導語:黑灰產研究報告系列又和大家見面了。在這篇新報告中,獵人君將帶大家了解群控及其進化史,揭秘攻擊效率提升背後的邏輯,並提供有效的應對措施。文章由威脅獵人(ID:ThreatHunter)原創發布,並受法律保護。轉載、摘編或利用其它方式使用本報告文字或者觀點的,如需轉載請與我們聯繫。違反上述聲明者,將追究其相關法律責任。

一波又一波「市面上最好用的群控」

2018年下半年的時候,出現了一家號稱「市面上最好用群控」的設備廠商,大肆地鼓吹和宣傳自己的產品,據說光佔地面積就要比傳統群控節約95%。

好奇的獵人君買了一台,並且「採訪」了一個大量採購的土豪「工作室」,在此之前他已經擁有了六萬台移動設備、十萬餘個微X賬號,大佬做流量生意,刷量啊、投票啊、引流啊,時機合適薅薅羊毛啊……

——「啊,死號率可以的,一到三成吧,抖X、微X都還行,拿facebooX做外貿基本都能保證效果。」

——「主要節約小工,我這兒每個人力2500一個月,提成按他出的量結算,我一塊他五毛這種(這裡指像「賣茶葉的姑娘」那樣,通過偽裝人設和大量撒網加人,用誘導詐騙等方式促成購買消費。),原來一個人做一百控(一控即一部手機),就管理設備啊、和加的人聊天,現在一個人能操作兩三百個(相當於240~360台手機)吧,分到聊天上的時間多,出的量也跟著漲,他高興我也高興……」

——「養號操作比原來快,其他操作他都打包了,不用好幾個軟體跳(偽裝設備指紋的軟體,掛代理IP的軟體等),確實節約時間。」

還真是,蠻量化的評價呢…

獵人君動手拆了自己的設備,打算一探究竟。這是一個箱型設備,需要連接網線和電源線,以下姑且簡稱它為箱控。

1 玩轉谷歌和蘋果開源項目的黑產

1、群控是啥?

群控——一種通過操作多台手機進行批量攻擊的方式,可以說是黑產工作室的剛需了,在市場需求的催生下,群控類設備的供應商都非常擅長與利用各類技術對其進行升級優化。以下是某工作室的群控設備照片。

2、箱控是啥?

下圖這次的主角——箱控的內部構造。將十二台安卓手機主板通過電路集成方式集成至一塊大主板,進行統一供電和管理。

問:手機屏幕呢?

答:扔掉。我們用Apple提供的Darwin Streaming Server 傳輸手機畫面到電腦上。(DSS是一款開源實時流媒體播放服務程序,是很多遠程教育、網路監控、視頻點播類系統的流媒體解決方案。)

至於設備數量問題,它通過切割內存的方式,將每個手機主板切割為十個分身。最終達到,操作一台箱控相當於操作一百二十個不同手機的觀感。原本需要一個大廳存儲的手機設備,現在只需要幾個貨架,大幅縮減了黑產的設備運營成本。

設備數量的問題解決了,如何批量操作呢?企業大部分業務介面的關鍵參數都設置有特定演算法,在無法對其破解進行直接攻擊的時候,黑產常常需要通過模擬點擊的方式偽裝正常用戶操作,達到攻擊目的。常見的模擬點擊方案是通過識別顏色、文字、形狀來定位到需要點擊的坐標,這種方式經常需要進行容錯判斷,再一次通過識別顏色形狀等,來判斷自己是否點擊進入了目標頁面,每次識別要消耗時間,速度相對較慢。箱控使用了appium——基於Google UiAutomator2的安卓自動化測試工具,通過文字、控制項id、控制項名稱等直接定位到APP的控制項進行操作,也就是說和上述方式相比,不用每次點擊後截圖,也不用根據圖片一個像素一個像素的判斷該點擊的位置,速度得到了提升,而很多企業自身產品的自動化測試就是採用appium完成的…… 回想「群控」一路的進化變種,再結合近來的種種事件,獵人君發現了一些規律。

2 黑產進化,優化攻擊效率和成本

當前互聯網黑灰產攻擊有兩個特點:

1、六成攻擊場景以量取勝: 隨著互聯網的發展,黑產形成了一些固定的攻擊模式和套路,有大量的攻擊場景依附於流量,通過偽裝成正常業務,再通過不斷重複獲利。

2、重度依賴黑產基礎資源:

在黑產市場,像設備這樣需求龐大而穩定的「資源」還有很多:IP、身份證、銀行卡、支付賬號、改機工具、自動化攻擊軟體、過滑動驗證碼、隱秘變現渠道等。也都逐漸形成了像接碼平台一樣的「服務型黑產協作平台」,這些平台越來越多,組合成了一張龐大的黑灰產基礎資源網路。黑產攻擊也嚴重依賴這些基礎資源。

下圖我們列舉了黑產需求及他們對應的解決方案:

由於攻防邏輯和上游服務資源均趨於固定,黑產目前已經從攻防邏輯迭代的時代逐漸過渡到攻擊效率和成本的優化迭代上。依舊以攻擊設備為例,我們來一探其變化過程。

黑產在設備上解決批量攻擊的方式有這麼幾種: 1、箱控 優化點:將通用類的攻擊工具打包配套提供服務,降低了攻擊的操作門檻黑產在群控類的設備與服務商,均表現出將秒撥IP、改機工具等一些通用類型的功能進行打包集合的趨勢(秒撥和改機工具之前的文章我們有詳細講過,點擊查看)。

將VPN功能和改機功能、虛擬定位功能內置,並且提供了雲端備份能力,黑產可以將一套攻擊環境連同環境上登錄的賬號一併上傳備份,通過還原快照的方式切換環境,從而進行大量攻擊。箱控也提供了內存管理等能力,更好的滿足了群控類設備的目標——降低運營成本,即可以用更少的人力操作更多的設備,攻擊的效率和頻次均得到了有效提升。

除了運營成本和攻擊效率以外,這種打包的方式,也有效降低了黑產的操作和技術門檻,小白只需要保證配置正確即可,意味著黑產可以在對「技術要點」了解更少的情況下發起攻擊,防守方將面臨更多更雜的攻擊人員。

2、租賃模式——「雲手機」

優化點:租賃模式,自由「擴容」,降低了維護設備成本,且方便備份傳輸設備信息 「雲手機」是一種攻擊設備租用模式,操作者可以通過客戶端或瀏覽器直接對遠端的手機(或虛擬手機)進行操作,發起攻擊。 雲手機與「群控」類設備的趨勢相同,越來越多的雲手機將「一鍵新機」、虛擬定位和代理IP進行打包銷售,這樣的打包服務價格4元/天。加上手機號接碼成本和網路成本,幾十元到百元就可以拿到遊戲的入場券。其成本遠遠低於傳統實體手機的攻擊方式。企業面臨攻擊人員更複雜廣闊的現實問題。 黑產熟手還可以在需要時,利用雲手機對自己的攻擊設備群進行即時「擴容」,模式實在靈活。 原本受到盈利低於攻擊成本或是設備數量限制,而無法進行攻擊的場景,由於攻擊效率的提升和靈活的租用模式,現在均可進行攻擊,真實環境中,大部分工作室基本都是固定攻擊某個行業的某些廠商,同時關注營銷活動,在合適的時機,利用設備的空閑剩餘價值,「捎帶」一些副業進行盈利。

圖:某雲手機操作頁面

3、中控

優化點:解決了傳統群控因數據線傳輸屏幕數據和指令數據造成的設備數量限制問題。 手機設備中安裝客戶端,用戶在PC端客戶端上統一管理手機並向其下發命令,由網路傳輸後手機客戶端執行模擬點擊完成攻擊。

4、雲控

優化點:設備無需在同一地點,腳本命令存儲在雲端,團伙間交易腳本時無需發送源碼,方便了腳本傳播和管理大量手機 一個廣域網版本的「中控」,操作者通過任意瀏覽器對手機進行管理和下達命令。 5、群控 優化點:早期的批量操作設備解決方案,在腳本開發上限制較多,為避免卡頓,設備數量限制在百台左右。採用屏幕映射的方式將手機屏幕映射到電腦,通過集線器將手機與電腦通過數據線連接,從而傳出屏幕內容和操作指令。

3 如何應對

面對當今黑產這樣產業化、專業化、團伙化和鏈條化的運作模式,攻防對抗將是企業與黑產雙方不斷廝殺成長的一場持久戰,且敵暗我明,該如何應對?

通過反欺詐情報(事前預防,事後根據攻擊方法找到防護點)+欺詐數據標籤(定位攻擊流量)的綜合對抗。填補認知盲區,打平信息差,了解對方的目標、攻擊思路和策略。熟悉對方的作惡成本,了解對方發起攻擊所需要的資源、時間、金錢成本、渠道門檻、對接的上下游以及通過攻擊得到的營收等。在業務側,綜合審視自己的目標,對比雙方資源、調整策略,定位到黑產的攻擊賬號、流量等,予以打擊防護。黑產以量取勝,但也因為如此,批量就一定有跡可循。

黑產有龐大的上游基礎資源供應,但同時也非常依賴這些資源,這些是產業鏈的關鍵結點,也同時是我們識別、打擊和防護的有效結點。

下圖我們對黑產攻擊方式給出了企業風控可以做的相應的對抗點的建議:
  • 反欺詐情報——業務安全攻防中的隱性力量

從全產業鏈上下游視角出發的布控和收集的情報,可以作為風控策略的解釋與支撐。同時欺詐情報如黑產輿情和趨勢也能有效反饋企業風控策略的有效性,並幫助企業控制攻防成本。反欺詐情報一般包括:黑產準備攻擊的介面、所涉及到的交易平台、攻擊的目標介面、所利用的攻擊工具、所涉及到的相關資源(手機號、IP)等。通過這些節點的布控,可以有效的在黑產資源準備時就及時發現風險,並了解黑產的攻擊路徑和邏輯,提前做好風控策略。

  • 欺詐數據標籤——高效落地的判別方案

不管黑產的技術上、設備上如何迭代,他們發起攻擊時總繞不過一些基礎的欺詐資源的儲備,例如註冊用的手機號和訪問的IP。據我們統計,全網每日黑產發起的惡意註冊攻擊達到800W次,每日活躍欺詐手機號150W以上,平均每個手機號每日進行6次攻擊。如果從黑產角度對其使用的基礎資源進行監控,識別出企業業務場景下的黑產欺詐資源,則可以針對這些黑灰產做惡的虛假賬號進行直接的攔截或降權。從黑產基礎資源識別的風控方式,能夠一定程度上降低風控的誤判率並提高可解釋性。

推薦閱讀:

相关文章