FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序把安全装进口袋
2017年5月爆发的Wannacry勒索病毒造成了严重的影响,使得NSA武器库进入了大众的视野;在网络安全这片看不见硝烟的战场上,在战场的另外一个角落——互联网业务安全领域,黑灰产从业者手里也掌握着威力强大的武器库:各式各样的工具软件,而且不为人们熟知。如果说手机号、帐号、IP、设备等,是黑产从业者的弹药,那么工具软件就是将这些弹药威力发挥到最大的武器。而对于工具软件的分析和研究,是黑产研究的重要组成部分。
我们对过去半年捕获到的黑灰产工具软件进行了系统性的梳理和分析,发现现阶段黑灰产工具软件有如下一些明显的特征,深入理解这些特征,有助于我们对黑灰产业的发展有更加准确的掌控和判断。
伴随着网络黑灰产的发展和成熟,如今的工具软件已经深度整合到了整个产业链当中,成为其中不可取代的一部分。以账号注册场景为例,黑灰产业除了掌握接码平台、打码平台和动态IP等资源外,还通过整合改机工具,模拟点击工具,批量扫号工具,代理软件工具等各类工具软件,实现了高度自动化和高度协同的作业流程,如下图:
相较于正常的软件,黑灰产工具软件具有更快的版本更新迭代速度。以一款针对京东的注册机工具软件为例,从18年1月到18年4月,我们共监控到该软件的20次版本更新,频繁时1天更新2个版本,如下图:
如果说早些年的黑客工具软件多多少少存在炫技的成分,当下的黑灰产工具则已经变得非常“务实”,完全以利益为驱动。近些年互联网发展迅猛,尤其以短视频行业、自媒体行业和电子商务行业为首的一批互联网公司业务蓬勃发展;而寄生在这些公司业务上的黑灰产从业人员,有着非常敏锐的“商业”嗅觉。每当业务发展过程中出现了一些薄弱点,很快就会出现利用此来攫取利益的工具软件,其中以针对营销活动的薅羊毛工具软件最为典型。美团在18年俄罗斯世界杯前夕推出了看球竞猜活动:
如果说黑灰产也是一个江湖,并不是所有的从业者都会遵守江湖规则,黑吃黑的现象非常普遍。这点在工具软件上,也体现得非常明显。在网络上传播的黑灰产工具软件中,很大一部分都存在各种各样的问题,对于刚进入这个江湖的“小白”来说,一不小心就会成为他人的盘中餐。根据我们的分析,有问题的工具软件主要有以下几类:
1.挂羊头卖狗肉类:这类工具软件根本没有其宣称的功能,却会在背后偷偷干其他一些事情。最典型的是一款流氓推广软件(注:运行之后会在后台下载并安装各种“全家桶”),以“刺激战场辅助外挂”,“流量宝疯狂刷量”,“抢红包神器”等名字在网络上传播量,每天的下载量超过1千以上;
2.买一送一类:简单来说就是二次打包,一些别有用心的人把正常的工具软件和病毒木马打包在一起,然后在放到网络上传播。由于黑灰产工具很多情况下都会被杀软报毒,所以即使真的有病毒,工具的使用者也会选择放行。经常使用黑灰产工具软件的人,其设备上往往也存在着各式各样的病毒;
4.夸大其辞类:这种一般出现在收费类工具软件中。花大价钱买了所谓的牛逼工具,比如“百分百修改机器码”,“VIP会员破解”,“全自动秒杀”等,用起来发现实际效果很差,甚至没有效果。工具的买家遇到这种情况肯定是投诉无门,只能咬碎了牙往肚里吞。
所以,奉劝一下打算进入这个江湖的人,黑产有风险,入行需谨慎。
根据威胁猎人TH-Karma业务情报监测平台统计,每天互联网上新产生的各式各样的黑灰产工具软件,包括软件更新,超过1千款以上。这些工具软件伴随着互联网技术和IT技术的发展,也在不断的发展和进化中。
如今的黑灰产工具软件,则多以易语言、C#、Python、Lua等语言编写。这些语言由于功能化模块和框架比较完善,很多复杂功能通过一个简单的调用就可以完成,有着上手快,开发周期短的优点。尤其是易语言和C#,我们过去几个月捕获的PC端黑灰产工具软件,超过50%都是采用这两个语言编写。
除此之外,为了保护自己的核心代码逻辑不被他们发现,目前很多工具软件还会使用一些加壳软件给自己加壳。下图是一款基于C#编写的破解百度网盘下载限速的工具软件,本身加了UPX壳:
相对于VMProtect,DNGuardHVM等强壳,UPX壳比较容易脱掉;脱壳之后,可以找出其核心代码逻辑,下图是拼接百度网盘下载链接的代码片段:
随着近年来移动互联网的高速发展,塑造了全新的服务体验和生活形态;互联网的产品、服务以及用户也从PC端更多的迁移到了移动端。对于黑灰产从业人员来说,他们所使用的工具软件,也从PC端发展到了移动端。从目前最火的短视频行业来看,过去几个月我们捕获了大量的黑灰产工具软件,移动端的数量已经远远超过了PC端,如下图:
相较于PC端工具软件,移动端工具软件可以通过外挂的方式,实现更低的对抗成本。经过我们分析,捕获的短视频行业黑灰产工具中,就有大量基于按键精灵安卓版和易安卓编写的黑灰产工具,覆盖了注册,刷量,引流等黑灰产核心业务场景,如下图:
促成工具软件从终端往云端化发展,主要有两方面的原因:
1.黑灰产技术的发展,特别是群控/云控系统等技术的发展,使得部分黑灰产从业人员手中掌握了大量的帐号和设备资源,如下图:
对于这些人而言,不再需要开发专门的工具软件给到下游的终端设备上使用,下游只需要通过网页或者其他方式提交任务需求,所有动作都可以在其掌握的大量云端设备上完成;
2.终端的黑灰产工具软件,即使只是在小圈子内传播,也可以比较容易被外界获取到,然后通过逆向分析等方式获取到该工具的核心逻辑,从而被业务侧封杀,或者被他人模仿;云端化则将工具的核心逻辑隐藏到了后端,对于外界来说就是一个黑盒,想要封杀或者模仿的难度大大增加。
早期的工具软件,执行的核心逻辑大多是Hardcode在程序代码里面,或者通过编写任务脚本的方式来指定。虽然编写简单,但都是机械的执行固定的逻辑,不仅缺乏扩展性和自适应能力,比如针对不同的屏幕分辨率,需要编写不同的脚本,也比较容易被检测和拦截。
随着IT技术的不断发展,特别是近些年机器学习和深度学习在图像识别等领域取得长足进展,黑灰产工具软件也完成了自身的技术升级。以验证码为例,厂商通过验证码来识别人和机器,从简单的字母/数字开始演变到现在流行的滑块验证码,甚至各种验证码组合使用;另一方面,发展到今天,黑灰产从业人员手里已经拥有了完整的基于深度学习的验证码识别系统,无论是从获取验证码的响应速度还是识别准确率都远高于传统的打码平台(注:传统的打码平台主要依赖于人工输入或者以针对某个网站生成的验证码识别库)。如图所示:
根据我们捕获的黑灰产工具软件情报分析,目前活跃的工具软件按照业务功能,大致可分为5大类:账号类、刷量类、薅羊毛类、内容爬取类和特定功能类。每种类型的工具数量占比如下图所示:
工具功能类型占比
在大部分黑产链中,账号的质量和数量很大程度决定了黑产的投入产出比。账号类工具软件主要针对注册场景和登陆场景,实现的功能包括批量注册、扫号、鉴权和越权等。以“火牛注册扫号软件”为例,该工具直接和接码平台对接,用于接收短信验证码;同时内置VPS拨号功能用于绕过厂商的IP限制策略,从而完成帐号的批量注册和扫号。
火牛注册扫号软件
帐号类的工具软件的牟利方式包括:
1.直接对外出售批量注册的小号、对账号售卖有一定的分销制度,不同等级的代理拿货价格不一;
如今以账号为核心的黑灰产业链在各行业的发展都具有一定规模,尤其是在需要大规模账号刷量的业务场景,包括虚假注册、实名过脸、批量养号和刷量等。除去明显给厂商业务带来明显的薅羊毛伤害,更多的是虚假小号带来潜在的危害性。比如黄赌毒的传播,以及被使用于引流诈骗场景给厂商带来不良的舆论效果。下表是近期我们监控到的一些比较活跃的账号类工具软件:
活跃的账号类工具
久久快手刷播放
刷量刷单类工具软件的牟利方式包括:
1.通过提供刷量、刷单服务对任务发布者收取佣金;
2.针对电商平台对商家补贴的运费,通过结合空包物流服务,发起退货请求薅取补贴;
下表是近期我们监控到的一些比较活跃的刷量刷单类工具软件:
活跃的刷量刷单类工具
薅羊毛类工具软件主要活跃于营销活动、电商抢购、红包领取等场景。以“瓦力抢红包”为例,该工具通过开通辅助功能,模拟点击控件从而实现抢红包及自动回复等功能。
瓦利抢红包
薅羊毛类工具软件的牟利方式包括:
1.直接出售工具软件获利;
2.利用工具领取平台推出的优惠券或减免红包等,或者将优惠券、红包等转手出售;
3.将抢购到的物品二次出售,从而赚取差价等。
下表是近期我们监控到的一些比较活跃的薅羊毛类工具软件:
活跃的薅羊毛类工具
拼多多精灵截图1
拼多多精灵截图2
内容爬取类工具软件的牟利方式包括:
1.利用采集的拼多多数据,提供数据分析服务和店铺管理服务获利,包括关键词排名、商品排名、开团监控、一键下订单、一键发货和多个店铺管理等;
2.当店家在使用这些工具时,很可能导致订单数据泄露,黑灰产可以通过出售这些数据或利用数据进行营销和诈骗等来获利。
下表是近期我们监控到的比较活跃的内容爬取类工具软件:
内容爬取类工具软件
特定功能类工具软件虽然不参与直接牟利,但提供的功能可以帮助黑灰产更好的攫取利益。比如改机工具,除了上面提到的引流场景外,在账号注册场景也很重要,可以实现一个设备多次复用的效果。下表是近期我们监控到的比较活跃的特定功能类工具软件:
活跃的特定功能类工具
过去半年我们对黑灰产工具软件做了大量的研究和分析,包括对其中一些工具软件做了深入的功能验证、动态调试和原理分析。我们选取几款比较典型的工具软件,进一步揭露其功能和原理。
这是6月份捕获的一款针对B站的注册类工具软件,采用C++语言编写。通过使用接码平台手机号接收手机验证码,同时内置深度学习框架Caffe识别图像验证码,完成帐号批量注册。程序运行界面如下图:
B站手机注册机运行界面
之后该工具会使用内置的深度学习框架Caffe识别图片验证码。识别验证码的过程会读取本地内置深度学习框架Caffe框架所需要的3个文件:deploy.prototxt,res_lstm_ctc_iter.caffemodel,label-map.txt。其中deploy.prototxt部分代码如下:
deploy.prototxt代码截图
图像验证码识别成功后,完成帐号注册。
深度学习运用于验证码识别
这是7月份捕获的一款针对陌陌的抢红包类工具软件,基于按键精灵安卓版实现。通过自定义录制对手机屏幕的操作及重复次数等信息,按照一定模式进行对手机进行模拟操作从而实现抢红包等功能。工具运行如下图所示:
陌陌抢红包工具运行界面
按键精灵安卓版运行界面
用户在点“录制”之后,就可以先手动操作一遍想要操作的功能,之后该软件会记录下用户操作的坐标轨迹,如下图所示:
我们在分析的时候发现,该抢红包工具内置了工具需要的一些资源,包括识别出现红包时的图像,如下图所示:
陌陌抢红包工具内置的图片资源
软件在后台运行,通过查找整个手机屏幕上满足上述截图图像所在的坐标,然后再模拟用户去点击操作,从而达到抢红包的目的。
58全职VIP发帖软件运行界面
捕获到的接口信息
以下为接口需要POST的内容(由于该数据经过UrlEncode方式编码,为了方便阅读,展示的是编码前的明文数据):
POST的数据内容(编码前)
黑灰产工具软件是网络黑灰产业发展的必然产物,黑灰产业会随着互联网的发展而发展,黑灰产工具软件也会随着黑灰产业的发展而发展。基于此,我们抛出以下观点,希望能引起行业共鸣,并与大家一起探讨和思考。
2.建立黑灰产工具软件指纹库,增强风险设备识别能力。传统的设备指纹方案由于存在激烈的对抗,识别风险设备的效果并不理想;另一方面,风险设备往往会安装各种各样的黑灰产工具软件,通过提取这些黑灰产工具软件的特征作为指纹,可以有效的识别出风险设备。
3.建立行业的黑灰工具软件情报共享,最大化情报价值。根据我们的观察,工具软件的作者、传播渠道、以及使用者存在交集。以电商抢购为例,我们在跟进针对淘宝的抢购工具时,发现该工具的使用者,很多也会同时使用京东,苏宁,唯品会,华为等商城的抢购工具,从而达到利益的最大化。也就是我们第2点提到的黑灰产工具软件指纹库,其实是可以行业共享的,而我们也一直致力于解决黑灰产情报,包括工具软件情报的数据孤岛问题。
如果说黑灰产代表着黑夜,我们只有在黑夜中不断的探索和前行,才有可能迎来光明,与诸位共勉。
*本文作者:威胁猎人鬼谷实验室,转载请注明来自FreeBuf.COM