黑灰産研究報告系列又和大家見面了。在這篇新報告中，獵人君将帶大家了解群控及其進化史，揭秘攻擊效率提升背後的邏輯，并提供有效的應對措施。

一、“市面上最好用的群控”

2018年下半年的時候，出現了一家号稱“市面上最好用群控”的設備廠商，大肆地鼓吹和宣傳自己的産品，據說光占地面積就要比傳統群控節約95%。

好奇的獵人君買了一台，并且“采訪”了一個大量采購的土豪“工作室”。在此之前他已經擁有了六萬台移動設備、十萬餘個微X賬号，大佬做流量生意，刷量啊、投票啊、引流啊，時機合适薅薅羊毛啊……

——“啊，死号率可以的，一到三成吧，抖X、微X都還行，拿facebooX做外貿基本都能保證效果。”

——“主要節約小工，我這兒每個人力2500一個月，提成按他出的量結算，我一塊他五毛這種（這裡指像“賣茶葉的姑娘”那樣，通過僞裝人設和大量撒網加人，用誘導詐騙等方式促成購買消費）。原來一個人做一百控（一控即一部手機），負責管理設備、加的人聊天。現在一個人能操作兩三個（相當于240~360台手機）吧，分到聊天上的時間多，出的量也跟着漲，他高興我也高興……”

——“養号操作比原來快，其他操作他都打包了，不用好幾個軟件跳（僞裝設備指紋的軟件，挂代理IP的軟件等），确實節約時間。”

還真是，蠻量化的評價呢……

獵人君動手拆了自己的設備，打算一探究竟。這是一個箱型設備，需要連接網線和電源線，以下姑且簡稱它為箱控。

二、玩轉谷歌和蘋果開源項目的黑産

1. 群控是啥？

群控—— 一種通過操作多台手機進行批量攻擊的方式。它可以說是黑産工作室的剛需了，在市場需求的催生下，群控類設備的供應商都非常擅長與利用各類技術對其進行升級優化。

以下是某工作室的群控設備照片。

2. 箱控是啥？

下圖這次的主角——箱控的内部構造。将十二台安卓手機主闆通過電路集成方式集成至一塊大主闆，進行統一供電和管理。

問：手機屏幕呢？

答：扔掉。

我們用Apple提供的Darwin Streaming Server 傳輸手機畫面到電腦上。（DSS是一款開源實時流媒體播放服務程序，是很多遠程教育、網絡監控、視頻點播類系統的流媒體解決方案）

至于設備數量問題，它通過切割内存的方式，将每個手機主闆切割為十個分身。最終達到，操作一台箱控相當于操作一百二十個不同手機的觀感。原本需要一個大廳存儲的手機設備，現在隻需要幾個貨架，大幅縮減了黑産的設備運營成本。

設備數量的問題解決了，如何批量操作呢？

企業大部分業務接口的關鍵參數都設置有特定算法，在無法對其破解進行直接攻擊的時候，黑産常常需要通過模拟點擊的方式僞裝正常用戶操作，達到攻擊目的。

常見的模拟點擊方案是通過識别顔色、文字、形狀來定位到需要點擊的坐标。這種方式經常需要進行容錯判斷，再一次通過識别顔色形狀等，來判斷自己是否點擊進入了目标頁面，每次識别要消耗時間，速度相對較慢。

箱控使用了appium——基于Google UiAutomator2的安卓自動化測試工具，通過文字、控件id、控件名稱等直接定位到APP的控件進行操作。

也就是說和上述方式相比，不用每次點擊後截圖，也不用根據圖片一個像素一個像素的判斷該點擊的位置，速度得到了提升，而很多企業自身産品的自動化測試就是采用appium完成的……

回想“群控”一路的進化變種，再結合近來的種種事件，獵人君發現了一些規律。

三、黑産進化，優化攻擊效率和成本

當前互聯網黑灰産攻擊有兩個特點：

1. 六成攻擊場景以量取勝

随着互聯網的發展，黑産形成了一些固定的攻擊模式和套路，有大量的攻擊場景依附于流量，通過僞裝成正常業務，再通過不斷重複獲利。

2. 重度依賴黑産基礎資源

在黑産市場，像設備這樣需求龐大而穩定的“資源”還有很多：IP、身份證、銀行卡、支付賬号、改機工具、自動化攻擊軟件、過滑動驗證碼、隐秘變現渠道等。

也都逐漸形成了像接碼平台一樣的“服務型黑産協作平台”，這些平台越來越多，組合成了一張龐大的黑灰産基礎資源網絡。黑産攻擊也嚴重依賴這些基礎資源。

下圖我們列舉了黑産需求及他們對應的解決方案：

由于攻防邏輯和上遊服務資源均趨于固定，黑産目前已經從攻防邏輯叠代的時代，逐漸過渡到攻擊效率和成本的優化叠代上。依舊以攻擊設備為例，我們來一探其變化過程。

黑産在設備上解決批量攻擊的方式有這麼幾種：

1. 箱控

優化點：将通用類的攻擊工具打包配套提供服務，降低了攻擊的操作門檻。

黑産在群控類的設備與服務商，均表現出将秒撥IP、改機工具等一些通用類型的功能進行打包集合的趨勢（秒撥和改機工具之前的文章我們有詳細講過，）。

将VPN功能和改機功能、虛拟定位功能内置，并且提供了雲端備份能力，黑産可以将一套攻擊環境連同環境上登錄的賬号一并上傳備份，通過還原快照的方式切換環境，從而進行大量攻擊。

箱控也提供了内存管理等能力，更好的滿足了群控類設備的目标——降低運營成本，即可以用更少的人力操作更多的設備，攻擊的效率和頻次均得到了有效提升。

除了運營成本和攻擊效率以外，這種打包的方式也有效降低了黑産的操作和技術門檻。小白隻需要保證配置正确即可，意味着黑産可以在對“技術要點”了解更少的情況下發起攻擊，防守方将面臨更多更雜的攻擊人員。

2. 租賃模式——“雲手機”

優化點：租賃模式，自由“擴容”，降低了維護設備成本，且方便備份傳輸設備信息。

“雲手機”是一種攻擊設備租用模式，操作者可以通過客戶端或浏覽器直接對遠端的手機（或虛拟手機）進行操作，發起攻擊。

雲手機與“群控”類設備的趨勢相同，越來越多的雲手機将“一鍵新機”、虛拟定位和代理IP進行打包銷售。

這樣的打包服務價格4元/天，加上手機号接碼成本和網絡成本，幾十元到百元就可以拿到遊戲的入場券。其成本遠遠低于傳統實體手機的攻擊方式。企業面臨攻擊人員更複雜廣闊的現實問題。

黑産熟手還可以在需要時，利用雲手機對自己的攻擊設備群進行即時“擴容”，模式實在靈活。

原本受到盈利低于攻擊成本或是設備數量限制，而無法進行攻擊的場景，由于攻擊效率的提升和靈活的租用模式，現在均可進行攻擊。

真實環境中，大部分工作室基本都是固定攻擊某個行業的某些廠商，同時關注營銷活動，在合适的時機，利用設備的空閑剩餘價值，“捎帶”一些副業進行盈利。

圖：某雲手機操作頁面

3. 中控

優化點：解決了傳統群控因數據線傳輸屏幕數據和指令數據造成的設備數量限制問題。

手機設備中安裝客戶端，用戶在PC端客戶端上統一管理手機并向其下發命令，由網絡傳輸後手機客戶端執行模拟點擊完成攻擊。

4. 雲控 優化點：設備無需在同一地點，腳本命令存儲在雲端，團夥間交易腳本時無需發送源碼，方便了腳本傳播和管理大量手機。

一個廣域網版本的“中控”，操作者通過任意浏覽器對手機進行管理和下達命令。

5. 群控

優化點：早期的批量操作設備解決方案，在腳本開發上限制較多，為避免卡頓，設備數量限制在百台左右。

采用屏幕映射的方式将手機屏幕映射到電腦，通過集線器将手機與電腦通過數據線連接，從而傳出屏幕内容和操作指令。

四、如何應對

面對當今黑産這樣産業化、專業化、團夥化和鍊條化的運作模式，攻防對抗将是企業與黑産雙方不斷厮殺成長的一場持久戰，且敵暗我明，該如何應對？

通過反欺詐情報（事前預防，事後根據攻擊方法找到防護點） 欺詐數據标簽（定位攻擊流量）的綜合對抗。填補認知盲區，打平信息差，了解對方的目标、攻擊思路和策略。熟悉對方的作惡成本，了解對方發起攻擊所需要的資源、時間、金錢成本、渠道門檻、對接的上下遊以及通過攻擊得到的營收等。

在業務側，綜合審視自己的目标，對比雙方資源、調整策略，定位到黑産的攻擊賬号、流量等，予以打擊防護。

黑産以量取勝，但也因為如此，批量就一定有迹可循。

黑産有龐大的上遊基礎資源供應，但同時也非常依賴這些資源，這些是産業鍊的關鍵結點，也同時是我們識别、打擊和防護的有效結點。

下圖我們對黑産攻擊方式給出了企業風控可以做的相應的對抗點的建議：

反欺詐情報——業務安全攻防中的隐性力量

從全産業鍊上下遊視角出發的布控和收集的情報，可以作為風控策略的解釋與支撐。同時，欺詐情報如黑産輿情和趨勢也能有效反饋企業風控策略的有效性，并幫助企業控制攻防成本。

反欺詐情報一般包括：黑産準備攻擊的借口、所涉及到的交易平台、攻擊的目标接口、所利用的攻擊工具、所涉及到的相關資源（手機号、IP）等。通過這些節點的布控，可以有效在黑産資源準備時就及時發現風險，并了解黑産的攻擊路徑和邏輯，提前做好風控策略。

欺詐數據标簽——高效落地的判别方案

不管黑産的技術上、設備上如何叠代，他們發起攻擊時總繞不過一些基礎的欺詐資源的儲備，例如注冊用的手機号和訪問的IP。

據我們統計，全網每日黑産發起的惡意注冊攻擊達到800W次，每日活躍欺詐手機号150W以上，平均每個手機号每日進行6次攻擊。

如果從黑産角度對其使用的基礎資源進行監控，識别出企業業務場景下的黑産欺詐資源，則可以針對這些黑灰産做惡的虛假賬号進行直接的攔截或降權。

從黑産基礎資源識别的風控方式，能夠一定程度上降低風控的誤判率并提高可解釋性。

作者：威脅獵人，公衆号：威脅獵人

本文由 @威脅獵人 原創發布于人人都是産品經理。未經許可，禁止轉載

題圖來自Unsplash, 基于CC0協議

,

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!

查看全部