對(duì)于企業(yè)方面來(lái)說(shuō)�,黑產(chǎn)工具情報(bào)可以有效的提高業(yè)務(wù)安全的攻防效率。通過(guò)分析工具利用的業(yè)務(wù)接口����,不僅可以將黑產(chǎn)作惡行為進(jìn)行有效的追蹤,對(duì)其進(jìn)行有效的處理�����,還能強(qiáng)化業(yè)務(wù)層面對(duì)安全的認(rèn)知���,知曉業(yè)務(wù)接口中的安全薄弱點(diǎn)��,并進(jìn)行持續(xù)性的安全加固���。
創(chuàng)新互聯(lián)從2013年成立,先為潛江等服務(wù)建站�����,潛江等地企業(yè)����,進(jìn)行企業(yè)商務(wù)咨詢服務(wù)。為潛江企業(yè)網(wǎng)站制作PC+手機(jī)+微官網(wǎng)三網(wǎng)同步一站式服務(wù)解決您的所有建站問(wèn)題�����。
接下來(lái)我們以惡意爬蟲��、搶券工具和注冊(cè)機(jī)三種工具來(lái)談一下黑產(chǎn)工具情報(bào)的分析方式�。
案例1:惡意爬蟲工具分析
爬蟲工具:xx采集/批量去水印.exe
工具用戶:需要批量下載某短視頻平臺(tái)內(nèi)容的普通用戶,以及需要將視頻在其他平臺(tái)投稿的視頻轉(zhuǎn)載搬運(yùn)人員�����。
xx視頻采集/批量去水印工具截圖
工具攻擊方法:在輸入框內(nèi)輸入該平臺(tái)作者的ID或作品鏈接后,爬取該作者發(fā)布和喜歡的作品并下載到本地��。除批量下載外��,也可采集指定作品ID或分享鏈接的視頻�����。
工具分析:這是一款運(yùn)行在PC端的協(xié)議工具��,發(fā)現(xiàn)時(shí)間為2020年5月2日�����。這個(gè)工具的作惡方式是通過(guò)訪問(wèn)作品分享鏈接���,獲取到視頻平臺(tái)用戶唯一識(shí)別ID����,再通過(guò)拼接參數(shù)�,偽裝成該視頻應(yīng)用的移動(dòng)客戶端進(jìn)行獲取視頻列表、視頻ID的操作���,并利用某個(gè)暴露在外的接口��,構(gòu)造無(wú)水印視頻下載鏈接�����,實(shí)現(xiàn)視頻“去水印”功能��。
通過(guò)拼接參數(shù)獲取到的視頻ID
在代碼中利用視頻ID進(jìn)行拼接
工具中批量獲取的視頻下載地址
攻防建議:
由于各個(gè)平臺(tái)上�,用戶爬取視頻的需求都是很強(qiáng)烈的��,所以同類型工具一直是以雨后春筍般的速度涌現(xiàn)���。在這種情況下�����,平臺(tái)方可以利用黑產(chǎn)工具情報(bào)��,及時(shí)跟進(jìn)現(xiàn)有的黑產(chǎn)爬蟲攻擊情況并進(jìn)行應(yīng)對(duì)��,對(duì)相關(guān)業(yè)務(wù)接口采取業(yè)務(wù)限制措施等方式對(duì)黑產(chǎn)的攻擊進(jìn)行反制�����。
案例2:搶券工具分析
搶券工具:xxxx20200615.exe
工具用戶:該工具主要是針對(duì)某平臺(tái)特定活動(dòng)的專用工具�����,其主要用戶為利用平臺(tái)大額優(yōu)惠券進(jìn)行牟利的黑產(chǎn)�。
工具攻擊手法:該工具主要的攻擊方法是利用平臺(tái)無(wú)設(shè)備校驗(yàn)的接口進(jìn)行自動(dòng)化搶券,并利用大量賬號(hào)套取大量的優(yōu)惠券進(jìn)行牟利���。
工具分析:該工具出現(xiàn)在2020年6月15日�,采用QT語(yǔ)言編寫����。通過(guò)靜態(tài)逆向分析該工具代碼,發(fā)現(xiàn)其主要功能:
領(lǐng)券相關(guān)代碼
在工具的代碼中我們可以看到其針對(duì)的優(yōu)惠券有酒店券����、門票券、機(jī)票券這幾種:
為了繞過(guò)平臺(tái)對(duì)IP地址的風(fēng)控限制���,該工具在搶券前還會(huì)再部分代理IP平臺(tái)上獲取IP資源并設(shè)置代理�����,在代碼中我們看到了其硬編碼綁定的代理IP賬號(hào)與密碼�����。
代理IP平臺(tái)賬號(hào)密碼與接口
攻防建議:
面對(duì)這種利用代理IP進(jìn)行自動(dòng)化批量搶券的黑產(chǎn)工具�,除了從業(yè)務(wù)層面提高用券成本,降低黑產(chǎn)的潛在利益外��,還可以從代理IP的角度去進(jìn)行防御����,利用永安在線的風(fēng)險(xiǎn)IP畫像功能����,將通過(guò)代理IP的請(qǐng)求進(jìn)行攔截或進(jìn)行二次安全驗(yàn)證。同時(shí)���,在工具中也暴露了某些接口存在未校驗(yàn)請(qǐng)求來(lái)源的問(wèn)題���,在后續(xù)領(lǐng)券活動(dòng)接口開發(fā)中要進(jìn)行相關(guān)的業(yè)務(wù)安全加固。
案例3:注冊(cè)機(jī)工具分析
注冊(cè)機(jī)工具:xx注冊(cè)領(lǐng)取V1.0.exe
工具用戶畫像:使用該工具的用戶主要是專注于惡意注冊(cè)領(lǐng)券的黑產(chǎn)����。
工具攻擊手法:這是一款運(yùn)行在PC 電腦上的黑灰產(chǎn)專用工具,通過(guò)直接破解和偽造得物app端與服務(wù)器的通信協(xié)議����,自動(dòng)化登錄����、注冊(cè)等操作�。相比于模擬按鍵腳本,協(xié)議工具脫離了設(shè)備的限制�����,黑灰產(chǎn)可以更低成本完成批量化規(guī)?���;靼福虼宋:σ哺訃?yán)重����。
xx注冊(cè)領(lǐng)取工具截圖
工具分析:
工具登錄過(guò)程中構(gòu)造并訪問(wèn)了兩個(gè)接口,這兩個(gè)接口走的 https協(xié)議��,請(qǐng)求方式為 POST�����,黑產(chǎn)通過(guò)抓包分析該電商app�����,可以輕易獲取到相關(guān)信息,進(jìn)而偽造接口協(xié)議和參數(shù)��。 通過(guò)逆向分析�����,我們發(fā)現(xiàn)工具通過(guò)接碼平臺(tái)獲取手機(jī)號(hào)�����,然后得到驗(yàn)證碼直接登錄 �����。
某接口的接口參數(shù)列表
攻防建議:
從該工具的匯編代碼中提取出的接口參數(shù)�,大多數(shù)參數(shù)為硬編碼hardcode的��,因此平臺(tái)可以基于這些hardcode的參數(shù)作為特征來(lái)識(shí)別工具發(fā)起的注冊(cè)請(qǐng)求����。
同時(shí)在這個(gè)工具中,我們看到了黑產(chǎn)在高凈值惡意注冊(cè)攻擊上采用的技術(shù):注冊(cè)機(jī)不再是僅有單一的注冊(cè)功能�,現(xiàn)在還會(huì)集成自動(dòng)化接碼平臺(tái)與內(nèi)建網(wǎng)絡(luò)模塊����,利用寬帶秒撥和代理IP去多線程繞過(guò)平臺(tái)的業(yè)務(wù)安全風(fēng)控體系�。黑產(chǎn)采用復(fù)合的攻擊手段,使得現(xiàn)有的注冊(cè)風(fēng)控環(huán)節(jié)存在可被繞過(guò)的風(fēng)險(xiǎn)�,此時(shí)平臺(tái)可以結(jié)合風(fēng)險(xiǎn)IP畫像和風(fēng)險(xiǎn)手機(jī)號(hào)畫像,攔截黑產(chǎn)批量注冊(cè)虛假賬戶的過(guò)程����,或在登錄環(huán)節(jié)上對(duì)相關(guān)賬戶進(jìn)行業(yè)務(wù)層面的限制,以避免造成損失�����。
結(jié)語(yǔ)
通過(guò)對(duì)上面三款黑產(chǎn)工具進(jìn)行分析后�,我們可以發(fā)現(xiàn)黑產(chǎn)在利用各平臺(tái)進(jìn)行牟利的過(guò)程中,都會(huì)使用平臺(tái)自身的一些接口去進(jìn)行調(diào)用��,有些接口甚至不需要進(jìn)行拼接偽裝�,即可被黑產(chǎn)進(jìn)行惡意攻擊。從企業(yè)的角度來(lái)說(shuō)�����,企業(yè)可以通過(guò)永安在線的黑產(chǎn)工具情報(bào)功能�����,及時(shí)發(fā)現(xiàn)藏在黑產(chǎn)工具中被惡意利用的接口,對(duì)其進(jìn)行針對(duì)性的加固�����,攔截黑產(chǎn)惡意攻擊����。
本文標(biāo)題:黑產(chǎn)工具情報(bào)的分析方式淺析
文章位置:
http://uogjgqi.cn/article/cdisjjo.html
