黑产工具情报的分析方式浅析

news2024/11/24 12:54:32

接下来我们以恶意爬虫、抢券工具和注册机三种工具来谈一下黑产工具情报的分析方式。

对于企业方面来说,黑产工具情报可以有效的提高业务安全的攻防效率。通过分析工具利用的业务接口,不仅可以将黑产作恶行为进行有效的追踪,对其进行有效的处理,还能强化业务层面对安全的认知,知晓业务接口中的安全薄弱点,并进行持续性的安全加固。

接下来我们以恶意爬虫、抢券工具和注册机三种工具来谈一下黑产工具情报的分析方式。

案例1:恶意爬虫工具分析

爬虫工具:xx采集/批量去水印.exe

工具用户:需要批量下载某短视频平台内容的普通用户,以及需要将视频在其他平台投稿的视频转载搬运人员。

xx视频采集/批量去水印工具截图xx视频采集/批量去水印工具截图

工具攻击方法:在输入框内输入该平台作者的ID或作品链接后,爬取该作者发布和喜欢的作品并下载到本地。除批量下载外,也可采集指定作品ID或分享链接的视频。
在这里插入图片描述

工具分析:这是一款运行在PC端的协议工具,发现时间为2020年5月2日。这个工具的作恶方式是通过访问作品分享链接,获取到视频平台用户唯一识别ID,再通过拼接参数,伪装成该视频应用的移动客户端进行获取视频列表、视频ID的操作,并利用某个暴露在外的接口,构造无水印视频下载链接,实现视频“去水印”功能。
在这里插入图片描述
通过拼接参数获取到的视频ID

在这里插入图片描述
在代码中利用视频ID进行拼接

在这里插入图片描述
工具中批量获取的视频下载地址

攻防建议:

由于各个平台上,用户爬取视频的需求都是很强烈的,所以同类型工具一直是以雨后春笋般的速度涌现。在这种情况下,平台方可以利用黑产工具情报,及时跟进现有的黑产爬虫攻击情况并进行应对,对相关业务接口采取业务限制措施等方式对黑产的攻击进行反制。

案例2:抢券工具分析

抢券工具:xxxx20200615.exe

工具用户:该工具主要是针对某平台特定活动的专用工具,其主要用户为利用平台大额优惠券进行牟利的黑产。

工具攻击手法:该工具主要的攻击方法是利用平台无设备校验的接口进行自动化抢券,并利用大量账号套取大量的优惠券进行牟利。

工具分析:该工具出现在2020年6月15日,采用QT语言编写。通过静态逆向分析该工具代码,发现其主要功能:
在这里插入图片描述
领券相关代码

在工具的代码中我们可以看到其针对的优惠券有酒店券、门票券、机票券这几种:
在这里插入图片描述

为了绕过平台对IP地址的风控限制,该工具在抢券前还会再部分代理IP平台上获取IP资源并设置代理,在代码中我们看到了其硬编码绑定的代理IP账号与密码。
在这里插入图片描述
代理IP平台账号密码与接口

攻防建议:

面对这种利用代理IP进行自动化批量抢券的黑产工具,除了从业务层面提高用券成本,降低黑产的潜在利益外,还可以从代理IP的角度去进行防御,利用永安在线的风险IP画像功能,将通过代理IP的请求进行拦截或进行二次安全验证。同时,在工具中也暴露了某些接口存在未校验请求来源的问题,在后续领券活动接口开发中要进行相关的业务安全加固。

案例3:注册机工具分析

注册机工具:xx注册领取V1.0.exe

工具用户画像:使用该工具的用户主要是专注于恶意注册领券的黑产。

工具攻击手法:这是一款运行在PC 电脑上的黑灰产专用工具,通过直接破解和伪造得物app端与服务器的通信协议,自动化登录、注册等操作。相比于模拟按键脚本,协议工具脱离了设备的限制,黑灰产可以更低成本完成批量化规模化作案,因此危害也更加严重。
在这里插入图片描述
xx注册领取工具截图

工具分析:

工具登录过程中构造并访问了两个接口,这两个接口走的 https协议,请求方式为 POST,黑产通过抓包分析该电商app,可以轻易获取到相关信息,进而伪造接口协议和参数。 通过逆向分析,我们发现工具通过接码平台获取手机号,然后得到验证码直接登录 。
在这里插入图片描述
某接口的接口参数列表

攻防建议:

从该工具的汇编代码中提取出的接口参数,大多数参数为硬编码hardcode的,因此平台可以基于这些hardcode的参数作为特征来识别工具发起的注册请求。

同时在这个工具中,我们看到了黑产在高净值恶意注册攻击上采用的技术:注册机不再是仅有单一的注册功能,现在还会集成自动化接码平台与内建网络模块,利用宽带秒拨和代理IP去多线程绕过平台的业务安全风控体系。黑产采用复合的攻击手段,使得现有的注册风控环节存在可被绕过的风险,此时平台可以结合风险IP画像和风险手机号画像,拦截黑产批量注册虚假账户的过程,或在登录环节上对相关账户进行业务层面的限制,以避免造成损失。

结语

通过对上面三款黑产工具进行分析后,我们可以发现黑产在利用各平台进行牟利的过程中,都会使用平台自身的一些接口去进行调用,有些接口甚至不需要进行拼接伪装,即可被黑产进行恶意攻击。从企业的角度来说,企业可以通过永安在线的黑产工具情报功能,及时发现藏在黑产工具中被恶意利用的接口,对其进行针对性的加固,拦截黑产恶意攻击。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/4850.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

Java本地搭建宝塔部署实战springboot自动化立体智慧仓库WMS源码

大家好啊,我是测评君,欢迎来到web测评。 本期给大家带来一套Java开发的springboot自动化立体智慧仓库WMS源码。 技术架构 技术框架:SpringBoot layui HTML CSS JS运行环境:jdk8 IntelliJ IDEA maven3 宝塔面板 本地搭建教…

MongoDB入门与实战-第四章-SpringBoot集成MongoDB

目录参考MongoDB 连接java客户端方式引入驱动依赖测试创建客户端创建集合查询文档查询集合大小条件查询排序投影聚合查询复合聚合插入文档批量插入更新文档删除文档SpringDataMongoDB添加依赖配置文件新建实体映射插入文档修改文档删除参考 SpringBoot 整合 MongoDB 实战解说 …

[附源码]java毕业设计濒危物种科普系统

项目运行 环境配置: Jdk1.8 Tomcat7.0 Mysql HBuilderX(Webstorm也行) Eclispe(IntelliJ IDEA,Eclispe,MyEclispe,Sts都支持)。 项目技术: SSM mybatis Maven Vue 等等组成,B/S模式 M…

jq获取和设置偏移量:offset()、position()

jq获取和设置偏移量: js获取盒子的偏移量是:offsetLeft、offsetTop;jq获取盒子的偏移量的方法:offset()、position();offset():距离文…

去除有重复的行

【问题】 I have a csv file and I have duplicate as well as unique data getting add to it on a daily basis. This involves too many duplicates. I have to remove the duplicates based on specific columns. For eg: csvfile1: title1 title2 title3 title4 title5…

C++程序开启大地址(虚拟内存),让32位程序使用4G内存的方,虚拟内存概念及寻址范围详解

如何让 32 位程序突破 2G 内存限制 一般情况下,32 位程序的内存大小被限制在了 2G,不过可以通过以下的操作来突破这个限制。 修改操作系统参数 这一步骤只针对 32 位操作系统,64 位操作系统可以跳过 用管理员权限打开一个命令行窗口 执行…

【数据库原理及应用】——安全性与完整性(学习笔记)

📖 前言:随着计算机的普及,数据库的使用也越来越广泛。为了适应和满足数据共享的环境和要求,DBMS要对数据库进行保护,保证整个系统的正常运转,防止数据意外丢失、被窃取和不一致数据产生,以及当…

【Linux】---认识进程

文章目录进程的概念1、什么是进程2、PCB3、查看进程4、初始fork()创建进程5、kill杀死进程进程的状态普适的操作系统下的状态运行阻塞挂起Linux下的状态理解R--运行状态S--睡眠状态D--深度睡眠状态T--暂停状态t--追踪暂停状态X--死亡状态Z--僵尸状态孤儿进程进程优先级进程的其…

先广度后深度,打开编程视野

古人云 “读万卷书,行万里路。” 书籍是人类进步的阶梯、培养阅读习惯,当一个人爱上读书的时候,眼睛都是发光的。 在小编看来,学习理念是【先广度后深度】,先把Java知识体系的东西都了解到,工作上先会用&…

【数据结构与算法】之动态规划经典问题

前言 本文为 【数据结构与算法】动态规划 经典问题相关介绍 ,具体将对最长递增子序列问题,找零钱问题,0-1背包问题相关动态规划算法问题进行详尽介绍~ 📌博主主页:小新要变强 的主页 👉Java全栈学习路线可…

【LeetCode】No.91. Decode Ways -- Java Version

题目链接:https://leetcode.com/problems/decode-ways/ 1. 题目介绍(Decode Ways) A message containing letters from A-Z can be encoded into numbers using the following mapping: 【Translate】: 包含从A到z的字母的消息可…

C++之继承详解(万字讲解)

这里是目录呀前言一、继承的概念及定义1.继承的概念2.继承定义(1)定义格式(2)继承关系和访问限定符(3)继承基类成员访问方式的变化二、继承中的作用域三、基类和派生类对象赋值转换四、派生类的默认成员函数五、继承与友元六、继承与静态成员七.复杂的菱形继承及菱形虚拟继承1.…

暗猝灭剂BHQ-2 氨基,BHQ-2 amine,CAS:1241962-11-7

产品描述 1、名称 英文:BHQ-2 amine 中文:BHQ-2 氨基 2、CAS编号:1241962-11-7 3、所属分类:Other dyes 4、分子量:477.53 5、分子式:C24H27N7O4 6、质量控制:95% 7、储存: …

爱心html制作并部署github

手机也可以观看 效果预览地址 1.网页效果 心形优化 2.网页源码 源码地址 可以改变不同的图片&#xff0c;作者已经改为全局变量 <!DOCTYPE html> <html><head><title></title><script src"js/jquery-1.7.2.js"></script…

高并发,你真的理解透彻了吗?高并发核心编程手册荣登Github榜首

高并发&#xff0c;几乎是每个程序员都想拥有的经验。原因很简单&#xff1a;随着流量变大&#xff0c;会遇到各种各样的技术问题&#xff0c;比如接口响应超时、CPU load升高、GC频繁、死锁、大数据量存储等等&#xff0c;这些问题能推动我们在技术深度上不断精进。 在过往的面…

Spring Cloud Ablibaba 学习系列文章

前言&#xff1a; 最近发现Spring Cloud的应用越来越多了&#xff0c;微服务的概念在一般的互联网公司上面几乎都会使用到&#xff0c;于是准备一套Spring Cloud Alibaba的学习文章&#xff0c;文章写到一定阶段&#xff0c;会进行实战篇&#xff0c;比如搭建注册通信的框架&a…

C. Crossword Validation(字典树)

Problem - C - Codeforces 题意: 你得到了一个在NN网格上完成的填字游戏。每个单元格要么是填有字母的白色单元格&#xff0c;要么是黑色单元格。你还会得到一本包含M个不同单词的字典&#xff0c;其中每个单词都有一个与之相关的分数。网格中的一个横向候选词是在网格的同一行…

Android TCPIP常见问题

book: Understanding Linux Network Internals socket读写错误返回值&#xff1a;errno TCP: Robert Elliot Kahn IP: Robert Elliot Kahn, Vint Cerf 1 RFC规范 RFC793&#xff1a;TCP RFC768&#xff1a;UDP RFC791&#xff1a;IP RFC826&#xff1a;ARP RFC792&#xff1a;I…

请求转发与请求重定向的区别

目录 1.实现 2.具体区别 1.有关实现 请求转发与重定向分别对应forward 和 redirect两个关键字&#xff0c;接下来我们在Java中尝试去实现一下。 1.1 请求转发 我们一般使用两种方式实现&#xff0c;具体代码见下&#xff1a; RequestMapping("/fw")public Strin…

【C】语言文件操作(一)

&#x1f648;个人主页&#xff1a; 阿伟t &#x1f449;系列专栏&#xff1a;【C语言–大佬之路】 &#x1f388;今日心语&#xff1a;越忙&#xff0c;越要沉住气&#xff01; 本章重点 : 为什么使用文件什么是文件文件的打开和关闭文件的顺序读写文件的随机读写文本文件和…