目录 一、干货黑灰产工具软件特征剖析 1.1 与产业链深度整合 1.2 极强的黑灰版本快速迭代能力 1.3 显著的逐利化趋于 1.4 游走在法律边沿的灰色地带 1.5 黑吃黑现象十分普遍 二、不断进化的产工qq代刷网标签赞方式和手段 2.1 从模拟脚本到多种开发语言 2.2 从PC端到多端支持 2.3 从终端发展到云端 2.4 从机械执行到机器学习 三、业务安全中活跃的具软件特黑灰产工具 3.1 账号类工具软件 3.2 刷量刷单类软件工具软件 3.3 薅羊毛类工具软件 3.4 内容爬取类工具软件 3.5 特定功能类工具软件 四、典型的征分黑灰产工具软件分析 4.1 B站手机注册机3.0 4.2 陌陌抢红包工具 4.3 58全职VIP发贴软件 五、总结 导语:2017年5月爆发的析及Wannacry勒索病毒导致了严重的影响,使得NSA武器库步入了大众的研究视野;在网路安全这片看不见烽烟的战场上,在战场的干货另外一个角落——互联网业务安全领域,黑灰产从业者手里也把握着威力强悍的黑灰武器库:各式各样的工具软件,而且不为人们熟知。产工如果说手机号、具软件特帐号、征分IP、析及设备等,研究是干货黑产从业者的弹药,那么工具软件就是将这种弹药威力发挥到最大的装备。而对于工具软件的剖析和研究,是黑产研究的重要组成部份。 01 黑灰产工具软件特征剖析 我们对过去半年捕获到的黑灰产工具软件进行了系统性的梳理和剖析,发现现阶段黑灰产工具软件有如下一些显著的特点,深入理解这种特点,有助于我们对黑灰产业的发展有愈发确切的掌控和判别。 1.1 与产业链深度整合 伴随着网路黑灰产的发展和成熟,如今的工具软件已经深度整合到了整个产业链当中,成为其中不可代替的一部分。以帐号注册场景为例,黑灰产业不仅把握接码平台、打码平台和动态IP等资源外,还通过整合改机工具,模拟点击工具,批量扫号工具,代理软件工具等各种工具软件,实现了高度自动化和高度协同的作业流程,如下图: 1.2 极强的版本快速迭代能力 相较于正常的软件,黑灰产工具软件具有更快的版本更新迭代速率。以一款针对易迅的注册机工具软件为例,从2018年1月到4月,我们共监控到该软件的20次版本更新,频繁时1天更新2个版本,如下图: 除了降低新功能,修复BUG之外,频繁的版本更新是黑产从业人员跟业务安全团队攻守对抗减缓的彰显。一个比较典型的场景:一款针对X厂商的工具软件发布一段时间以后,通过业务侧的数据和模型,X厂商的业务安全团队感知到了因为工具软件产生的异常,并通过修补漏洞,改进测量模型等方法使工具软件失效;而工具软件的作者则须要重新找到新的突破口,然后发布新版本。 1.3 显著的逐利化趋于 如果说早些年的黑客工具软件多多少少存在炫技的成份,当下的黑灰产工具则早已显得十分“务实”,完全以利益为驱动。qq代刷网标签赞近些年互联网发展迅猛,尤其以短视频行业、自媒体行业和电子商务行业为首的一批互联网公司业务蓬勃发展;而寄生在那些公司业务上的黑灰产从业人员,有着特别敏锐的“商业”嗅觉。每当业务发展过程中出现了一些薄弱点,很快还会出现借助那些薄弱点来赚取利益的工具软件,其中以针对营销活动的薅羊毛工具软件最为典型。美团在2018年俄罗斯世界杯前夕推出了看球竞猜活动: 活动推出后不久,网络上就出现了50款以上针对该活动的工具软件,跟美团业务相关的工具软件中,竞猜类软件直接飙升到第一位,如下图: 1.4 游走在法律边沿的灰色地带 自《中国人民共和国网络安全法》发布并严格执行以来,黑产从业者发生了两个显著的变化:一个是越来越多的人采用匿名通讯、匿名交易的方法来隐藏自己;另外一个是显著触发法律的黑产工具,如盗号木马、远控木马、游戏外挂等,做的人越来越少。虽然也有铤而走险者,但更多的人还是会权衡风险和利润,做到最大化的趋利避害。以电商行业为例,虽然有人一直借助一些木马类工具软件进行资金的窃取和盗窃,但更为活跃的是一些辅助类工具软件,比如店家辅助工具,提供数据采集和剖析、店铺引流等功能。有些软件还在界面明显位置放置了免责声明(虽然不一定有用),如下图: 当然,随着法律的不断完善和健全,目前觉得是法律边沿的“灰色”地带,未来某三天也可能不再是“安全”地带,这必然也会再度带来从业人群以及相关工具软件的集体迁移。 1.5 黑吃黑现象十分普遍 如果说黑灰产也是一个江湖,并不是所有的从业者就会遵循江湖规则,黑吃黑的现象十分普遍。这点在工具软件上,也彰显得十分显著。在网路上传播的黑灰产工具软件中,很大一部分都存在各种各样的问题,对于刚步入这个江湖的“小白”来说,一不小心都会成为别人的盘西餐。根据我们的剖析,有问题的工具软件主要有以下几类: 1、挂羊头卖狗豆类:这类工具软件根本没有其声称的功能,却会在背后偷偷干其他一些事情。最典型的是一款流氓推广软件(注:运行以后会在后台下载并安装各类“全家桶”),以“刺激战场辅助外挂”、“流量宝疯狂刷量”、“抢红包神器”等名子在网路上传播量,每天的下载量超过1千以上; 2、买一送一类:简单来说就是二次打包,一些别有用心的人把正常的工具软件和病毒木马打包在一起,然后在放在网路上传播。由于黑灰产工具好多情况下就会被杀软报毒,所以就算真的有病毒,工具的使用者也会选择放行。经常使用黑灰产工具软件的人,其设备上常常也存在着各式各样的病毒; 3、请君入瓮类:一些黑灰产工具在使用之前,要先进行登陆操作(比如针对腾讯业务的工具软件需要先登陆QQ或陌陌,针对阿里业务的工具软件需要先登入天猫),因为在一些情况下须要领到登陆态能够进行下一步的操作。然而,输入的帐号和密码不仅仅用于业务的登陆,还发送到了一些别有用心的工具软件制作者手里; 4、夸大其辞类:这种通常出现在收费类工具软件中。花大价格买了所谓的牛逼工具,比如“百分百更改机器码”、“VIP会员破解”、“全手动秒杀”等,用上去发觉实际疗效很差,甚至没有疗效。工具的卖家遇见这些情况肯定是投诉无门,只能咬断了牙往腹中吞。 所以,奉劝一下准备步入这个江湖的人,黑产有风险,入行需谨慎。 02 不断进化的方式和手段 根据恐吓猎人TH-Karma业务情报检测平台统计,每天互联网上新形成的各式各样的黑灰产工具软件,包括软件更新,超过1千款以上。这些工具软件伴随着互联网技术和IT技术的发展,也在不断的发展和进化中。 2.1 从模拟脚本到多种开发语言 黑灰产工具软件在初期大多以通过模拟人工操作的方法实现功击,比如基于按键精灵、大漠插件等编撰多样化的脚本,就可以通过模拟点击完成注册、登录、刷金币等操作。这种方法简单,学习门槛低,但是使用的场景受限,效率也过高。 后来也出现了基于VB/C/C++等中级语言编撰的黑灰产工具软件,这类工具软件不再基于模拟人工操作的方法,更多的是基于网路合同的破解和重放,直接功击业务插口,从而可以在单位时间内发起更多的功击次数,将收益最大化。不过这类编程语言开发难度较高,需要开发者具备比较好的编程能力。 如今的黑灰产工具软件,则多以易语言、C#、Python、Lua等语言编撰。这些语言因为功能化模块和框架比较健全,很多复杂功能通过一个简单的调用就可以完成,有着上手快、开发周期短的优点。尤其是易语言和C#,我们过去几个月捕获的PC端黑灰产工具软件,超过50%都是采用这两个语言编撰。 除此之外,为了保护自己的核心代码逻辑不被她们发觉,目前好多工具软件还会使用一些免杀软件给自己免杀。下图是一款基于C#编撰的破解百度网盘下载限速的工具软件,本身加了UPX壳: 相对于VMProtect、DNGuardHVM等强壳,UPX壳比较容易脱掉,脱壳以后,可以找出其核心代码逻辑,下图是拼接百度网盘下载链接的代码片断: 2.2 从PC端到多端支持 随着近些年来移动互联网的高速发展,塑造了全新的服务体验和生活形态。互联网的产品、服务以及用户也从PC端更多的迁移到了移动端。对于黑灰产从业人员来说,他们所使用的工具软件,也从PC端发展到了移动端。从目前最火的短视频行业来看,过去几个月我们捕获了大量的黑灰产工具软件,移动端的数目早已远远超过了PC端,如下图: 相较于PC端工具软件,移动端工具软件可以通过外挂的形式,实现更低的对抗成本。经过我们剖析,捕获的短视频行业黑灰产工具中,就有大量基于按键精灵安卓版和易安卓编撰的黑灰产工具,覆盖了注册、刷量、引流等黑灰产核心业务场景,如下图: 图1 2.3 从终端发展到云端 如果说黑灰产工具软件从PC端发展到移动端是现今的趋势,那么从终端迈向云端则是未来的趋势,部分工具软件已经彰显下来了这样的特性。以我们剖析的一款刷视频播放量的软件为例,从今年7月份开始,终端的工具软件只保留了登陆、注册、充值等基本功能,登录后可以发布任务,但刷视频播放量的核心逻辑早已放在了云端: 促成工具软件从终端往云端化发展,主要有两方面的缘由: 1、黑灰产技术的发展,特别是群控/云控系统等技术的发展,使得部份黑灰产从业人员手中把握了大量的账号和设备资源,如下图: 图2 对于那些人而言,不再须要开发专门的工具软件给到下游的终端设备上使用,下游只须要通过网页或则其他形式递交任务需求,所有动作都可以在其把握的大量云端设备上完成; 2、终端的黑灰产工具软件,即使只是在小圈子内传播,也可以比较容易被外界获取到,然后通过逆向分析等方法获取到该工具的核心逻辑,从而被业务侧封杀,或者被别人模仿;云端化则将工具的核心逻辑隐藏到了前端,对于外界来说就是一个黑盒,想要封杀或则模仿的难度大大降低。 2.4 从机械执行到机器学习 早期的工具软件,执行的核心逻辑大多是Hardcode在程序代码上面,或者通过编撰任务脚本的形式来指定。虽然编撰简单,但都是机械的执行固定的逻辑,不仅缺少扩展性和自适应能力,比如针对不同的屏幕帧率,需要编撰不同的脚本,也比较容易被测量和拦截。 随着IT技术的不断发展,特别是近年机器学习和深度学习在图象辨识等领域取得长足进展,黑灰产工具软件也完成了自身的技术升级。以验证码为例,厂商通过验证码来辨识人和机器,从简单的字母/数字开始演化到现今流行的滑块验证码,甚至各类验证码组合使用;另一方面,发展到明天,黑灰产从业人员手里早已拥有了完整的基于深度学习的验证码辨识系统,无论是从获取验证码的响应速率还是辨识准确率都远低于传统的打码平台(注:传统的打码平台主要依赖于人工输入或则以针对某个网站生成的验证码识别库)。如图3.1和3.2所示: 图3.1 图3.2 另一个典型的事例是过脸认证。专业的过脸认证软件可以通过简单的自拍照,快速生成3D人脸模型,以及快速模拟人脸作出简单的认证动作,从而绕开注册或登陆环节的人脸辨识。 03 业务安全中活跃的黑灰产工具 根据我们捕获的黑灰产工具软件情报剖析,目前活跃的工具软件按照业务功能,大致可分为5大类:账号类、刷量类、薅羊毛类、内容爬取类和特定功能类。每种类型的工具数目占例如下图所示: 图3-1工具功能类型占比 在业务安全对抗中,刷量刷单类是黑灰产最常用的功击工具,也是活跃度最高的一类工具,如刷文章阅读量、刷视频播放量、刷粉丝量和刷订单数目等,这类功击集中彰显在自媒体行业、电商行业和视频行业。除此之外,账号类、薅羊毛类和内容爬取类工具也活跃于黑灰产和厂商业务安全对抗中。特定功能类工具则主要包括模拟器、多开、改机和秒拨等功能性工具软件。 3.1 账号类工具软件 在大部分黑产链中,账号的质量和数目很大程度决定了黑产的投入产出比。账号类工具软件主要针对注册场景和登录场景,实现的功能包括批量注册、扫号、鉴权和越权等。以“火牛注册扫号软件”为例,该工具直接和接码平台对接,用于接收邮件验证码。同时外置VPS拔号功能用于绕开厂商的IP限制策略,从而完成账号的批量注册和扫号。 图3-1-1 火牛注册扫号软件 帐号类的工具软件的行骗方法包括: 直接对外转让批量注册的大号、对帐号售卖有一定的分销制度,不同等级的代理拿货价钱不一; 通过将批量注册的大号用于刷量、引流的业务场景,像QQ、Email、微博号本身对其他厂商的业务可做授权服务,这类帐号称为跳转号,同时跳转号的成本低廉; 批量针对厂商推广活动的多样化大号,结合接码平台、打码平台等完成全自动化欺诈作业,短时间内薅取大量用户奖金。 如今以帐号为核心的黑灰产业链在各行业的发展都具有一定规模,尤其是在须要大规模帐号刷量的业务场景,包括虚假注册、实名过脸、批量养号和刷量等。除去显著给厂商业务带来显著的薅羊毛伤害,更多的是虚假大号带来潜在的危害性。比如黄赌毒的传播,以及被使用于引流盗窃场景给厂商带来不良的舆论疗效。下表是近日我们监控到的一些比较活跃的帐号类工具软件: 表3-1-1 活跃的帐号类工具 3.2 刷量刷单类工具软件 刷量刷单类工具软件主要活跃在电商、自媒体、短视频等行业,主要功能包括刷成交量、刷阅读量、刷播放量、刷关注量、刷粉丝量、以及刷评论量等。以“久久快手刷播放”为例,该工具首先批量加载一批快手小号的Token,然后通过模拟网路恳求的方法,访问指定的快手作品网址,最终可以成功刷取播放量。 图3-2-1久久快手刷播放 刷量刷单类工具软件的行骗方法包括: 通过提供刷量、刷单服务对任务发布者缴纳佣金; 针对电商平台对店家补助的邮费,通过结合空包货运服务,发起退款恳求薅取补助; 将点赞和刷评论结合,在用户作品下置顶评论,通过个人介绍或是评论内容出粉,出粉价钱按引入其他平台帐号个数计数等。 下表是近日我们监控到的一些比较活跃的刷量刷单类工具软件: 表3-2-1 活跃的刷量刷单类工具 3.3 薅羊毛类工具软件 薅羊毛类工具软件主要活跃于营销活动、电商疯抢、红包发放等场景。以“瓦力抢红包”为例,该工具通过开通辅助功能,模拟点击控件进而实现抢红包及自动回复等功能。 图3-2-2瓦利抢红包 薅羊毛类工具软件的行骗方法包括: 直接转让工具软件获利; 利用工具发放平台推出的优惠券或免除红包等,或者将优惠券、红包等转手转让 将疯抢到的物品二次转让,从而攫取价差等。 下表是近日我们监控到的一些比较活跃的薅羊毛类工具软件: 表3-2-3 活跃的薅羊毛类工具 3.4 内容爬取类工具软件 内容爬取类工具软件主要通过爬虫程序,采集电商数据、短视频用户作品、招聘网站简历和自媒体文章等。近期我们就发觉有多款工具软件对拼多多的商品信息、店铺信息、拼团信息等数据进行爬取。以“拼多多精灵”为例,该工具软件通过恳求apiv4.yangkeduo.com下的插口来爬取拼多多数据买快手赞和播放量有用吗,提供开团提醒、关键词排行、类目排行、导出订单、物流监控、退款提醒、竞品对手监控等功能: 图3-2-3拼多多精灵截图1 图3-2-4拼多多精灵截图2 内容爬取类工具软件的行骗方法包括: 利用采集的拼多多数据,提供数据剖析服务和店面管理服务获利,包括关键词排名、商品排行、开团监控、一键下订单、一键发货和多个店面管理等; 当商家在使用这种工具时,很可能引起订单数据泄漏,黑灰产可以通过转让那些数据或借助数据进行营销和盗窃等来获利。 下表是近日我们监控到的比较活跃的内容爬取类工具软件: 表3-2-4 内容爬取类工具软件 3.5 特定功能类工具软件 特定功能类工具软件主要包括模拟器、多开、改机和秒拨等功能工具软件,常见应用于注册帐号、邀请新用户发放红包、刷赞、刷分享、刷评分和刷榜等场景。特定功能类工具软件种类和数目不多,但是黑灰产业链中也发挥着非常关键的作用。 以改机软件“海鱼魔器”为例,在抖音引流这个场景,利用改机可以伪造位置,利用抖音附近视频的功能做引流,诱导附近见到视频的人添加陌陌大号。 图3-5-1 图3-5-2 如上图,借助改机软件将所在地点更改到人流量多的广州火车站,然后通过抖音上传“精心”制作的帅哥视频或图片,并配上包含微信号的文字,最终将上钩的女性用户定向引流至销售女性用具的微商,或被诱导发红包观看淫秽视频,最终上当受骗。 特定功能类工具软件虽然不参与直接敛财,但提供的功能可以帮助黑灰产更好的赚取利益。比如改机工具,除了前面提及的引流场景外,在帐号注册场景也很重要,可以实现一个设备多次复用的疗效。下表是近日我们监控到的比较活跃的特定功能类工具软件: 表3-5 活跃的特定功能类工具 04 典型的黑灰产工具软件分析 过去半年我们对黑灰产工具软件做了大量的研究和剖析,包括对其中一些工具软件做了深入的功能验证、动态调试和原理剖析。我们选定几款比较典型的工具软件,进一步揭发其功能和原理。 4.1 B站手机注册机3.0 这是6月份捕获的一款针对B站的注册类工具软件,采用C++语言编撰。通过使用接码平台手机号接收手机验证码,同时外置深度学习框架Caffe辨识图象验证码,完成账号批量注册。 程序运行界面如下图: 图4-1-1 B站手机注册机运行界面 程序会登陆接码平台: :9000/soft.html 接收短信验证码,接着调用B站注册插口: 以及验证码下发插口: 提取到验证码,如下图: 之后该工具会使用外置的深度学习框架Caffe 识别图片验证码。 识别验证码的过程会读取本地外置深度学习框架Caffe框架所须要的3个文件: deploy.prototxt,res_lstm_ctc_iter.caffemodel,label-map.txt。 其中deploy.prototxt部份代码如下: 图4-1-2 deploy.prototxt代码截图 图像验证码辨识成功后,完成账号注册。 该工具的亮点和我们往年听到的工具不一样的地方的是用到了深度学习的图象辨识能力,并且这个图象辨识的准确率达到了99%以上,平均完成一个帐号的注册时间大概在10秒内。以往这一类的注册工具绝大多数会接一个打码平台或则外置一个针对目标网站的一个验证码识别库,无论是从辨识准确率还是注册效率远比借助深度学习图象辨识的低好多。 图4-1-3 深度学习运用于验证码识别 4.2 陌陌抢红包工具 这是7月份捕获的一款针对微信的抢红包类工具软件,基于按键精灵安卓版实现。通过自定义录制对手机屏幕的操作及重复次数等信息,按照一定模式进行对手机进行模拟操作进而实现抢红包等功能。工具运行如下图所示: 图4-2-1 陌陌抢红包工具运行界面 黑灰产人员只须要在按键精灵安卓版上编撰相关的逻辑脚本,即可实现模拟用户操作的动作去实现她们想要的功能,按键精灵安卓版运行界面如下图所示: 图4-2-2 按键精灵安卓版运行界面 用户在点“录制”之后,就可以先自动操作一遍想要操作的功能,之后该软件会记录下用户操作的座标轨迹,如下图所示: 图4-2-3 按键精灵安卓版运行界面 我们在剖析的时侯发觉,该抢红包工具外置了工具须要的一些资源,包括辨识出现红包时的图象,如下图所示: 图4-2-4 陌陌抢红包工具外置的图片资源 软件在后台运行,通过查找整个手机屏幕上满足上述截图图象所在的座标,然后再模拟用户去点击操作,从而达到抢红包的目的。 4.3 58全职VIP发贴软件 这是8月份捕获的一款针对58同城的手动发帖类工具软件,该工具的原理是通过破解58发贴相关插口来实现。在调用相关插口的时侯,软件会把插口所须要的参数拼接一起之后再向服务器恳求。在该软件中实现调用的插口包括:登陆、发帖、获取展示中的贴子、未展示贴子、已删掉贴子、审核贴子、获取未读简历等。我们以发贴这一功能来说明该软件的工作原理,其他插口调用类似。该工具软件运行的界面如下图所示: 图4-3-1 58全职VIP发贴软件运行界面 界面上会有很多回帖的相关设置,这些设置是黑灰产人员在剖析58回帖的插口以后提取下来的,用户须要操作的一些变量值(包含回帖的省份、城市、街道、帖子标题、帖子职位等插口所须要的一些参数)。如下所示为我们构造的VIP用户发招聘帖捕获到的插口信息: 图4-3-2 捕获到的插口信息 以下为插口须要POST的内容(由于该数据经过UrlEncode形式编码,为了便捷阅读,展示的是编码前的明文数据): 图4-3-3 POST的数据内容(编码前) 我们可以看出,上述大部分的内容为用户填写的信息,只要依照回帖的插口格式构造一样的方式数据就可以成功发出贴子。 我们可以从这个插口所须要的相关参数看见,58VIP回帖的插口须要的参数十分多,这就要求黑灰产人员具备较强能力的合同插口剖析能力,能够剖析出什么是必须的参数,哪些是可有可无的参数,以及什么是风控系统必须检查的参数,和参数的值是否加密。如果加密,则须要黑灰产人员破解加密算法以后,再估算出新的参数值借此绕开风控系统的检查。除了上述的回帖插口,其他插口调用的方式和上述大同小异。 05 结束语 黑灰产工具软件是网路黑灰产业发展的必然产物,黑灰产业会随着互联网的发展而发展,其工具软件也会随着黑灰产业的发展而发展。基于此,我们抛出以下观点,希望能造成行业共鸣,并与你们一起阐述和思索。 第一 从黑产视角出发,建设黑灰产工具软件的全面监控和快速响应能力。通过对黑灰产业的常年跟进,我们对于黑灰产工具的传播链条和路径有了比较深入的理解和认知,可以第一时间捕获到网路中活跃的黑灰产工具,并第一时间剖析其害处和原理。我们希望通过合作的形式,帮助更多的厂商构建这方面的能力。 第二 建立黑灰产工具软件指纹库,增强风险设备辨识能力。传统的设备指纹方案因为存在激烈的对抗,识别风险设备的疗效并不理想;另一方面,风险设备常常会安装各种各样的黑灰产工具软件,通过提取这种黑灰产工具软件的特点作为指纹买快手赞和播放量有用吗,可以有效的辨识出风险设备。 第三 建立行业的黑灰工具软件情报共享,最大化情报价值。根据我们的观察,工具软件的作者、传播渠道、以及使用者存在交集。以电商疯抢为例,我们在跟进针对天猫的疯抢工具时,发现该工具的使用者,很多也会同时使用易迅、苏宁、唯品会、华为等商城的疯抢工具,从而达到利益的最大化。也就是我们第二点提及的黑灰产工具软件指纹库,其实是可以行业共享的,而我们也仍然致力于解决黑灰产情报,包括工具软件情报的“数据孤岛”问题。 写在最后: 如果说黑灰产代表着黑夜,那么我们只有在黑夜中不断的探求和前行,才有可能迎来光明,与各位自勉。