短视频热门教程前言
2017年5月爆发的Wannacry勒索病毒疫情造成了严重影响,让NSA的武器库进入了公众的视野。在网络安全这个隐形战场,在战场的另一个角落——互联网商业安全领域,黑灰产从业者手中同样拥有强大的武器库:各种不被大众熟知的工具软件。如果说手机号、账号、IP地址、设备等是黑产从业者的弹药,那么工具软件则是让这些弹药发挥最大威力的武器。对工具软件的分析研究是黑产研究的重要组成部分。
1、黑灰产工具软件特点分析
威胁猎手对近半年来捕获的黑灰产业工具软件进行了系统梳理和分析,发现当前的黑灰产业工具软件具有以下几个明显的特征,深入了解这些特征将有助于我们对黑灰产业的发展有更准确的把控和研判。
1.1 与产业链深度融合
随着线上黑灰产业的发展与成熟,如今的工具软件已经深度融入整个产业链,成为其中不可替代的一环。以账号注册场景为例,黑灰产业除了掌握代码接收平台、代码生成平台、动态 IP 等资源外,还通过整合机改工具、模拟点击工具、批量扫描工具、代理软件工具等各类工具软件,实现了高度自动化、高度协同的作业流程,如下图所示:
1.2 强大的版本快速迭代能力
相较于普通软件,黑灰行业工具软件的版本更新迭代速度更快。以京东某注册机工具软件为例,2018年1月至4月,我们共监测到该软件20次版本更新,更新频率最高的为每天2个版本,如下图所示:
频繁的版本更新除了增加新功能、修复 Bug 之外,更是黑灰行业从业者与业务安全团队攻防对抗加剧的体现。一个典型的场景是:经过一段时间,某厂商发布了一款工具软件,通过业务侧的数据和模型,X 厂商业务安全团队感知到该工具软件带来的异常,通过修复漏洞、完善检测模型等方式使该工具软件失效。工具软件的作者需要寻找新的突破口,再发布新版本。
1.3 逐利倾向明显
如果说早些年的黑客工具软件多多少少还有些秀技的话,那么现在的黑灰产工具已经变得非常“务实”,完全以利益驱动。近些年互联网发展迅猛,尤其是以短视频行业、自媒体行业、电商行业为首的一批互联网公司蓬勃发展;而寄生在这些公司业务上的黑灰产从业者,有着非常敏锐的“商业”嗅觉。每当业务发展出现一些薄弱环节,利用这一点获取利润的工具软件就会很快出现,其中最典型的莫过于用于营销活动的薅羊毛工具软件。美团在18年俄罗斯世界杯前夕推出了一场观赛竞猜足球活动:
活动上线后不久,网上就出现了50多个针对该活动的工具软件,在与美团业务相关的工具软件中,猜谜软件跃居第一位,如下图所示:
1.4 游走于法律边缘的灰色地带
自《中华人民共和国网络安全法》发布并严格实施以来,黑产从业人员出现了两个明显的变化:一是越来越多的人采用匿名通信、匿名交易的方式隐藏自己;二是越来越少的人使用明显触犯法律的黑产工具,如盗号木马、远控木马、游戏外挂等。虽然也有人铤而走险,但更多的人会权衡风险与收益,趋利避害。以电商行业为例,虽然仍有人使用一些木马工具软件盗取、骗取资金,但一些辅助工具软件却更为活跃,如商家辅助工具,提供数据收集分析、店铺流量导流等功能。有的软件还会在界面显著位置放置免责声明(虽然可能没什么用)买快手赞和播放量有用吗,如下图:
当然,随着法律的不断完善和发展,目前被认为是法律边缘的“灰色”地带,在未来的某一天,或许就不再是“安全”地带了,这必然会引发从业人员和相关工具软件的集体迁移。
1.5 黑上黑的现象很常见
如果说黑灰行业也是自成一体的话,那么并不是所有从业者都会遵守自成一体的规则,黑吃黑的现象非常普遍,这在工具软件上也表现得非常明显。网上流传的黑灰行业工具软件很大一部分都存在着各种各样的问题,对于刚进入这个自成一体的“新手”来说,很容易就成为别人的盘中餐。根据我们的分析,存在问题的工具软件主要包括以下几类:
1、打着卖假的幌子卖假货:这类工具软件本身并没有其宣称的功能,却在背后偷偷做着其他事。最典型的就是流氓推广软件(注意:运行后会在后台下载安装各种“全家桶”),网络上以“绝地求生辅助外挂”“流量宝箱疯狂刷量”“抢红包神器”等名字传播,日均下载量超过1000次;
2、买一送一:简单来说就是二次包装,一些别有用心的人将正常的工具软件包装上病毒木马,然后在网上传播。由于黑灰产工具经常被杀毒软件提示为病毒,所以即使有病毒,工具用户也会选择放过。经常使用黑灰产工具软件的人,设备上往往都会有各种病毒。
3、引诱:有些黑灰工具需要你先登录才能使用(比如腾讯业务的软件需要你先登录QQ或微信,阿里业务的软件需要你先登录淘宝),因为有些情况下需要先获取登录状态才能进行下一步操作。但你输入的账号和密码不仅用于业务登录,还会发送给一些别有用心的工具软件制作者;
4、夸大其词:这类工具一般出现在付费工具软件中,花了大价钱买了所谓的牛逼的工具后,比如“100%修改机器码”、“VIP会员破解”、“全自动秒杀”等,实际效果很差甚至没有效果。工具的购买者遇到这种情况肯定是投诉无门,只能硬着头皮忍了。
所以我劝那些打算进入这个行业的人,黑色行业有风险,入行需谨慎。
2. 不断演变的方法和手段
据威胁猎手TH-Karma商业智能监测平台统计,互联网上每天都会产生1000多个新的黑灰工具软件,包括软件更新,这些工具软件也随着互联网技术和IT技术的发展,不断发展、演变。
2.1 从仿真脚本到多种开发语言
早期黑灰工具软件大多通过模拟人工操作的方式实施攻击,例如基于键盘精灵、沙漠插件等编写定制化脚本,通过模拟点击即可完成注册、登录、刷金币等操作,这种方式简单、学习门槛低,但使用场景有限、效率较低。
后来出现了用VB/C/C++等高级语言编写的黑灰行业工具软件。这类工具软件不再以模拟人工操作为主,更多的是以破解和重放网络协议为主,直接攻击业务接口,从而在单位时间内发起更多攻击,实现利润最大化。但这类编程语言开发难度较大,需要开发者具备相对较好的编程功底。
如今,黑灰行业软件大多采用易语言、C#、Python、Lua 等语言编写。这些语言具有相对完善的功能模块和框架,很多复杂的功能只需简单调用即可完成,具有使用方便、开发周期短的优势。尤其是易语言和 C#,我们过去几个月捕获的 PC 端黑灰行业软件中,超过 50% 都是用这两种语言编写的。
另外,很多工具软件为了保护自己的核心代码逻辑不被他们发现,都会使用一些壳软件给自己加壳,下图是一个用C#编写的破解百度网盘下载限速的工具软件,本身就用UPX加壳:
相比VMProtect、DNGuardHVM等强壳,UPX壳更容易脱壳;脱壳之后就能发现其核心代码逻辑。下图是拼接百度网盘下载链接的代码片段:
值:函数(e){var t = this.getPrefixLength(); for(var n in e)this.fileDownloadInfo.push({name:e[n].path.substr(t),link:location.protocol +“//pcs.baidu.com/rest/2.0/pcs/file?m
ethod=download&app_id=250528&path=" + encodeURIComponent(e[n].path),md5: e[n].md5});返回 Promise.resolve()}
2.2 从PC到多终端支持
近年来,随着移动互联网的迅猛发展,创造了新的服务体验和生活方式,互联网产品、服务和用户也从PC端迁移到了移动端。对于从事黑灰行业的人来说,他们使用的工具软件也从PC端发展到了移动端。从目前火爆的短视频行业来看,我们在过去的几个月里捕获了大量的黑灰行业工具软件,移动端的数量已经远远超过了PC端,如下图所示:
相较于PC端工具软件,移动端工具软件通过插件的方式,能够实现更低的对抗成本。经过我们的分析,在抓获的短视频行业黑灰产工具中,存在大量基于键盘精灵、易安卓版的黑灰产工具,覆盖了注册、刷量、导流等黑灰产核心业务场景,如下图所示:
图1
2.3 从终端到云端
如果说黑灰行业工具软件从PC向移动端发展是当下的趋势,那么从端向云端发展则是未来的趋势。部分工具软件已经展现出了这一特点。以我们分析的一款增加视频播放的软件为例,今年7月份以来,该终端工具软件只保留了登录、注册、充值等基础功能,登录后可以下发任务,但增加视频播放的核心逻辑已经放在了云端:
工具软件由端向云端发展主要有两点原因:
1、黑灰产业技术的发展,特别是群控/云控系统的发展,使得一些黑灰产业从业者能够控制大量的账号和设备资源,如下图所示:
图 2
对于这些人来说,无需开发专门用于下游终端设备的工具软件,下游只需要通过Web等方式提交任务需求,所有动作都可以在其掌握的大量云端设备上完成。
2、终端的黑灰产工具软件即便只在小圈子内流传,也能轻易被外界获取,进而通过逆向分析等方式获取工具的核心逻辑,从而被业务方封杀或者被他人模仿;云计算将工具的核心逻辑隐藏在后端,对外界来说是一个黑箱,大大增加了被封杀或者模仿的难度。
2.4 从机械执行到机器学习
早期的工具软件,执行的核心逻辑多是硬编码在程序代码中,或者通过编写任务脚本来指定。虽然编写简单,但都是机械地执行固定的逻辑,不仅缺乏扩展性和适应性,比如针对不同的屏幕分辨率需要编写不同的脚本,也更容易被检测和拦截。
随着IT技术的不断发展,特别是近年来,机器学习、深度学习在图像识别等领域取得了长足进步,黑灰行业工具软件也完成了自身的技术升级。以验证码为例,厂商通过验证码来识别人和机器,从简单的字母/数字到如今流行的滑块验证码,甚至各种验证码的组合使用;另一方面,截止到今天,黑灰行业从业者已经拥有一套完整的基于深度学习的验证码识别体系,在响应速度和识别准确率上远高于传统打码平台(注:传统打码平台主要依靠人工输入或者针对某个网站生成的验证码识别库)。如图3.1、3.2所示:
图 3.1
图 3.2
另一个典型例子是人脸认证,专业的人脸认证软件可以通过简单的自拍快速生成3D人脸模型,并快速模拟人脸进行简单的认证动作,从而绕过注册或登录时的人脸识别。
3.黑灰产工具活跃在企业安全领域
根据我们捕获的黑灰行业工具软件情报分析,目前活跃的工具软件按照业务功能大致可以分为账号型、刷量型、薅羊毛型、内容爬虫型、特定功能型五大类,各类型工具占比如下图所示:
图3-1 工具功能类型比例
在业务安全与产业的对抗中,夸大流量、订单量工具是黑灰产业最常用的攻击工具买快手赞和播放量有用吗,也是最活跃的一类工具。例如,夸大文章阅读量、视频播放量、刷粉、订单量等工具,这类攻击集中在自媒体行业、电商行业、视频行业。此外,账号薅羊毛内容爬取工具等在黑灰产业与厂商业务安全的对抗中也很活跃。针对特定功能的工具主要有模拟器、多次开通、机器修改、即时拨号等功能工具软件。
3.1 账户工具软件
在大多数黑色产业链中,账号的质量和数量很大程度上决定了黑色产业的投入产出比。账号工具软件主要针对注册登录场景,实现的功能包括批量注册、扫号、认证、越权等。以“火牛注册扫号软件”为例,该工具直接对接收码平台,接收短信验证码;同时利用内置的VPS拨号功能,绕过厂商的IP限制策略,从而完成账号的批量注册和扫号。
图3-1-1 火牛注册扫描软件
账号类工具软件的盈利方式包括:1、直销批量注册的小号,对号销售有一定的分销体系,不同级别的代理商收取不同的价格;2、利用批量注册的小号进行刷量、引流等业务场景,比如QQ、邮箱、微博等账号本身就可以为其他厂商业务提供授权服务,这样的账号被称为跳转账号,跳转账号成本低;3、为厂商促销活动批量定制小号,结合收码平台、生成码平台等完成全自动作弊操作,短时间内攫取大量用户奖金。
如今以账号为核心的黑灰产业链在各行业都发展到一定规模,尤其在需要大规模刷账号的业务场景中,包括虚假注册、实名人脸、批量养号刷号等。除了对厂商业务的明显伤害,虚假小号带来的潜在危害更多。比如,传播薅羊毛,利用诈骗场景引流,给厂商带来不良舆论效应等。下表为近期我们监测到的一些比较活跃的账号工具软件:
工具名称
活动
百度云PC破解版
高的
潘下载
高的
今日头条账号注册机
中间
爱奇艺会员扫描器
中间
火牛扫码查询
中间
表 3-1-1 活跃账户工具
3.2软件
刷量、刷单的软件主要活跃在电商、自媒体、短视频等行业,主要功能包括刷交易量、刷阅读量、刷播放量、刷关注量、刷粉量、刷评论量等。以“久久快手刷播放量”为例,该工具首先批量加载一批快手小号代币,然后通过模拟网络请求的方式访问指定的快手作品网站,最终便可成功刷播放量。
图3-2-1快手播放
刷流量刷单工具软件的盈利方式包括:1、通过提供刷流量刷单服务,向任务发布者收取佣金;2、结合空包物流服务,向商家发起回访请求,获取电商平台补贴的运费补贴;3、结合点赞刷评论,在用户作品下置顶评论,通过个人介绍或评论内容获取粉丝,粉丝价格以其他平台介绍的账号数量计算等。
下表列举了我们近期监控到的一些比较活跃的刷量、刷单工具软件:
工具名称
活动
快手刷粉软件
中间
发表评论