对于黑产而言,他们会想尽一切办法,来不断降低攻击成本,提高攻击效率,自动化攻击便是其中的关键方法之一。
当前的黑灰产业链条中,从提供黑产资源的上游,到利用黑产资源发起攻击的下游,已经形成了一套低耦合,高自动化的完整生态。基于永安在线业务情报监测平台近期捕获到的网络黑灰产情报,我们对符合自动化攻击特征的黑产数据、行为以及技术原理做了分析,并尽量展示其全貌。
从攻击者地域分布来看,经济发达的沿海地区,如浙江、福建、江苏、广东等,自动化攻击的比例也更高:
从被攻击的行业分布来看,黑产可以规模化获益的O2O、电商、短视频等行业是黑产自动化攻击的重灾区:
从攻击行为来看,批量注册,批量薅羊毛,刷量,刷单,引流等,往往需要操控大量的账号,因此对自动化攻击的依赖性更强:
一、黑产资源高度集成自动化攻击流程
我们在以前的报告中,有详细讲述过网络黑灰产对厂商业务发起攻击需要的各种资源以及提供资源的平台,包括提供手机号资源的接码平台,提供账号资源的发卡平台,提供IP资源的代理IP网站和秒拨平台,提供设备资源和设备管理的群控/云控/箱控等。为了便于使用,这些资源平台提供了多种方式,黑产下游在进行自动化攻击的过程中可以无缝集成和使用。
1.1 API接口
黑产资源平台为了方便,最典型的方式的是提供API接口,这样便可以在自动化脚本或程序中直接调用。以接码平台为例,提供的API接口主要有两个,取手机号和取验证码。其中取手机号的接口一般定义如下:
http://api. xxxxxx .com/api/do.php ? action=getPhone
参数action=getPhone表示获取手机号,此外还需要通过参数sid来指定项目,即手机号要注册的产品或业务。有些产品对于新用户注册管控比较严格,可以通过参数exclude来排除虚拟运营商的号段;有些活动只针对部分区域,比如某个产品在成都举行的拉新活动,可以通过参数location来指定获取归属地在成都的手机号。
获取验证码的接口一般定义如下:
http://api.xxxxxx.com/api/do.php?action=getMessage
参数action=getPhone表示获取验证码,此外也需要通过参数sid来指定项目。返回的数据格式一般为:1|短信内容, 1 表示成功,短信内容里面包含了验证码,通过简单的字符串匹配或正则表达式即可提取出验证码,然后进行注册。
【小技巧】由于各个接码平台API接口除了域名外,参数格式都大同小异,所以可以通过定义一些正则表达式,从流量中(比如我们的蜜罐流量)捕获接码平台的API接口访问流量,从而可以大致掌握全网的接码平台数量和规模。
再以代理IP网站为例,基本上也都提供API接口,相比接码平台的API接口,使用起来更加简单,如下图所示,是一个代理IP网站提供的API接口说明:
只需要调用一个API接口,返回的数据是json格式,可以直接解析出IP地址和端口。
很多厂商为了对抗自动化攻击,往往会在业务流程中接入验证码,从而进行人机识别。相应的,网络黑灰产把验证码的自动识别也集成到了自动化攻击中。提供验证码自动识别功能的平台我们一般称为打码平台或过码平台,无论是图片验证码、滑动验证码还是一些复杂验证码,这些平台都提供了用于绕过这些验证码的API接口。如下图是其中一个过码平台,绕过某验证码的API使用说明:
1.2 功能模块
对于黑灰产实现自动化攻击来说,API接口已经足够方便了,但黑灰产也追求“精益求精”,于是有了另外一种更为方便的方式,直接提供封装好了的功能模块。由于黑灰产工具软件绝大多数都采用易语言编写,因此大多提供的是易语言封装的模块。我们还是以接码平台为例,下图是一个接码平台的易语言模块(.ec)导出信息,可以看到需要的功能都已经封装好了:
我们以一款近期发现的用易语言编写的自动化薅羊毛工具为例,其跟接码相关的代码只需要寥寥数行代码:
1)登录接码平台,获取手机号:
2)获取验证码:
对于代理IP的使用,也有封装好了的功能模块可以使用,如下图所示:
除了提取代理IP之外,还提供了验证代理IP有效性的功能,使用者无需再用
其他工具或自行编写代码去验证代理IP的有效性,不可不谓“贴心”。
部分打码平台也提供了易语言的功能模块,如下图所示:
下图这个用易语言编写的自动化注册机工具,可以说是一个典型的“集大成者”,包括接码平台,打码平台,宽带拨号,代理IP等黑产资源的功能模块,都集成到了工具中。只需要在界面上填入各个黑产资源平台的账号密码,并进行一些简单的配置,即可一键进行所有的自动化攻击流程。
1.3 提供环境
对于提供IP资源的平台来说,秒拨相比于代理IP,除了价格更低,可用的IP资源更多之外,对于自动化攻击来说,使用也更方便:不需要在脚本或程序嵌入API接口或功能模块,直接将自动化攻击运行在秒拨提供的环境下即可。有两种方式:
1)启动秒拨的客户端程序,开启自动拨号,然后执行自动化攻击:
2)将自动化攻击的脚本或程序运行在秒拨VPS中,秒拨VPS提供自动拨号的功能:
1.4 集成系统
黑产设备资源的提供者,我们可以理解为黑灰产行业的硬件厂商。近年来手机硬件厂商在不断提升硬件能力之外,也在不断发力软件市场。比如在手机系统中直接集成了自己的应用商店,浏览器,手机管理软件等,用户不需要再去额外安装。类似的,用于黑产设备提供者来说,他们也不再是单纯的提供硬件设备,而是将黑灰产完成自动化攻击所需要的各种资源,都集成到了里面。而在对外包装上,往往会打着“一站式营销”,“私域流量营销”等宣传语。
我们以某款箱式群控为例,从下图可以直接看到,这款箱控工具已经内置了以下一些功能:
1)拨号功能,可以方便的切换IP;
2)虚拟定位功能,可以方便的修改定位,从而实现虚假出行订单或站街招嫖;
3)改机功能,可以方便的修改IMEI,IMSI等硬件参数,从而伪造更多设备;
4)主流的移动端App自动化操控脚本,比如微信自动加好友,自动加群,自动发朋友圈,抖音自动关注,自动点赞,自动发表评论等;
5)云端备份功能,可以将整套攻击环境连同环境上登录的账号一并上传备份,通过还原快照的方式切换环境,从而进行大量攻击。
