建黑灰产工具软件指纹库,提高风险设备辨识能力。传统的设备指纹方案因为存在激烈的对抗,辨识风险设备的疗效并不理想;另一方面,风险设备常常会安装各类各样的黑灰产工具软件,通过提取这种黑灰产工具软件的特点作为指纹,可以有效的辨识出风险设备。
第三
构建行业的黑灰工具软件情报共享,最大化情报价值。按照我们的观察,工具软件的作者、传播渠道、以及使用者存在交集。以电商疯抢为例,我们在跟进针对网店的疯抢工具时,发觉该工具的使用者,好多也会同时使用易迅、苏宁、唯品会、华为等商城的疯抢工具,因而达到利益的最大化。也就是我们第二点提及的黑灰产工具软件指纹库,当然是可以行业共享的,而我们也仍然旨在于解决黑灰产情报,包括工具软件情报的“数据孤岛”问题。
写在最后:
假如说黑灰产代表着黑夜,这么我们只有在黑夜中不断的探求和前行,才有可能迎来光明,与各位自勉。
获取报告:
提取码:w7nv