對于企業(yè)方面來說，黑產(chǎn)工具情報可以有效的提高業(yè)務(wù)安全的攻防效率。通過分析工具利用的業(yè)務(wù)接口，不僅可以將黑產(chǎn)作惡行為進(jìn)行有效的追蹤，對其進(jìn)行有效的處理，還能強(qiáng)化業(yè)務(wù)層面對安全的認(rèn)知，知曉業(yè)務(wù)接口中的安全薄弱點(diǎn)，并進(jìn)行持續(xù)性的安全加固。

接下來我們以惡意爬蟲、搶券工具和注冊機(jī)三種工具來談一下黑產(chǎn)工具情報的分析方式。

案例1：惡意爬蟲工具分析

爬蟲工具：xx采集/批量去水印.exe

工具用戶：需要批量下載某短視頻平臺內(nèi)容的普通用戶，以及需要將視頻在其他平臺投稿的視頻轉(zhuǎn)載搬運(yùn)人員。

xx視頻采集/批量去水印工具截圖

工具攻擊方法：在輸入框內(nèi)輸入該平臺作者的ID或作品鏈接后，爬取該作者發(fā)布和喜歡的作品并下載到本地。除批量下載外，也可采集指定作品ID或分享鏈接的視頻。

工具分析：這是一款運(yùn)行在PC端的協(xié)議工具，發(fā)現(xiàn)時間為2020年5月2日。這個工具的作惡方式是通過訪問作品分享鏈接，獲取到視頻平臺用戶唯一識別ID，再通過拼接參數(shù)，偽裝成該視頻應(yīng)用的移動客戶端進(jìn)行獲取視頻列表、視頻ID的操作，并利用某個暴露在外的接口，構(gòu)造無水印視頻下載鏈接，實(shí)現(xiàn)視頻“去水印”功能。

通過拼接參數(shù)獲取到的視頻ID

在代碼中利用視頻ID進(jìn)行拼接

工具中批量獲取的視頻下載地址

攻防建議：

由于各個平臺上，用戶爬取視頻的需求都是很強(qiáng)烈的，所以同類型工具一直是以雨后春筍般的速度涌現(xiàn)。在這種情況下，平臺方可以利用黑產(chǎn)工具情報，及時跟進(jìn)現(xiàn)有的黑產(chǎn)爬蟲攻擊情況并進(jìn)行應(yīng)對，對相關(guān)業(yè)務(wù)接口采取業(yè)務(wù)限制措施等方式對黑產(chǎn)的攻擊進(jìn)行反制。

案例2：搶券工具分析

搶券工具：xxxx20200615.exe

工具用戶：該工具主要是針對某平臺特定活動的專用工具，其主要用戶為利用平臺大額優(yōu)惠券進(jìn)行牟利的黑產(chǎn)。

工具攻擊手法：該工具主要的攻擊方法是利用平臺無設(shè)備校驗(yàn)的接口進(jìn)行自動化搶券，并利用大量賬號套取大量的優(yōu)惠券進(jìn)行牟利。

工具分析：該工具出現(xiàn)在2020年6月15日，采用QT語言編寫。通過靜態(tài)逆向分析該工具代碼，發(fā)現(xiàn)其主要功能：

領(lǐng)券相關(guān)代碼

在工具的代碼中我們可以看到其針對的優(yōu)惠券有酒店券、門票券、機(jī)票券這幾種：

為了繞過平臺對IP地址的風(fēng)控限制，該工具在搶券前還會再部分代理IP平臺上獲取IP資源并設(shè)置代理，在代碼中我們看到了其硬編碼綁定的代理IP賬號與密碼。

代理IP平臺賬號密碼與接口

攻防建議：

面對這種利用代理IP進(jìn)行自動化批量搶券的黑產(chǎn)工具，除了從業(yè)務(wù)層面提高用券成本，降低黑產(chǎn)的潛在利益外，還可以從代理IP的角度去進(jìn)行防御，利用永安在線的風(fēng)險IP畫像功能，將通過代理IP的請求進(jìn)行攔截或進(jìn)行二次安全驗(yàn)證。同時，在工具中也暴露了某些接口存在未校驗(yàn)請求來源的問題，在后續(xù)領(lǐng)券活動接口開發(fā)中要進(jìn)行相關(guān)的業(yè)務(wù)安全加固。

案例3：注冊機(jī)工具分析

注冊機(jī)工具：xx注冊領(lǐng)取V1.0.exe

工具用戶畫像：使用該工具的用戶主要是專注于惡意注冊領(lǐng)券的黑產(chǎn)。

工具攻擊手法：這是一款運(yùn)行在PC 電腦上的黑灰產(chǎn)專用工具，通過直接破解和偽造得物app端與服務(wù)器的通信協(xié)議，自動化登錄、注冊等操作。相比于模擬按鍵腳本，協(xié)議工具脫離了設(shè)備的限制，黑灰產(chǎn)可以更低成本完成批量化規(guī)?；靼?，因此危害也更加嚴(yán)重。

xx注冊領(lǐng)取工具截圖

工具分析：

工具登錄過程中構(gòu)造并訪問了兩個接口，這兩個接口走的 https協(xié)議，請求方式為 POST，黑產(chǎn)通過抓包分析該電商app，可以輕易獲取到相關(guān)信息，進(jìn)而偽造接口協(xié)議和參數(shù)。 通過逆向分析，我們發(fā)現(xiàn)工具通過接碼平臺獲取手機(jī)號，然后得到驗(yàn)證碼直接登錄 。

某接口的接口參數(shù)列表

攻防建議：

從該工具的匯編代碼中提取出的接口參數(shù)，大多數(shù)參數(shù)為硬編碼hardcode的，因此平臺可以基于這些hardcode的參數(shù)作為特征來識別工具發(fā)起的注冊請求。

同時在這個工具中，我們看到了黑產(chǎn)在高凈值惡意注冊攻擊上采用的技術(shù)：注冊機(jī)不再是僅有單一的注冊功能，現(xiàn)在還會集成自動化接碼平臺與內(nèi)建網(wǎng)絡(luò)模塊，利用寬帶秒撥和代理IP去多線程繞過平臺的業(yè)務(wù)安全風(fēng)控體系。黑產(chǎn)采用復(fù)合的攻擊手段，使得現(xiàn)有的注冊風(fēng)控環(huán)節(jié)存在可被繞過的風(fēng)險，此時平臺可以結(jié)合風(fēng)險IP畫像和風(fēng)險手機(jī)號畫像，攔截黑產(chǎn)批量注冊虛假賬戶的過程，或在登錄環(huán)節(jié)上對相關(guān)賬戶進(jìn)行業(yè)務(wù)層面的限制，以避免造成損失。

結(jié)語

通過對上面三款黑產(chǎn)工具進(jìn)行分析后，我們可以發(fā)現(xiàn)黑產(chǎn)在利用各平臺進(jìn)行牟利的過程中，都會使用平臺自身的一些接口去進(jìn)行調(diào)用，有些接口甚至不需要進(jìn)行拼接偽裝，即可被黑產(chǎn)進(jìn)行惡意攻擊。從企業(yè)的角度來說，企業(yè)可以通過永安在線的黑產(chǎn)工具情報功能，及時發(fā)現(xiàn)藏在黑產(chǎn)工具中被惡意利用的接口，對其進(jìn)行針對性的加固，攔截黑產(chǎn)惡意攻擊。