2018上半年互联网黑灰产工具软件报告

威胁猎人-互联网黑灰产工具软件2018半年报告 1 威胁猎人-互联网黑灰产工具软件2018半年报告 2 版权申明 本报告版权属于威胁猎人（深圳永安在线科技有限公司），并受法律保护。未经允许不得擅自转载、摘编或利用其它方式使用本报告文字或者观点，如需转载请联系威胁猎人。违反上述声明者，将追究其相关法律责任。 威胁猎人-互联网黑灰产工具软件2018半年报告 3 目 录 前言 一、黑灰产工具软件特征分析............................ 6 1.1与产业链深度整合 .................................. 6 1.2极强的版本快速迭代能力 ............................ 6 1.3显著的逐利化趋向 .................................. 7 1.4游走在法律边缘的灰色地带 .......................... 9 1.5黑吃黑现象非常普遍 ............................... 10 二、不断进化的方法和手段............................. 11 2.1从模拟脚本到多种开发语言 ......................... 11 2.2从PC端到多端支持 ................................ 12 2.3从终端发展到云端 ................................. 13 2.4从机械执行到机器学习 ............................. 15 三、业务安全中活跃的黑灰产工具....................... 17 3.1账号类工具软件 ................................... 17 3.2刷量刷单类工具软件 ............................... 19 3.3薅羊毛类工具软件 ................................. 20 3.4内容爬取类工具软件 ............................... 21 3.5特定功能类工具软件 ............................... 22 四、典型的黑灰产工具软件分析......................... 24 威胁猎人-互联网黑灰产工具软件2018半年报告 4 4.1.B站手机注册机 3.0 ............................... 24 4.2.陌陌抢红包工具................................... 26 4.3.58全职VIP发帖软件 .............................. 28 五、结束语........................................... 32 威胁猎人-互联网黑灰产工具软件2018半年报告 5 前言 2017年5月爆发的Wannacry勒索病毒造成了严重的影响，使得NSA武器库进入了大众的视野；在网络安全这片看不见硝烟的战场上，在战场的另外一个角落——互联网业务安全领域，黑灰产从业者手里也掌握着威力强大的武器库：各式各样的工具软件，而且不为人们熟知。如果说手机号、帐号、IP、设备等，是黑产从业者的弹药，那么工具软件就是将这些弹药威力发挥到最大的武器。而对于工具软件的分析和研究，是黑产研究的重要组成部分。 威胁猎人-互联网黑灰产工具软件2018半年报告 6 一、黑灰产工具软件特征分析 我们对过去半年捕获到的黑灰产工具软件进行了系统性的梳理和分析，发现现阶段黑灰产工具软件有如下一些明显的特征，深入理解这些特征，有助于我们对黑灰产业的发展有更加准确的掌控和判断。 1.1与产业链深度整合 伴随着网络黑灰产的发展和成熟，如今的工具软件已经深度整合到了整个产业链当中，成为其中不可取代的一部分。以账号注册场景为例，黑灰产业除了掌握接码平台、打码平台和动态IP等资源外，还通过整合改机工具，模拟点击工具，批量扫号工具，代理软件工具等各类工具软件，实现了高度自动化和高度协同的作业流程，如下图： 1.2极强的版本快速迭代能力 相较于正常的软件，黑灰产工具软件具有更快的版本更新迭代速度。以一款针对 威胁猎人-互联网黑灰产工具软件2018半年报告 7 京东的注册机工具软件为例，从18年1月到18年4月，我们共监控到该软件的20次版本更新，频繁时1天更新2个版本，如下图： 发现时间 软件版本号 2018年1月5日 [注册客户端]京东注册 v18.0105.rar 2018年1月9日 [注册客户端]京东注册 v18.0109.rar 2018年1月18日 [注册客户端]京东注册 v18.0118.rar 2018年1月19日 [注册客户端]京东注册 v18.0119.rar 2018年1月21日 [注册客户端]京东注册 v18.0121.rar 2018年1月30日 [注册客户端]京东注册 v18.0130.rar 2018年2月26日 [注册客户端]京东注册 v18.0226.rar 2018年3月19日 [注册客户端]京东注册 v18.0319.2.rar 2018年3月21日 [注册客户端]京东注册 v18.0321.rar 2018年3月22日 [注册客户端]京东注册 v18.0322.rar 2018年4月7日 [注册客户端]京东注册 v18.0407.rar 2018年4月11日 [注册客户端]京东注册 v18.04011.rar 2018年4月11日 [注册客户端]京东注册 v18.04011.2.rar 2018年4月15日 [注册客户端]京东注册 v18.04015.rar 2018年4月18日 [注册客户端]京东注册 v18.0418.rar 2018年4月20日 [注册客户端]京东注册 v18.0420.rar 2018年4月25日 [注册客户端]京东注册 v18.0425.rar 2018年4月25日 [注册客户端]京东注册 v18.0425.2.rar 2018年4月26日 [注册客户端]京东注册 v18.0426.rar 2018年4月27日 [注册客户端]京东注册 v18.0427.rar 除了增加新功能，修复BUG之外，频繁的版本更新是黑灰产从业人员跟业务安全团队攻防对抗加剧的体现。一个比较典型的场景：一款针对X厂商的工具软件发布一段时间之后，通过业务侧的数据和模型，X厂商的业务安全团队感知到了由于工具软件产生的异常，并通过修复漏洞，改进检测模型等方式使工具软件失效；而工具软件的作者则需要重新找到新的突破口，然后发布新版本。 1.3显著的逐利化趋向 如果说早些年的黑客工具软件多多少少存在炫技的成分，当下的黑灰产工具则已经变得非常“务实”，完全以利益为驱动。近些年互联网发展迅猛，尤其以短视频行业、自媒体行业和电子商务行业为首的一批互联网公司业务蓬勃发展；而寄生在这些公司业务上的黑灰产从业人员，有着非常敏锐的“商业”嗅觉。每当业务发展过程中 威胁猎人-互联网黑灰产工具软件2018半年报告 8 出现了一些薄弱点，很快就会出现利用此来攫取利益的工具软件，其中以针对营销活动的薅羊毛工具软件最为典型。美团在18年俄罗斯世界杯前夕推出了看球竞猜活动： 活动推出后不久，网络上就出现了50款以上针对该活动的工具软件，跟美团业务相关的工具软件中，竞猜类软件直接蹿升到第一位，如下图： 威胁猎人-互联网黑灰产工具软件2018半年报告 9 1.4游走在法律边缘的灰色地带 自《中国人民共和国网络安全法》发布并严格执行以来，黑产从业者发生了两个明显的变化：一个是越来越多的人采用匿名通信，匿名交易的方式来隐藏自己；另外一个是明显触发法律的黑产工具，如盗号木马，远控木马，游戏外挂等，做的人越来越少。虽然也有铤而走险者，但更多的人还是会权衡风险和收益，做到最大化的趋利避害。以电商行业为例，虽然有人仍然利用一些木马类工具软件进行资金的盗取和诈骗，但更为活跃的是一些辅助类工具软件，比如商家辅助工具，提供数据采集和分析，店铺引流等功能。有些软件还在界面显著位置放置了免责声明（虽然不一定有用），如下图： 当然，随着法律的不断健全和完善，目前认为是法律边缘的“灰色”地带，未来某一天也可能不再会是“安全”地带，这也必然会再次带来从业人群，以及相关工具软件的集体迁移。 威胁猎人-互联网黑灰产工具软件2018半年报告 10 1.5黑吃黑现象非常普遍 如果说黑灰产也是一个江湖，并不是所有的从业者都会遵守江湖规则，黑吃黑的现象非常普遍。这点在工具软件上，也体现得非常明显。在网络上传播的黑灰产工具软件中，很大一部分都存在各种各样的问题，对于刚进入这个江湖的“小白”来说，一不小心就会成为他人的盘中餐。根据我们的分析，有问题的工具软件主要有以下几类： 1、挂羊头卖狗肉类：这类工具软件根本没有其宣称的功能，却会在背后偷偷干其他一些事情。最典型的是一款流氓推广软件（注：运行之后会在后台下载并安装各种“全家桶”），以“刺激战场辅助外挂”，“ 流 量 宝 疯 狂 刷 量 ”，“抢红包神器”等名字在网络上传播量，每天的下载量超过1千以上； 2、买一送一类：简单来说就是二次打包，一些别有用心的人把正常的工具软件和病毒木马打包在一起，然后在放到网络上传播。由于黑灰产工具很多情况下都会被杀软报毒，所以即使真的有病毒，工具的使用者也会选择放行。经常使用黑灰产工具软件的人，其设备上往往也存在着各式各样的病毒； 3、请君入瓮类：一些黑灰产工具在使用之前，要先进行登录操作（比如针对腾讯业务的工具软件需要先登录QQ或微信，针对阿里业务的工具软件需要先登录淘宝），因为在一些情况下需要拿到登录态才能进行下一步的操作。然而，输入的账号和密码不仅仅用于业务的登录，还发送到了一些别有用心的工具软件制作者手里； 4、夸大其辞类：这种一般出现在收费类工具软件中。花大价钱买了所谓的牛逼工具，比如“百分百修改机器码”，“VIP会员破解”，“全自动秒杀”等，用起来发现实际效果很差，甚至没有效果。工具的买家遇到这种情况肯定是投诉无门，只能咬碎了牙往肚里吞。 所以，奉劝一下打算进入这个江湖的人，黑产有风险，入行需谨慎。 威胁猎人-互联网黑灰产工具软件2018半年报告 11 二、不断进化的方法和手段 根据威胁猎人TH-Karma业务情报监测平台统计，每天互联网上新产生的各式各样的黑灰产工具软件，包括软件更新，超过1千款以上。这些工具软件伴随着互联网技术和IT技术的发展，也在不断的发展和进化中。 2.1从模拟脚本到多种开发语言 黑灰产工具软件在早期，大多以通过模拟人工操作的方式实现攻击，比如基于按键精灵、大漠插件等编写定制化的脚本，就可以通过模拟点击完成注册，登录，刷金币等操作。这种方式简单，学习门槛低，但是使用的场景受限，效率也偏低。 后来也出现了基于VB/C/C++等高级语言编写的黑灰产工具软件，这类工具软件不再基于模拟人工操作的方式，更多的是基于网络协议的破解和重放，直接攻击业务接口，从而可以在单位时间内发起更多的攻击次数，将利润最大化。不过这类编程语言开发难度较高，需要开发者具备比较好的编程能力。 如今的黑灰产工具软件，则多以易语言、C#、Python、Lua等语言编写。这些语言由于功能化模块和框架比较完善，很多复杂功能通过一个简单的调用就可以完成，有着上手快，开发周期短的优点。尤其是易语言和C#，我们过去几个月捕获的PC端黑灰产工具软件，超过50%都是采用这两个语言编写。 除此之外，为了保护自己的核心代码逻辑不被他们发现，目前很多工具软件还会使用一些加壳软件给自己加壳。下图是一款基于C#编写的破解百度网盘下载限速的工具