Wannacry 勒索病毒影响严重,NSA 武器库进入大众视野,黑灰产工具软件特征分析
序言
2017年5月爆发的勒索Wannacry恐吓病毒引起了严重的影响,致使NSA装备库步入了大众的病毒视野;在网路安全这片看不见烽烟的战场上,在战场的影响严重速云代刷商城 - QQ刷赞另外一个角落——互联网业务安全领域,黑灰产从业者手里也把握着威力强悍的器库装备库:各色各样的工具软件,但是进入具软件特不为人们熟知。假如说手机号、大众帐号、视野IP、黑灰设备等,产工是征分黑产从业者的弹药,这么工具软件就是勒索将这种弹药威力发挥到最大的装备。而对于工具软件的病毒剖析和研究,是影响严重黑产研究的重要组成部份。
一、器库黑灰产工具软件特点剖析
恐吓猎人对半年捕获到的进入具软件特黑灰产工具软件进行了系统性的梳理和剖析,发觉现阶段黑灰产工具软件有如下一些显著的特点,深入理解这种特点,有助于我们对黑灰产业的发展有愈发确切的掌控和判别。
1.1与产业链深度整合
伴随着网路黑灰产的发展和成熟,现今的工具软件早已深度整合到了整个产业链当中,成为其中不可替代的一部份。以帐号注册场景为例,黑灰产业不仅把握接码平台、打码平台和动态IP等资源外,还通过整合改机工具,模拟点击工具,批量扫号工具,代理软件工具等各种工具软件,实现了高度手动化和高度协同的作业流程,如右图:
1.2极强的版本快速迭代能力
相较于正常的软件,黑灰产工具软件具有更快的版本更新迭代速率。以一款针对易迅的注册机工具软件为例,从18年1月到18年4月,速云代刷商城 - QQ刷赞我们共监控到该软件的20次版本更新,频繁时1天更新2个版本,如右图:
不仅降低新功能,修补BUG之外,频繁的版本更新是黑灰产从业人员跟业务安全团队攻守对抗激化的彰显。一个比较典型的场景:一款针对X厂商的工具软件发布一段时间以后,通过业务侧的数据和模型,X厂商的业务安全团队感知到了因为工具软件形成的异常,并通过修补漏洞,改进测量模型等方法使工具软件失效;而工具软件的作者则须要重新找到新的突破口买快手赞和播放量有用吗,之后发布新版本。
1.3明显的逐利化趋于
假如说早些年的黑客工具软件多多少少存在炫技的成份,当下的黑灰产工具则早已显得十分“务实”,完全以利益为驱动。近年互联网发展迅猛,尤其以短视频行业、自媒体行业和电子商务行业为首的一批互联网公司业务蓬勃发展;而寄生在那些公司业务上的黑灰产从业人员,有着十分敏锐的“商业”嗅觉。每每业务发展过程中出现了一些薄弱点,很快还会出现借助此来赚取利益的工具软件,其中以针对营销活动的薅羊毛工具软件最为典型。美团在18年日本世界杯前夕推出了看球竞猜活动:
活动推出后不久,网路上就出现了50款以上针对该活动的工具软件,跟美团业务相关的工具软件中,竞猜类软件直接飙升到第一位,如右图:
1.4穿行在法律边沿的红色地带
自《中国人民共和国网路安全法》发布并严格执行以来,黑产从业者发生了两个显著的变化:一个是越来越多的人采用匿名通讯,匿名交易的方法来隐藏自己;另外一个是显著触发法律的黑产工具,如盗号木马,远控木马,游戏外挂等,做的人越来越少。其实也有铤而走险者,但更多的人还是会权衡风险和利润,做到最大化的趋利避害。以电商行业为例,即使有人一直借助一些木马类工具软件进行资金的窃取和盗窃,但更为活跃的是一些辅助类工具软件,例如店家辅助工具,提供数据采集和剖析,店面引流等功能。有些软件还在界面明显位置放置了免责申明(尽管不一定有用),如右图:
其实,随着法律的不断完善和健全,目前觉得是法律边沿的“灰色”地带,未来某三天也可能不再见是“安全”地带,这也必然会再度带来从业人群,以及相关工具软件的集体迁移。
1.5黑吃黑现象十分普遍
假如说黑灰产也是一个江湖,并不是所有的从业者还会遵循江湖规则,黑吃黑的现象十分普遍。这点在工具软件上,也彰显得十分显著。在网路上传播的黑灰产工具软件中,很大一部份都存在各类各样的问题,对于刚步入这个江湖的“小白”来说,一不留神都会成为别人的盘西餐。按照我们的剖析,有问题的工具软件主要有以下几类:
1、挂羊头卖狗豆类:这类工具软件根本没有其声称的功能,却会在背后偷偷干其他一些事情。最典型的是一款流氓推广软件(注:运行以后会在后台下载并安装各类“全家桶”),以“刺激战场辅助外挂”,“流量宝疯狂刷量”,“抢红包神器”等名子在网路上传播量,每晚的下载量超过1千以上;
2、买一送一类:简单来说就是二次打包,一些别有用心的人把正常的工具软件和病毒木马打包在一起,之后在放在网路上传播。因为黑灰产工具好多情况下就会被杀软报毒,所以就算真的有病毒,工具的使用者也会选择放行。常常使用黑灰产工具软件的人,其设备上常常也存在着各色各样的病毒;
3、请君入瓮类:一些黑灰产工具在使用之前,要先进行登陆操作(例如针对腾讯业务的工具软件须要先登陆QQ或陌陌,针对阿里业务的工具软件须要先登入天猫),由于在一些情况下须要领到登陆态能够进行下一步的操作。但是,输入的帐号和密码不仅仅用于业务的登陆,还发送到了一些别有用心的工具软件制做者手里;
4、夸大其辞类:此类通常出现在收费类工具软件中。花大价格买了所谓的牛逼工具,例如“百分百更改机器码”,“VIP会员破解”,“全手动秒杀”等,用上去发觉实际疗效很差,甚至没有疗效。工具的卖家遇见这些情况肯定是投诉无门,只能咬断了牙往腹中吞。
所以,告诫一下准备步入这个江湖的人,黑产有风险,入行需慎重。
二、不断进化的方式和手段
按照恐吓猎人TH-Karma业务情报检测平台统计,每晚互联网上新形成的各色各样的黑灰产工具软件,包括软件更新,超过1千款以上。这种工具软件伴随着互联网技术和IT技术的发展,也在不断的发展和进化中。
2.1从模拟脚本到多种开发语言
黑灰产工具软件在初期,大多以通过模拟人工操作的方法实现功击,例如基于按钮精灵、大漠插件等编撰多样化的脚本,就可以通过模拟点击完成注册,登陆,刷金币等操作。这些方法简单,学习门槛低,而且使用的场景受限,效率也偏高。
后来也出现了基于VB/C/C++等中级语言编撰的黑灰产工具软件,这类工具软件不再基于模拟人工操作的方法,更多的是基于网路合同的破解和重放,直接功击业务插口,因而可以在单位时间内发起更多的功击次数,将收益最大化。不过这类编程语言开发难度较高,须要开发者具备比较好的编程能力。
现在的黑灰产工具软件,则多以易语言、C#、Python、Lua等语言编撰。这种语言因为功能化模块和框架比较健全,好多复杂功能通过一个简单的调用就可以完成,有着上手快,开发周期短的优点。尤其是易语言和C#,我们过去几个月捕获的PC端黑灰产工具软件,超过50%都是采用这两个语言编撰。
除此之外,为了保护自己的核心代码逻辑不被她们发觉,目前好多工具软件都会使用一些免杀软件给自己免杀。右图是一款基于C#编撰的破解百度云盘下载限速的工具软件,本身加了UPX壳:
相对于VMProtect,DNGuardHVM等强壳,UPX壳比较容易脱掉;脱壳以后,可以找出其核心代码逻辑,右图是拼接百度云盘下载链接的代码片断:
value:function(e){ vart=this.getPrefixLength();for(varnine)this.fileDownloadInfo.push({ name:e[n].path.substr(t),link:location.protocol+"//pcs.baidu.com/rest/2.0/pcs/file?m
ethod=download&app_id=250528&path="+encodeURIComponent(e[n].path),md5:e[n].md5});returnPromise.resolve()}
2.2从PC端到多端支持
随着近些年来联通互联网的高速发展,打造了全新的服务体验和生活形态;互联网的产品、服务以及用户也从PC端更多的迁移到了联通端。对于黑灰产从业人员来说,她们所使用的工具软件,也从PC端发展到了联通端。从目前最火的短视频行业来看,过去几个月我们捕获了大量的黑灰产工具软件,联通端的数目早已远远超过了PC端,如右图:
相较于PC端工具软件,联通端工具软件可以通过外挂的形式,实现更低的对抗成本。经过我们剖析,捕获的短视频行业黑灰产工具中,就有大量基于按钮精灵安卓版和易安卓编撰的黑灰产工具,覆盖了注册,刷量,引流等黑灰产核心业务场景,如右图:
图1
2.3从终端发展到云端
假如说黑灰产工具软件从PC端发展到联通端是现今的趋势,这么从终端迈向云端则是未来的趋势,部份工具软件早已彰显下来了这样的特性。以我们剖析的一款刷视频播放量的软件为例,从去年7月份开始,终端的工具软件只保留了登陆,注册,冲值等基本功能,登陆后可以发布任务,但刷视频播放量的核心逻辑早已放在了云端:
促使工具软件从终端往云端化发展,主要有两方面的缘由:
1、黑灰产技术的发展,非常是群控/云控系统等技术的发展,促使部份黑灰产从业人员手中把握了大量的账号和设备资源,如右图:
图2
对于那些人而言,不再须要开发专门的工具软件给到下游的终端设备上使用,下游只须要通过网页或则其他形式递交任务需求,所有动作都可以在其把握的大量云端设备上完成;
2、终端的黑灰产工具软件,虽然只是在小圈子内传播,也可以比较容易被外界获取到,之后通过逆向剖析等方法获取到该工具的核心逻辑,进而被业务侧封杀,或则被别人模仿;云端化则将工具的核心逻辑隐藏到了前端,对于外界来说就是一个黑盒,想要封杀或则模仿的难度大大降低。
2.4从机械执行到机器学习
初期的工具软件,执行的核心逻辑大多是Hardcode在程序代码上面,或则通过编撰任务脚本的形式来指定。其实编撰简单,但都是机械的执行固定的逻辑,除了缺少扩充性和自适应能力,例如针对不同的屏幕码率,须要编撰不同的脚本,也比较容易被测量和拦截。
随着IT技术的不断发展,非常是近年机器学习和深度学习在图象辨识等领域取得长足进展,黑灰产工具软件也完成了自身的技术升级。以验证码为例,厂商通过验证码来识他人和机器,从简单的字母/数字开始演化到现今流行的滑块验证码,甚至各类验证码组合使用;另一方面,发展到明天,黑灰产从业人员手里早已拥有了完整的基于深度学习的验证码辨识系统,无论是从获取验证码的响应速率还是辨识确切率都远低于传统的打码平台(注:传统的打码平台主要依赖于人工输入或则以针对某个网站生成的验证码辨识库)。如图3.1和3.2所示:
图3.1
图3.2
另一个典型的事例是过脸认证。专业的过脸认证软件可以通过简单的自照相买快手赞和播放量有用吗,快速生成3D人脸模型,以及快速模拟人脸作出简单的认证动作,因而绕开注册或登陆环节的人脸辨识。
三、业务安全中活跃的黑灰产工具
依据我们捕获的黑灰产工具软件情报剖析,目前活跃的工具软件根据业务功能,大致可分为5大类:帐号类、刷量类、薅羊毛类、内容爬取类和特定功能类。每种类型的工具数目占例如右图所示:
图3-1工具功能类型占比
在业务安全对抗中,刷量刷单类是黑灰产最常用的功击工具,也是活跃度最高的一类工具,如刷文章阅读量、刷视频播放量、刷粉丝量和刷订单数目等,这类功击集中彰显在自媒体行业、电商行业和视频行业;除此之外,帐号类、薅羊毛类和内容爬取类工具也活跃于黑灰产和厂商业务安全对抗中;特定功能类工具则主要包括模拟器、多开、改机和秒拨等功能性工具软件。
3.1帐号类工具软件
在大部份黑产链中,帐号的质量和数目很大程度决定了黑产的投入产出比。帐号类工具软件主要针对注册场景和登录场景,实现的功能包括批量注册、扫号、鉴权和越权等。以“火牛注册扫号软件”为例,该工具直接和接码平台对接,用于接收邮件验证码;同时外置VPS拔号功能用于绕开厂商的IP限制策略,进而完成账号的批量注册和扫号。
图3-1-1火牛注册扫号软件
账号类的工具软件的行骗方法包括:1、直接对外转让批量注册的大号、对帐号售卖有一定的分销制度,不同等级的代理拿货价钱不一;2、通过将批量注册的大号用于刷量、引流的业务场景,像qq、email、微博号本身对其他厂商的业务可做授权服务,这类账堪称为跳转号,同时跳转号的成本低廉;3、批量针对厂商推广活动的多样化大号,结合接码平台、打码平台等完成全手动化欺诈作业,短时间内薅取大量用户奖金。
现在以帐号为核心的黑灰产业链在各行业的发展都具有一定规模,尤其是在须要大规模帐号刷量的业务场景,包括虚假注册、实名过脸、批量养号和刷量等。去除显著给厂商业务带来显著的薅羊毛伤害,更多的是虚假大号带来潜在的害处性。例如黄赌毒的传播,以及被使用于引流盗窃场景给厂商带来不良的舆论疗效。下表是近日我们监控到的一些比较活跃的帐号类工具软件:
工具名称
活跃度
百度云PC破解版
高
PanDownload
高
明日头条帐号注册机
中
爱奇艺会员扫描器
中
火牛扫号查询
中
表3-1-1活跃的帐号类工具
3.2刷量刷单类工具软件
刷量刷单类工具软件主要活跃在电商、自媒体、短视频等行业,主要功能包括刷成交量、刷阅读量、刷播放量、刷关注量、刷粉丝量、以及刷评论量等。以“久久快手刷播放”为例,该工具首先批量加载一批快手大号的Token,之后通过模拟网路恳求的方法,访问指定的快手作品网址,最终可以成功刷取播放量。
图3-2-1久久快手刷播放
刷量刷单类工具软件的行骗方法包括:1、通过提供刷量、刷单服务对任务发布者缴纳佣金;2、针对电商平台对店家补助的邮费,通过结合空包货运服务,发起退款恳求薅取补助;3、将点赞和刷评论结合,在用户作品下置顶评论,通过个人介绍或是评论内容出粉,出粉价钱按引入其他平台帐号个数计数等。
下表是近日我们监控到的一些比较活跃的刷量刷单类工具软件:
工具名称
活跃度
快手刷粉丝软件
中