码迷,mamicode.com
首页 > 其他好文 > 详细

黑产工具情报的分析方式浅析

时间:2020-08-28 11:51:08      阅读:52      评论:0      收藏:0      [点我收藏+]

标签:出现   开源   指定   静态   汇编代码   com   看到了   内容   绕过   

对于企业方面来说,黑产工具情报可以有效的提高业务安全的***效率。通过分析工具利用的业务接口,不仅可以将黑产作恶行为进行有效的追踪,对其进行有效的处理,还能强化业务层面对安全的认知,知晓业务接口中的安全薄弱点,并进行持续性的安全加固。

接下来我们以恶意爬虫、抢券工具和注册机三种工具来谈一下黑产工具情报的分析方式。

案例1:恶意爬虫工具分析

爬虫工具:xx采集/批量去水印.exe

工具用户:需要批量下载某短视频平台内容的普通用户,以及需要将视频在其他平台投稿的视频转载搬运人员。

技术图片

xx视频采集/批量去水印工具截图

工具***方法:在输入框内输入该平台作者的ID或作品链接后,爬取该作者发布和喜欢的作品并下载到本地。除批量下载外,也可采集指定作品ID或分享链接的视频。

技术图片

工具分析:这是一款运行在PC端的协议工具,发现时间为2020年5月2日。这个工具的作恶方式是通过访问作品分享链接,获取到视频平台用户唯一识别ID,再通过拼接参数,伪装成该视频应用的移动客户端进行获取视频列表、视频ID的操作,并利用某个暴露在外的接口,构造无水印视频下载链接,实现视频“去水印”功能。

技术图片

通过拼接参数获取到的视频ID

技术图片

在代码中利用视频ID进行拼接

技术图片

工具中批量获取的视频下载地址

***建议:

由于各个平台上,用户爬取视频的需求都是很强烈的,所以同类型工具一直是以雨后春笋般的速度涌现。在这种情况下,平台方可以利用黑产工具情报,及时跟进现有的黑产爬虫***情况并进行应对,对相关业务接口采取业务限制措施等方式对黑产的***进行反制。

案例2:抢券工具分析

抢券工具:xxxx20200615.exe

工具用户:该工具主要是针对某平台特定活动的专用工具,其主要用户为利用平台大额优惠券进行牟利的黑产。

工具***手法:该工具主要的***方法是利用平台无设备校验的接口进行自动化抢券,并利用大量账号套取大量的优惠券进行牟利。

工具分析:该工具出现在2020年6月15日,采用QT语言编写。通过静态逆向分析该工具代码,发现其主要功能:

技术图片

领券相关代码

在工具的代码中我们可以看到其针对的优惠券有酒店券、门票券、机票券这几种:

技术图片

为了绕过平台对IP地址的风控限制,该工具在抢券前还会再部分代理IP平台上获取IP资源并设置代理,在代码中我们看到了其硬编码绑定的代理IP账号与密码。

技术图片

代理IP平台账号密码与接口

***建议:

面对这种利用代理IP进行自动化批量抢券的黑产工具,除了从业务层面提高用券成本,降低黑产的潜在利益外,还可以从代理IP的角度去进行防御,利用永安在线的风险IP画像功能,将通过代理IP的请求进行拦截或进行二次安全验证。同时,在工具中也暴露了某些接口存在未校验请求来源的问题,在后续领券活动接口开发中要进行相关的业务安全加固。

案例3:注册机工具分析

注册机工具:xx注册领取V1.0.exe

工具用户画像:使用该工具的用户主要是专注于恶意注册领券的黑产。

工具***手法:这是一款运行在PC 电脑上的黑灰产专用工具,通过直接破解和伪造得物app端与服务器的通信协议,自动化登录、注册等操作。相比于模拟按键脚本,协议工具脱离了设备的限制,黑灰产可以更低成本完成批量化规模化作案,因此危害也更加严重。

技术图片

xx注册领取工具截图

工具分析:

工具登录过程中构造并访问了两个接口,这两个接口走的 https协议,请求方式为 POST,黑产通过抓包分析该电商app,可以轻易获取到相关信息,进而伪造接口协议和参数。 通过逆向分析,我们发现工具通过接码平台获取手机号,然后得到验证码直接登录 。

技术图片

某接口的接口参数列表

***建议:

从该工具的汇编代码中提取出的接口参数,大多数参数为硬编码hardcode的,因此平台可以基于这些hardcode的参数作为特征来识别工具发起的注册请求。

同时在这个工具中,我们看到了黑产在高净值恶意注册***上采用的技术:注册机不再是仅有单一的注册功能,现在还会集成自动化接码平台与内建网络模块,利用宽带秒拨和代理IP去多线程绕过平台的业务安全风控体系。黑产采用复合的***手段,使得现有的注册风控环节存在可被绕过的风险,此时平台可以结合风险IP画像和风险手机号画像,拦截黑产批量注册虚假账户的过程,或在登录环节上对相关账户进行业务层面的限制,以避免造成损失。

结语

通过对上面三款黑产工具进行分析后,我们可以发现黑产在利用各平台进行牟利的过程中,都会使用平台自身的一些接口去进行调用,有些接口甚至不需要进行拼接伪装,即可被黑产进行恶意***。从企业的角度来说,企业可以通过永安在线的黑产工具情报功能,及时发现藏在黑产工具中被恶意利用的接口,对其进行针对性的加固,拦截黑产恶意***。

【编辑推荐】

  1. 欧盟首次以网络***为由,制裁中国、朝鲜、俄罗斯
  2. 疫情期间游戏行业网络***
  3. 知彼知己:了解***经常使用的网络***技巧
  4. 以色列遭到******,以色列宣布成功防御对国防公司的网络***
  5. 2020年软件供应链状况报告:下一代开源网络***增长430%

【责任编辑:赵宁宁 TEL:(010)68476606】

黑产工具情报的分析方式浅析

标签:出现   开源   指定   静态   汇编代码   com   看到了   内容   绕过   

原文地址:https://blog.51cto.com/14887308/2523013
(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
分享档案
更多>
2021年07月29日 (22)
2021年07月28日 (40)
2021年07月27日 (32)
2021年07月26日 (79)
2021年07月23日 (29)
2021年07月22日 (30)
2021年07月21日 (42)
2021年07月20日 (16)
2021年07月19日 (90)
2021年07月16日 (35)
周排行
mamicode.com排行更多图片
更多
友情链接
兰亭集智   国之画   百度统计   站长统计   阿里云   chrome插件   新版天听网
关于我们 - 联系我们 - 留言反馈
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!