前言
2017年5月爆发的Wannacry勒索病毒导致了严重的影响,使得NSA武器库步入了大众的视野;在网路安全这片看不见烽烟的战场上,在战场的另外一个角落——互联网业务安全领域,黑灰产从业者手里也把握着威力强悍的武器库:各式各样的工具软件,而且不为人们熟知。如果说手机号、帐号、IP、设备等,是黑产从业者的弹药,那么工具软件就是将这种弹药威力发挥到最大的防具。而对于工具软件的剖析和研究,是黑产研究的重要组成部份。
一、黑灰产工具软件特点剖析
威胁猎人对半年捕获到的黑灰产工具软件进行了系统性的梳理和剖析,发现现阶段黑灰产工具软件有如下一些显著的特点,深入理解这种特点,有助于我们对黑灰产业的发展有愈发确切的掌控和判别。
1.1与产业链深度整合
伴随着网路黑灰产的发展和成熟,如今的工具软件早已深度整合到了整个产业链当中,成为其中不可替代的一部分。以帐号注册场景为例,黑灰产业不仅把握接码平台、打码平台和动态IP等资源外,还通过整合改机工具,模拟点击工具,批量扫号工具,代理软件工具等各种工具软件,实现了高度自动化和高度协同的作业流程,如下图:
1.2极强的版本快速迭代能力
相较于正常的软件,黑灰产工具软件具有更快的版本更新迭代速率。以一款针对易迅的注册机工具软件为例,从18年1月到18年4月,我们共监控到该软件的20次版本更新,频繁时1天更新2个版本,如下图:
除了降低新功能,修复BUG之外,频繁的版本更新是黑灰产从业人员跟业务安全团队攻守对抗激化的彰显。一个比较典型的场景:一款针对X厂商的工具软件发布一段时间以后,通过业务侧的数据和模型,X厂商的业务安全团队感知到了因为工具软件形成的异常,并通过修补漏洞,改进测量模型等方法使工具软件失效;而工具软件的作者则须要重新找到新的突破口,然后发布新版本。
1.3明显的逐利化趋于
如果说早些年的黑客工具软件多多少少存在炫技的成份,当下的黑灰产工具则早已显得十分“务实”,完全以利益为驱动。近些年互联网发展迅猛,尤其以短视频行业、自媒体行业和电子商务行业为首的一批互联网公司业务蓬勃发展;而寄生在那些公司业务上的黑灰产从业人员,有着特别敏锐的“商业”嗅觉。每当业务发展过程中出现了一些薄弱点,很快还会出现借助此来赚取利益的工具软件,其中以针对营销活动的薅羊毛工具软件最为典型。美团在18年俄罗斯世界杯前夕推出了看球竞猜活动:
活动推出后不久,网络上就出现了50款以上针对该活动的工具软件,跟美团业务相关的工具软件中,竞猜类软件直接飙升到第一位,如下图:
1.4穿行在法律边沿的灰色地带
自《中国人民共和国网络安全法》发布并严格执行以来,黑产从业者发生了两个显著的变化:一个是越来越多的人采用匿名通讯,匿名交易的方法来隐藏自己;另外一个是显著触发法律的黑产工具,如盗号木马,远控木马,游戏外挂等,做的人越来越少。虽然也有铤而走险者,但更多的人还是会权衡风险和利润,做到最大化的趋利避害。以电商行业为例,虽然有人一直借助一些木马类工具软件进行资金的窃取和盗窃,但更为活跃的是一些辅助类工具软件,比如店家辅助工具,提供数据采集和剖析,店铺引流等功能。有些软件还在界面明显位置放置了免责声明(虽然不一定有用),如下图:
当然,随着法律的不断完善和健全,目前觉得是法律边沿的“灰色”地带,未来某三天也可能不再会是“安全”地带,这也必然会再度带来从业人群,以及相关工具软件的集体迁移。
1.5黑吃黑现象十分普遍
如果说黑灰产也是一个江湖,并不是所有的从业者就会遵循江湖规则,黑吃黑的现象十分普遍。这点在工具软件上,也彰显得十分显著。在网路上传播的黑灰产工具软件中,很大一部分都存在各种各样的问题,对于刚步入这个江湖的“小白”来说,一不小心都会成为别人的盘西餐。根据我们的剖析,有问题的工具软件主要有以下几类:
1、挂羊头卖狗豆类:这类工具软件根本没有其声称的功能,却会在背后偷偷干其他一些事情。最典型的是一款流氓推广软件(注:运行以后会在后台下载并安装各类“全家桶”),以“刺激战场辅助外挂”,“流量宝疯狂刷量”,“抢红包利器”等名子在网路上传播量,每天的下载量超过1千以上;
2、买一送一类:简单来说就是二次打包,一些别有用心的人把正常的工具软件和病毒木马打包在一起,然后在放在网路上传播。由于黑灰产工具好多情况下就会被杀软报毒,所以就算真的有病毒,工具的使用者也会选择放行。经常使用黑灰产工具软件的人,其设备上常常也存在着各式各样的病毒;
3、请君入瓮类:一些黑灰产工具在使用之前,要先进行登陆操作(比如针对腾讯业务的工具软件须要先登陆QQ或陌陌,针对阿里业务的工具软件须要先登入天猫),因为在一些情况下须要领到登陆态能够进行下一步的操作。然而,输入的帐号和密码不仅仅用于业务的登陆,还发送到了一些别有用心的工具软件制作者手里;
4、夸大其辞类:这种通常出现在收费类工具软件中。花大价格买了所谓的牛逼工具,比如“百分百更改机器码”,“VIP会员破解”,“全手动秒杀”等,用上去发觉实际疗效很差,甚至没有疗效。工具的卖家遇见这些情况肯定是投诉无门,只能咬断了牙往腹中吞。
所以,奉劝一下准备步入这个江湖的人,黑产有风险,入行需谨慎。
二、不断进化的方式和手段
根据恐吓猎人TH-Karma业务情报检测平台统计,每天互联网上新形成的各式各样的黑灰产工具软件,包括软件更新,超过1千款以上。这些工具软件伴随着互联网技术和IT技术的发展,也在不断的发展和进化中。
2.1从模拟脚本到多种开发语言
黑灰产工具软件在初期,大多以通过模拟人工操作的方法实现功击,比如基于按键精灵、大漠插件等编撰多样化的脚本,就可以通过模拟点击完成注册,登录,刷金币等操作。这种方法简单,学习门槛低,但是使用的场景受限,效率也过高。
后来也出现了基于VB/C/C++等中级语言编撰的黑灰产工具软件,这类工具软件不再基于模拟人工操作的方法,更多的是基于网路合同的破解和重放,直接功击业务插口,从而可以在单位时间内发起更多的功击次数,将收益最大化。不过这类编程语言开发难度较高,需要开发者具备比较好的编程能力。
如今的黑灰产工具软件,则多以易语言、C#、Python、Lua等语言编撰。这些语言因为功能化模块和框架比较健全,很多复杂功能通过一个简单的调用就可以完成,有着上手快,开发周期短的优点。尤其是易语言和C#,我们过去几个月捕获的PC端黑灰产工具软件,超过50%都是采用这两个语言编撰。
除此之外,为了保护自己的核心代码逻辑不被她们发觉,目前好多工具软件都会使用一些免杀软件给自己免杀。下图是一款基于C#编撰的破解百度网盘下载限速的工具软件,本身加了UPX壳:
相对于VMProtect,DNGuardHVM等强壳,UPX壳比较容易脱掉;脱壳以后,可以找出其核心代码逻辑,下图是拼接百度网盘下载链接的代码片断:
value: function(e) {var t = this.getPrefixLength();for (var n in e) this.fileDownloadInfo.push({name: e[n].path.substr(t),link: location.protocol + "//pcs.baidu.com/rest/2.0/pcs/file?m
ethod=download&app_id=250528&path=" + encodeURIComponent(e[n].path),md5: e[n].md5});return Promise.resolve()}
2.2从PC端到多端支持
随着近些年来移动互联网的高速发展,塑造了全新的服务体验和生活形态;互联网的产品、服务以及用户也从PC端更多的迁移到了移动端。对于黑灰产从业人员来说,他们所使用的工具软件,也从PC端发展到了移动端。从目前最火的短视频行业来看,过去几个月我们捕获了大量的黑灰产工具软件,移动端的数目早已远远超过了PC端,如下图:
相较于PC端工具软件,移动端工具软件可以通过外挂的形式,实现更低的对抗成本。经过我们剖析,捕获的短视频行业黑灰产工具中,就有大量基于按键精灵安卓版和易安卓编撰的黑灰产工具,覆盖了注册,刷量,引流等黑灰产核心业务场景,如下图:
图1
2.3从终端发展到云端
如果说黑灰产工具软件从PC端发展到移动端是现今的趋势,那么从终端迈向云端则是未来的趋势,部分工具软件早已彰显下来了这样的特性。以我们剖析的一款刷视频播放量的软件为例,从今年7月份开始,终端的工具软件只保留了登陆,注册,充值等基本功能,登录后可以发布任务,但刷视频播放量的核心逻辑早已放在了云端:
促成工具软件从终端往云端化发展,主要有两方面的缘由:
1、黑灰产技术的发展,特别是群控/云控系统等技术的发展,使得部份黑灰产从业人员手中把握了大量的账号和设备资源,如下图:
图2
对于那些人而言,不再须要开发专门的工具软件给到下游的终端设备上使用,下游只须要通过网页或则其他形式递交任务需求,所有动作都可以在其把握的大量云端设备上完成;
2、终端的黑灰产工具软件,即使只是在小圈子内传播,也可以比较容易被外界获取到,然后通过逆向分析等方法获取到该工具的核心逻辑,从而被业务侧封杀,或者被别人模仿;云端化则将工具的核心逻辑隐藏到了前端,对于外界来说就是一个黑盒,想要封杀或则模仿的难度大大降低。
2.4从机械执行到机器学习
早期的工具软件,执行的核心逻辑大多是Hardcode在程序代码上面,或者通过编撰任务脚本的形式来指定。虽然编撰简单,但都是机械的执行固定的逻辑,不仅缺少扩展性和自适应能力,比如针对不同的屏幕帧率,需要编撰不同的脚本,也比较容易被测量和拦截。
随着IT技术的不断发展,特别是近年机器学习和深度学习在图象辨识等领域取得长足进展,黑灰产工具软件也完成了自身的技术升级。以验证码为例,厂商通过验证码来辨识人和机器,从简单的字母/数字开始演化到现今流行的滑块验证码,甚至各类验证码组合使用;另一方面,发展到明天,黑灰产从业人员手里早已拥有了完整的基于深度学习的验证码辨识系统,无论是从获取验证码的响应速率还是辨识准确率都远低于传统的打码平台(注:传统的打码平台主要依赖于人工输入或则以针对某个网站生成的验证码识别库)。如图3.1和3.2所示:
图3.1
图3.2
另一个典型的事例是过脸认证。专业的过脸认证软件可以通过简单的自拍照,快速生成3D人脸模型,以及快速模拟人脸作出简单的认证动作,从而绕开注册或登陆环节的人脸辨识。
三、业务安全中活跃的黑灰产工具
根据我们捕获的黑灰产工具软件情报剖析,目前活跃的工具软件根据业务功能,大致可分为5大类:账号类、刷量类、薅羊毛类、内容爬取类和特定功能类。每种类型的工具数目占例如下图所示:
图3-1工具功能类型占比
在业务安全对抗中,刷量刷单类是黑灰产最常用的功击工具,也是活跃度最高的一类工具,如刷文章阅读量、刷视频播放量、刷粉丝量和刷订单数目等,这类功击集中彰显在自媒体行业、电商行业和视频行业;除此之外,账号类、薅羊毛类和内容爬取类工具也活跃于黑灰产和厂商业务安全对抗中;特定功能类工具则主要包括模拟器、多开、改机和秒拨等功能性工具软件。
3.1账号类工具软件
在大部分黑产链中,账号的质量和数目很大程度决定了黑产的投入产出比。账号类工具软件主要针对注册场景和登录场景,实现的功能包括批量注册、扫号、鉴权和越权等。以“火牛注册扫号软件”为例,该工具直接和接码平台对接,用于接收短信验证码;同时外置VPS拔号功能用于绕开厂商的IP限制策略,从而完成账号的批量注册和扫号。
图3-1-1 火牛注册扫号软件
帐号类的工具软件的行骗方法包括:1、直接对外转让批量注册的大号、对帐号售卖有一定的分销制度,不同等级的代理拿货价钱不一;2、通过将批量注册的大号用于刷量、引流的业务场景,像qq、email、微博号本身对其他厂商的业务可做授权服务,这类帐号称为跳转号,同时跳转号的成本低廉;3、批量针对厂商推广活动的多样化大号,结合接码平台、打码平台等完成全自动化欺诈作业,短时间内薅取大量用户奖金。
如今以帐号为核心的黑灰产业链在各行业的发展都具有一定规模,尤其是在须要大规模帐号刷量的业务场景,包括虚假注册、实名过脸、批量养号和刷量等。除去显著给厂商业务带来显著的薅羊毛伤害,更多的是虚假大号带来潜在的危害性。比如黄赌毒的传播,以及被使用于引流盗窃场景给厂商带来不良的舆论疗效。下表是近日我们监控到的一些比较活跃的帐号类工具软件:
工具名称
活跃度
百度云PC破解版
高
PanDownload
高
今日头条帐号注册机
中
爱奇艺会员扫描器
中
火牛扫号查询
中
表3-1-1 活跃的帐号类工具
3.2刷量刷单类工具软件
刷量刷单类工具软件主要活跃在电商、自媒体、短视频等行业,主要功能包括刷成交量、刷阅读量、刷播放量、刷关注量、刷粉丝量、以及刷评论量等。以“久久快手刷播放”为例,该工具首先批量加载一批快手大号的Token,然后通过模拟网路恳求的方法,访问指定的快手作品网址,最终可以成功刷取播放量。
图3-2-1久久快手刷播放
刷量刷单类工具软件的行骗方法包括:1、通过提供刷量、刷单服务对任务发布者缴纳佣金;2、针对电商平台对店家补助的邮费,通过结合空包货运服务,发起退款恳求薅取补助;3、将点赞和刷评论结合,在用户作品下置顶评论,通过个人介绍或是评论内容出粉,出粉价钱按引入其他平台帐号个数计数等。
下表是近日我们监控到的一些比较活跃的刷量刷单类工具软件:
工具名称
活跃度
快手刷粉丝软件
中