梆梆资讯
2020年Q3黑产工具态势分析
2020-12-10
一、前言
地下黑产这个互联网的神秘力量,一直呈现出高度的体系化、专业化特点,不仅产业链完整,而且工具也越来越多样化,很多测试人员用于测试的工具到了黑产人员手中,摇身一变,就成了黑产人员的作案工具。随着这种趋势的发展,黑产的作案领域也涉及到了越来越多的业务场景,从暗扣话费、广告流量变现、手机应用分发,到木马刷量、勒索病毒,网络黑产无处不在,而“薅羊毛”正是黑灰产的重要盈利模式之一。
当前,针对于典型业务场景的攻击开始更加偏重于特定业务场景,各行各业均出现了不同程度的业务安全风险,如人脸识别绕过、消费券作弊违规领取、打卡签到欺骗、日常巡检作弊等。梆梆安全移动安全监测平台在近年来一直致力于运用运行时攻击监测,解决应用运行过程中面临的黑客、灰产以及违规操作。
二、黑产工具分析
黑产工具的威胁情报库作为移动安全监测平台的知识库,梆梆安全一直以来通过各种渠道广泛收集各种黑产工具,并进行自动化及人工分析,提取攻击特征,完善安全监测能力。
在2020年7月-9月期间,梆梆安全对应用监测平台监控到对所有业务场景的攻击行为数据进行梳理和分析,发现用于黑产产业的工具主要有以下11种类型:自动化攻击、游戏外挂、应用破解、应用多开、信息采集、系统越狱、系统Root、位置修改、网络修改、设备参数修改以及抢购类。
梆梆安全对近期移动应用监测平台监测到的攻击行为中高频出现的黑产工具进行了统计,并根据黑产工具的类型进行了分析,黑产工具各类型分布如下图所示:
根据黑产工具应用领域分布的数据分析可以发现,黑产工具主要应用于以下领域:金融领域、社交领域、生活领域、电商领域以及游戏领域,共计五大领域,黑灰产工具在各领域应用占比如下图:
此外,Android和iOS两个平台上都有很多相应的黑产工具。Android平台机型的黑产工具大部分基于Xposed框架,需要Root;而iOS平台的设备大多基于Cydia框架,需要越狱。当前常见的黑灰产工具分别在Android和iOS两大平台分别的占比如下图所示:
三、黑产场景介绍
1、抢单抢券
传统电商在提升营销效率上最大的痛点在于,黑产产业链通过营销活动作弊与渠道流量作弊等手段“薅”走大笔企业营销费用,例如存在羊毛党恶意参与首单减免、新人抢红包、秒杀、抢单、试用、领红包等欺诈行为,大大提升了营销的成本。抢单抢购类软件主要活跃于营销活动、电商抢购、红包领取等场景。例如,下面的截图是一款抢红包抢券的工具,该工具是优惠力度极高的手机购物软件,利用这款软件,黑产攻击人员通常能拿到正常用户拿不到的多个电商平台折扣力度很大的优惠券。由此可见,往往许多电商平台在营销活动中投入的营销费用,基本被使用这些抢单抢券软件的黑产攻击者“薅”走了。
2、设备篡改
在众多黑产工具中,存在着可以对设备参数进行修改的软件,包括更改Android_Id、IMEI、手机序列号、手机号码、WIFI-MAC、WIFI-Name、安卓系统版本、ROM固件、手机号码、手机型号、手机品牌、CPU型号、手机制造商等参数。从下面这款设备参数修改的软件截图中可以看出,该软件可以更改包括手机号、Android ID、品牌、型号以及手机序列号等在内的一系列参数,通过这种类型的改机软件,可以对黑产攻击人员的设备进行伪装,为实施黑灰产行为提供了极大的便利,这类攻击的场景通常是刷票、刷单,通过第三方的黑客工具修改手机的硬件参数信息,以达到伪造真实设备的目的,进而去重复注册、薅羊毛。
3、位置修改
位置修改通常被黑产攻击人员用来隐藏自己真实的GPS坐标,导致APP采集到的坐标为虚假位置,主要被黑产用于恶意刷单骗取平台补贴等。黑产从业者为了薅羊毛,对抗服务端的异常订单检测,会模拟自己的地理位置信息,以便能够批量获取优惠。例如下面这款位置修改软件,当使用者确定坐标后,选择前往该坐标,然后选择登录的应用即可定位到选择的坐标。而且,这款软件可以将该地点发送给好友、朋友圈、查看附近的人、向好友发送实时位置等需要使用坐标的场景。
4、自动化攻击
自动化攻击类的软件通常指可以模拟人的行为并重复这种行为的软件,例如手机上模拟使用者自动点击屏幕的软件,这类软件的优点就是重复点击的频率和准确性要比人为操作高得多,应用场景多用于自动抢券、抢红包等。例如下面这款模拟点击的软件是安卓平台的按键与触摸操作的操作录制软件,它能够录制用户的动作,在播放时按下一个热键,就可以完全模拟用户录制时的所有操作。这款软件能帮助黑产攻击者完成所有重复的按键操作,而它的牟利方式是帮助用户实现抢券或者抢红包时自动化、连续化的快速模拟点击。
5、程序外挂
程序外挂被广泛运用于游戏、考勤等场景,攻击者利用外挂程序可以篡改程序内存,更改程序的正常判断逻辑,达到作弊的目的。下图是一款老牌经典的游戏修改器工具,只需要将安卓设备root过后,就可以对设备上的游戏参数进行更改,具体包括搜索精确数值、保存读取地址列表、模糊搜索、自动锁定数值、改变游戏速度。因此,利用此类游戏外挂工具的玩家,可以在游戏类获得正常玩家无法获得的装备和技能,也可以将这种非法获得游戏装备进行倒卖获利,进而破坏了游戏的公平性和合法性。
四、总结
一直以来,地下黑色产业链都是一个神秘的体系化组织,其分工明确,产业链中专门有专业人员帮忙定制各种攻击工具,这些攻击工具能够确保那些一线的灰产羊毛变现团伙快速使用。而这些工具的使用使得客户的业务安全面临严重的挑战,如何加强前端的风险监测,及早发现前端的攻击行为,从源头将终端风险纳入核心风控指标,将会是后续各大企业业务安全的重点增强部分。
梆梆安全一直以来深度研究黑灰产的各种攻击手段,通过主动监测和大数据分析的方式,帮助客户在第一时间发现各种黑客、灰产、违规的恶意行为,及时进行预警、处置和溯源分析。通过客户和我们一同的努力,共同打击互联网黑产的各种恶意行为,确保客户和最终用户的使用安全。
Copyright ©2022. All Rights Reserved 京ICP证160618号 京ICP备11006574号-1