黑产工具情报的分析方式浅析

对于企业方面来说，黑产工具情报可以有效的提高业务安全的攻防效率。通过分析工具利用的业务接口，不仅可以将黑产作恶行为进行有效的追踪，对其进行有效的处理，还能强化业务层面对安全的认知，知晓业务接口中的安全薄弱点，并进行持续性的安全加固。

接下来我们以恶意爬虫、抢券工具和注册机三种工具来谈一下黑产工具情报的分析方式。

案例1：恶意爬虫工具分析

爬虫工具：xx采集/批量去水印.exe

工具用户：需要批量下载某短视频平台内容的普通用户，以及需要将视频在其他平台投稿的视频转载搬运人员。

xx视频采集/批量去水印工具截图

工具攻击方法：在输入框内输入该平台作者的ID或作品链接后，爬取该作者发布和喜欢的作品并下载到本地。除批量下载外，也可采集指定作品ID或分享链接的视频。

工具分析：这是一款运行在PC端的协议工具，发现时间为2020年5月2日。这个工具的作恶方式是通过访问作品分享链接，获取到视频平台用户唯一识别ID，再通过拼接参数，伪装成该视频应用的移动客户端进行获取视频列表、视频ID的操作，并利用某个暴露在外的接口，构造无水印视频下载链接，实现视频“去水印”功能。

通过拼接参数获取到的视频ID

在代码中利用视频ID进行拼接

工具中批量获取的视频下载地址

攻防建议：

由于各个平台上，用户爬取视频的需求都是很强烈的，所以同类型工具一直是以雨后春笋般的速度涌现。在这种情况下，平台方可以利用黑产工具情报，及时跟进现有的黑产爬虫攻击情况并进行应对，对相关业务接口采取业务限制措施等方式对黑产的攻击进行反制。

案例2：抢券工具分析

抢券工具：xxxx20200615.exe

工具用户：该工具主要是针对某平台特定活动的专用工具，其主要用户为利用平台大额优惠券进行牟利的黑产。

工具攻击手法：该工具主要的攻击方法是利用平台无设备校验的接口进行自动化抢券，并利用大量账号套取大量的优惠券进行牟利。

工具分析：该工具出现在2020年6月15日，采用QT语言编写。通过静态逆向分析该工具代码，发现其主要功能：

领券相关代码

在工具的代码中我们可以看到其针对的优惠券有酒店券、门票券、机票券这几种：

为了绕过平台对IP地址的风控限制，该工具在抢券前还会再部分代理IP平台上获取IP资源并设置代理，在代码中我们看到了其硬编码绑定的代理IP账号与密码。

代理IP平台账号密码与接口

攻防建议：

面对这种利用代理IP进行自动化批量抢券的黑产工具，除了从业务层面提高用券成本，降低黑产的潜在利益外，还可以从代理IP的角度去进行防御，利用永安在线的风险IP画像功能，将通过代理IP的请求进行拦截或进行二次安全验证。同时，在工具中也暴露了某些接口存在未校验请求来源的问题，在后续领券活动接口开发中要进行相关的业务安全加固。

案例3：注册机工具分析

注册机工具：xx注册领取V1.0.exe

工具用户画像：使用该工具的用户主要是专注于恶意注册领券的黑产。

工具攻击手法：这是一款运行在PC 电脑上的黑灰产专用工具，通过直接破解和伪造得物app端与服务器的通信协议，自动化登录、注册等操作。相比于模拟按键脚本，协议工具脱离了设备的限制，黑灰产可以更低成本完成批量化规模化作案，因此危害也更加严重。

xx注册领取工具截图

工具分析：

工具登录过程中构造并访问了两个接口，这两个接口走的 https协议，请求方式为 POST，黑产通过抓包分析该电商app，可以轻易获取到相关信息，进而伪造接口协议和参数。 通过逆向分析，我们发现工具通过接码平台获取手机号，然后得到验证码直接登录 。

某接口的接口参数列表

攻防建议：

从该工具的汇编代码中提取出的接口参数，大多数参数为硬编码hardcode的，因此平台可以基于这些hardcode的参数作为特征来识别工具发起的注册请求。

同时在这个工具中，我们看到了黑产在高净值恶意注册攻击上采用的技术：注册机不再是仅有单一的注册功能，现在还会集成自动化接码平台与内建网络模块，利用宽带秒拨和代理IP去多线程绕过平台的业务安全风控体系。黑产采用复合的攻击手段，使得现有的注册风控环节存在可被绕过的风险，此时平台可以结合风险IP画像和风险手机号画像，拦截黑产批量注册虚假账户的过程，或在登录环节上对相关账户进行业务层面的限制，以避免造成损失。

结语

通过对上面三款黑产工具进行分析后，我们可以发现黑产在利用各平台进行牟利的过程中，都会使用平台自身的一些接口去进行调用，有些接口甚至不需要进行拼接伪装，即可被黑产进行恶意攻击。从企业的角度来说，企业可以通过永安在线的黑产工具情报功能，及时发现藏在黑产工具中被恶意利用的接口，对其进行针对性的加固，拦截黑产恶意攻击。