群控进化史,黑产攻击效率提升带来的防守困境

  • 时间:
  • 浏览:0

导语:黑灰产研究报告系列又和朋友见面了。在这篇新报告中,猎人君将带朋友了解群控及其进化史,揭秘攻击速率提升身旁的逻辑,并提供有效的应对办法。文章由威胁猎人(ID:ThreatHunter)原创发布,并受法律保护。转载、摘编或利用其它办法使用本报告文字将会观点的,如需转载请与朋友联系。违反上述声明者,将追究其相关法律责任。

一波又一波“市面上最好用的群控”

2018 年下四天 的后来 ,出現了一家号称“市面上最好用群控”的设备厂商,大肆地鼓吹和宣传买车人的产品,据说光占地面积就要比传统群控节约95%。

好奇的猎人君买了一台,后来 “采访”了一个多多小量采购的土豪“工作室”,在此后来 他将会拥有了六万台移动设备、十万余个微X账号,大佬做流量生意,刷量啊、投票啊、引流啊,时机大概薅薅羊毛啊……

——“啊,死号率可不时需的,一到三成吧,抖X、微X都还行,拿facebooX做外贸基本都能保证效果。”

——“主要节约小工,我这儿每买车人力 230 一个多多月,提成按他出的量结算,我一块他五毛这名 (这里指像“卖茶叶的姑娘”那样,通过伪装人设和小量撒网加人,用诱导诈骗等办法促成购买消费。),一个多多一个多多人做一百控(一控即一部手机),就管理设备啊、和加的人聊天,现在一个多多人能操作两三百个(大概240~ 330 台手机)吧,分到聊天上的时间多,出的量也跟着涨,他高兴我也高兴……”

——“养号操作比一个多多快,这名操作他都打包了,不需要好几条软件跳(伪装设备指纹的软件,挂代理IP的软件等),嘴笨 节约时间。”

还果然,蛮量化的评价呢…

猎人君动手拆了买车人的设备,打算一探究竟。这是一个多多箱型设备,时需连接网线和电源线,以下姑且简称它为箱控。

1

玩转谷歌和苹果开源项目的黑产

1、群控是啥?

群控——有三种通过操作多台手机进行批量攻击的办法,可不时需说是黑产工作室的刚需了,在市场需求的催生下,群控类设备的供应商都非常擅长与利用各类技术对其进行升级优化。以下是某工作室的群控设备照片。

2、箱控是啥? 

下图这次的主角——箱控的内控 构造。将十二台安卓手机主板通过电路集成办法集成至一块大主板,进行统一供电和管理。

问:手机屏幕呢?

答:扔掉。朋友用Apple提供的Darwin Streaming Server 传输手机画面到电脑上。(DSS是一款开源实时流媒体播放服务多多线程 ,是要是我远程教育、网络监控、视频点播类系统的流媒体处理方案。)

至于设备数量大难题,它通过切割内存的办法,将每个手机主板切割为一个分身。最终达到,操作一台箱控大概操作一百二一个不同手机的观感。一个多多时需一个多多大厅存储的手机设备,现在只时需几条货架,大幅缩减了黑产的设备运营成本。

设备数量的大难题处理了,要怎样批量操作呢?

企业大要素业务接口的关键参数都设置有特定算法,在无法对其破解进行直接攻击的后来 ,黑产常常时需通过模拟点击的办法伪装正常用户操作,达到攻击目的。常见的模拟点击方案是通过识别颜色、文字、形态来定位到时需点击的坐标,这名 办法突然时需进行容错判断,再一次通过识别颜色形态等,来判断买车人是是不是点击进入了目标页面,每次识别要消耗时间,速率相对较慢。

箱控使用了appium——基于Google UiAutomator2 的安卓自动化测试工具,通过文字、控件id、控件名称等直接定位到APP的控件进行操作,也要是我说和上述办法相比,不需要每次点击后截图,要是我用根据图片一个多多像素一个多多像素的判断该点击的位置,速率得到了提升,而要是我企业自身产品的自动化测试要是我采用appium完成的…… 

回想“群控”一路的进化变种,再结合近来的种种事件,猎人君发现了这名规律。

2

黑产进化,优化攻击速率和成本

当前互联网黑灰产攻击一个多多多特点: 

1、六成攻击场景以量取胜: 

随着互联网的发展,黑产形成了这名固定的攻击模式和套路,有小量的攻击场景依附于流量,通过伪装成正常业务,再通过不断重复获利。 

2、重度依赖黑产基础资源: 

在黑产市场,像设备一个多多需求庞大而稳定的“资源”还有要是我:IP、身份证、银行卡、支付账号、改机工具、自动化攻击软件、过滑动验证码、隐秘变现渠道等。也都逐渐形成了像接码平台一样的“服务型黑产媒体协作平台”,哪些平台太满,组合成了一张庞大的黑灰产基础资源网络。黑产攻击也严重依赖哪些基础资源。 

下图朋友列举了黑产需求及朋友对应的处理方案:

将会攻防逻辑和上游服务资源均趋于固定,黑产目前将会从攻防逻辑迭代的时代逐渐过渡到攻击速率和成本的优化迭代上。依旧以攻击设备为例,朋友来一探其变化过程。 

声明:本文转载自第三方媒体,如需转载,请联系版权方授权转载。协助申请