前言
2017年5月爆发的勒索病毒造成了严重的影响,使得NSA武器库进入了大众的视野;在网络安全这片看不见硝烟的战场上,在战场的另外一个角落——互联网业务安全领域,黑灰产从业者手里也掌握着威力强大的武器库:各式各样的工具软件,而且不为人们熟知。如果说手机号、帐号、IP、设备等,是黑产从业者的弹药,那么工具软件就是将这些弹药威力发挥到最大的武器。而对于工具软件的分析和研究,是黑产研究的重要组成部分。
一、黑灰产工具软件特征分析
威胁猎人对半年捕获到的黑灰产工具软件进行了系统性的梳理和分析,发现现阶段黑灰产工具软件有如下一些明显的特征,深入理解这些特征,有助于我们对黑灰产业的发展有更加准确的掌控和判断。
1.1与产业链深度整合
伴随着网络黑灰产的发展和成熟,如今的工具软件已经深度整合到了整个产业链当中,成为其中不可取代的一部分。以账号注册场景为例,黑灰产业除了掌握接码平台、打码平台和动态IP等资源外,还通过整合改机工具,模拟点击工具,批量扫号工具,代理软件工具等各类工具软件,实现了高度自动化和高度协同的作业流程,如下图:
1.2极强的版本快速迭代能力
相较于正常的软件,黑灰产工具软件具有更快的版本更新迭代速度。以一款针对京东的注册机工具软件为例,从18年1月到18年4月,我们共监控到该软件的20次版本更新,频繁时1天更新2个版本,如下图:
除了增加新功能,修复BUG之外,频繁的版本更新是黑灰产从业人员跟业务安全团队攻防对抗加剧的体现。一个比较典型的场景:一款针对X厂商的工具软件发布一段时间之后,通过业务侧的数据和模型,X厂商的业务安全团队感知到了由于工具软件产生的异常,并通过修复漏洞,改进检测模型等方式使工具软件失效;而工具软件的作者则需要重新找到新的突破口,然后发布新版本。
1.3显著的逐利化趋向
如果说早些年的黑客工具软件多多少少存在炫技的成分,当下的黑灰产工具则已经变得非常“务实”,完全以利益为驱动。近些年互联网发展迅猛,尤其以短视频行业、自媒体行业和电子商务行业为首的一批互联网公司业务蓬勃发展;而寄生在这些公司业务上的黑灰产从业人员,有着非常敏锐的“商业”嗅觉。每当业务发展过程中出现了一些薄弱点,很快就会出现利用此来攫取利益的工具软件,其中以针对营销活动的薅羊毛工具软件最为典型。美团在18年俄罗斯世界杯前夕推出了看球竞猜活动:
活动推出后不久,网络上就出现了50款以上针对该活动的工具软件,跟美团业务相关的工具软件中,竞猜类软件直接蹿升到第一位,如下图:
1.4游走在法律边缘的灰色地带
自《中国人民共和国网络安全法》发布并严格执行以来,黑产从业者发生了两个明显的变化:一个是越来越多的人采用匿名通信,匿名交易的方式来隐藏自己;另外一个是明显触发法律的黑产工具,如盗号木马,远控木马,游戏外挂等,做的人越来越少。虽然也有铤而走险者,但更多的人还是会权衡风险和收益,做到最大化的趋利避害。以电商行业为例,虽然有人仍然利用一些木马类工具软件进行资金的盗取和诈骗,但更为活跃的是一些辅助类工具软件,比如商家辅助工具,提供数据采集和分析,店铺引流等功能。有些软件还在界面显著位置放置了免责声明(虽然不一定有用),如下图:
当然,随着法律的不断健全和完善,目前认为是法律边缘的“灰色”地带,未来某一天也可能不再会是“安全”地带,这也必然会再次带来从业人群,以及相关工具软件的集体迁移。
1.5黑吃黑现象非常普遍
如果说黑灰产也是一个江湖,并不是所有的从业者都会遵守江湖规则,黑吃黑的现象非常普遍。这点在工具软件上,也体现得非常明显。在网络上传播的黑灰产工具软件中,很大一部分都存在各种各样的问题,对于刚进入这个江湖的“小白”来说,一不小心就会成为他人的盘中餐。根据我们的分析,有问题的工具软件主要有以下几类:
1、挂羊头卖狗肉类:这类工具软件根本没有其宣称的功能,却会在背后偷偷干其他一些事情。最典型的是一款流氓推广软件(注:运行之后会在后台下载并安装各种“全家桶”),以“刺激战场辅助外挂”,“流量宝疯狂刷量”,“抢红包神器”等名字在网络上传播量,每天的下载量超过1千以上;
2、买一送一类:简单来说就是二次打包,一些别有用心的人把正常的工具软件和病毒木马打包在一起,然后在放到网络上传播。由于黑灰产工具很多情况下都会被杀软报毒,所以即使真的有病毒,工具的使用者也会选择放行。经常使用黑灰产工具软件的人,其设备上往往也存在着各式各样的病毒;
3、请君入瓮类:一些黑灰产工具在使用之前,要先进行登录操作(比如针对腾讯业务的工具软件需要先登录QQ或微信,针对阿里业务的工具软件需要先登录淘宝),因为在一些情况下需要拿到登录态才能进行下一步的操作。然而,输入的账号和密码不仅仅用于业务的登录,还发送到了一些别有用心的工具软件制作者手里;
4、夸大其辞类:这种一般出现在收费类工具软件中。花大价钱买了所谓的牛逼工具,比如“百分百修改机器码”,“VIP会员破解”,“全自动秒杀”等,用起来发现实际效果很差,甚至没有效果。工具的买家遇到这种情况肯定是投诉无门,只能咬碎了牙往肚里吞。
所以,奉劝一下打算进入这个江湖的人,黑产有风险,入行需谨慎。
二、不断进化的方法和手段
根据威胁猎人TH-Karma业务情报监测平台统计,每天互联网上新产生的各式各样的黑灰产工具软件,包括软件更新,超过1千款以上。这些工具软件伴随着互联网技术和IT技术的发展,也在不断的发展和进化中。
2.1从模拟脚本到多种开发语言
黑灰产工具软件在早期,大多以通过模拟人工操作的方式实现攻击,比如基于按键精灵、大漠插件等编写定制化的脚本,就可以通过模拟点击完成注册,登录,刷金币等操作。这种方式简单,学习门槛低,但是使用的场景受限,效率也偏低。
后来也出现了基于VB/C/C++等高级语言编写的黑灰产工具软件,这类工具软件不再基于模拟人工操作的方式,更多的是基于网络协议的破解和重放,直接攻击业务接口,从而可以在单位时间内发起更多的攻击次数,将利润最大化。不过这类编程语言开发难度较高,需要开发者具备比较好的编程能力。
如今的黑灰产工具软件,则多以易语言、C#、、Lua等语言编写。这些语言由于功能化模块和框架比较完善,很多复杂功能通过一个简单的调用就可以完成,有着上手快,开发周期短的优点。尤其是易语言和C#,我们过去几个月捕获的PC端黑灰产工具软件,超过50%都是采用这两个语言编写。
除此之外,为了保护自己的核心代码逻辑不被他们发现,目前很多工具软件还会使用一些加壳软件给自己加壳。下图是一款基于C#编写的破解百度网盘下载限速的工具软件,本身加了UPX壳:
相对于,等强壳,UPX壳比较容易脱掉;脱壳之后,可以找出其核心代码逻辑,下图是拼接百度网盘下载链接的代码片段:
value: (e) {var t = this.();for (var n in e) this..push({name: e[n].path.(t),link: . + “///rest/2.0/pcs/file?m
ethod=&=&path=” + (e[n].path),md5: e[n].md5}); .()}
2.2从PC端到多端支持
随着近年来移动互联网的高速发展,塑造了全新的服务体验和生活形态;互联网的产品、服务以及用户也从PC端更多的迁移到了移动端。对于黑灰产从业人员来说,他们所使用的工具软件,也从PC端发展到了移动端。从目前最火的短视频行业来看,过去几个月我们捕获了大量的黑灰产工具软件,移动端的数量已经远远超过了PC端,如下图:
相较于PC端工具软件,移动端工具软件可以通过外挂的方式,实现更低的对抗成本。经过我们分析,捕获的短视频行业黑灰产工具中,就有大量基于按键精灵安卓版和易安卓编写的黑灰产工具,覆盖了注册,刷量,引流等黑灰产核心业务场景,如下图:
图1
2.3从终端发展到云端
如果说黑灰产工具软件从PC端发展到移动端是现在的趋势,那么从终端走向云端则是未来的趋势,部分工具软件已经体现出来了这样的特点。以我们分析的一款刷视频播放量的软件为例,从今年7月份开始,终端的工具软件只保留了登录,注册,充值等基本功能,登录后可以发布任务,但刷视频播放量的核心逻辑已经放到了云端:
促成工具软件从终端往云端化发展,主要有两方面的原因:
1、黑灰产技术的发展,特别是群控/云控系统等技术的发展,使得部分黑灰产从业人员手中掌握了大量的帐号和设备资源,如下图:
图2
对于这些人而言,不再需要开发专门的工具软件给到下游的终端设备上使用,下游只需要通过网页或者其他方式提交任务需求,所有动作都可以在其掌握的大量云端设备上完成;
2、终端的黑灰产工具软件,即使只是在小圈子内传播,也可以比较容易被外界获取到,然后通过逆向分析等方式获取到该工具的核心逻辑,从而被业务侧封杀,或者被他人模仿;云端化则将工具的核心逻辑隐藏到了后端,对于外界来说就是一个黑盒,想要封杀或者模仿的难度大大增加。
2.4从机械执行到机器学习
早期的工具软件,执行的核心逻辑大多是在程序代码里面,或者通过编写任务脚本的方式来指定。虽然编写简单,但都是机械的执行固定的逻辑,不仅缺乏扩展性和自适应能力,比如针对不同的屏幕分辨率,需要编写不同的脚本,也比较容易被检测和拦截。
随着IT技术的不断发展,特别是近些年机器学习和深度学习在图像识别等领域取得长足进展,黑灰产工具软件也完成了自身的技术升级。以验证码为例,厂商通过验证码来识别人和机器,从简单的字母/数字开始演变到现在流行的滑块验证码,甚至各种验证码组合使用;另一方面,发展到今天,黑灰产从业人员手里已经拥有了完整的基于深度学习的验证码识别系统,无论是从获取验证码的响应速度还是识别准确率都远高于传统的打码平台(注:传统的打码平台主要依赖于人工输入或者以针对某个网站生成的验证码识别库)。如图3.1和3.2所示:
图3.1
图3.2
另一个典型的例子是过脸认证。专业的过脸认证软件可以通过简单的自拍照,快速生成3D人脸模型,以及快速模拟人脸做出简单的认证动作,从而绕过注册或登录环节的人脸识别。
三、业务安全中活跃的黑灰产工具
根据我们捕获的黑灰产工具软件情报分析,目前活跃的工具软件按照业务功能,大致可分为5大类:账号类、刷量类、薅羊毛类、内容爬取类和特定功能类。每种类型的工具数量占比如下图所示:
图3-1工具功能类型占比
在业务安全对抗中,刷量刷单类是黑灰产最常用的攻击工具,也是活跃度最高的一类工具,如刷文章阅读量、刷视频播放量、刷粉丝量和刷订单数量等,这类攻击集中体现在自媒体行业、电商行业和视频行业;除此之外,账号类、薅羊毛类和内容爬取类工具也活跃于黑灰产和厂商业务安全对抗中;特定功能类工具则主要包括模拟器、多开、改机和秒拨等功能性工具软件。
3.1账号类工具软件
在大部分黑产链中,账号的质量和数量很大程度决定了黑产的投入产出比。账号类工具软件主要针对注册场景和登陆场景,实现的功能包括批量注册、扫号、鉴权和越权等。以“火牛注册扫号软件”为例,该工具直接和接码平台对接,用于接收短信验证码;同时内置VPS拨号功能用于绕过厂商的IP限制策略,从而完成帐号的批量注册和扫号。
图3-1-1 火牛注册扫号软件
帐号类的工具软件的牟利方式包括:1、直接对外出售批量注册的小号、对账号售卖有一定的分销制度,不同等级的代理拿货价格不一;2、通过将批量注册的小号用于刷量、引流的业务场景,像qq、email、微博号本身对其他厂商的业务可做授权服务,这类账号称为跳转号,同时跳转号的成本低廉;3、批量针对厂商推广活动的定制化小号,结合接码平台、打码平台等完成全自动化欺诈作业,短时间内薅取大量用户奖金。
如今以账号为核心的黑灰产业链在各行业的发展都具有一定规模,尤其是在需要大规模账号刷量的业务场景,包括虚假注册、实名过脸、批量养号和刷量等。除去明显给厂商业务带来明显的薅羊毛伤害,更多的是虚假小号带来潜在的危害性。比如黄赌毒的传播,以及被使用于引流诈骗场景给厂商带来不良的舆论效果。下表是近期我们监控到的一些比较活跃的账号类工具软件:
工具名称
活跃度
百度云PC破解版
高
高
今日头条账号注册机
中
爱奇艺会员扫描器
中
火牛扫号查询
中
表3-1-1 活跃的账号类工具
3.2刷量刷单类工具软件
刷量刷单类工具软件主要活跃在电商、自媒体、短视频等行业,主要功能包括刷成交量、刷阅读量、刷播放量、刷关注量、刷粉丝量、以及刷评论量等。以“久久快手刷播放”为例,该工具首先批量加载一批快手小号的Token,然后通过模拟网络请求的方式,访问指定的快手作品网址,最终可以成功刷取播放量。
图3-2-1久久快手刷播放
刷量刷单类工具软件的牟利方式包括:1、通过提供刷量、刷单服务对任务发布者收取佣金;2、针对电商平台对商家补贴的运费,通过结合空包物流服务,发起退货请求薅取补贴;3、将点赞和刷评论结合,在用户作品下置顶评论,通过个人介绍或是评论内容出粉,出粉价格按引入其他平台账号个数计数等。
下表是近期我们监控到的一些比较活跃的刷量刷单类工具软件:
工具名称
活跃度
快手刷粉丝软件
中