对于企业来说,黑工具情报可以有效提高业务安全的攻防效率。分析工具所使用的业务接口,不仅可以有效追踪和应对黑市违法行为,还可以加强业务层面的安全意识,知晓业务接口存在的安全漏洞,进行持续监控.性安全强化。下面说说恶意爬虫、抢券工具、注册机三种工具的黑产工具情报分析方法。案例一:恶意爬虫工具分析爬虫工具:xx采集/批量去水印.exe工具用户:需要从某短视频平台批量下载内容的普通用户,需要向其他平台投稿视频的视频转载者。xx视频抓拍/批量去水印工具截图工具攻击方式:在输入框中输入作者ID或作品链接后,爬取作者发表和点赞的作品并下载到本地。除了批量下载,还可以收藏指定作品ID或分享链接的视频。工具分析:这是一个运行在PC端的协议工具,于2020年5月2日被发现。该工具的恶意手段是通过访问视频平台的分享链接获取视频平台用户的唯一标识ID工作,然后通过拼接参数,伪装成视频应用的手机客户端,获取视频列表和视频ID,并使用一个暴露在外部的接口,构造一个无水印的视频下载链接,实现“从视频中去除水印”。通过拼接参数得到的视频ID在代码中使用,在代码中拼接视频ID。工具中批量获取的视频下载地址。攻防建议:由于用户对各平台视频的爬取需求强烈,所以一直以来同类工具如雨后春笋般涌现。这种情况下,平台方可以利用黑业工具的智能化,及时跟进和应对已有的黑业爬虫攻击,并对相关业务接口采取业务限制措施,应对黑业攻击。案例二:抢券工具分析抢券工具:xxxx20200615.exe工具用户:该工具主要是针对某平台特定活动的专用工具,其主要用户为平台内使用大额优惠券营利的违法产品。工具攻击方式:该工具的主要攻击方式是利用平台未进行设备验证的接口自动抢取优惠券,利用大量账号收集大量优惠券进行盈利。工具分析:该工具出现于2020年6月15日,使用QT语言编写。通过对该工具代码的静态逆向分析,我们发现其主要功能:优惠券相关代码在该工具的代码中,我们可以看到其针对的优惠券包括酒店优惠券、机票优惠券、机票优惠券:为了绕过平台IP地址风控限制,该工具会在部分代理IP平台上获取IP资源,并在抢券前设置代理。在代码中,我们可以看到它硬编码的代理IP账号和密码。建议IP平台账号密码和接口攻防建议:面对这种利用代理IP自动批量抓取优惠券的黑客工具,除了从业务层面增加使用优惠券的成本,降低黑客的潜在收益,也可以使用代理IP从防御的角度,使用永安在线的风险IP画像功能,通过代理IP拦截请求或进行二次安全验证。同时,该工具还暴露出部分接口未验证请求来源的问题,后续领券活动接口开发中需进行相关业务安全加固。案例三:Keygen工具分析Keygen工具:xx注册收据V1.0.exe工具用户画像:使用该工具的用户主要为恶意注册、领取优惠券的黑品。工具攻击方式:这是一款运行在PC电脑上的黑灰产品专用工具。通过直接破解伪造APP与服务器的通信协议,实现登录、注册等自动化操作。与模拟击键脚本相比,协议工具不受设备限制,黑灰产品可以以更低的成本完成群体性、大规模的犯罪,危害更为严重。xx注册采集工具截图工具分析:在工具登录过程中,构造并访问了两个接口。这两个接口使用https协议,请求方式为POST。黑客通过抓包分析电商APP,可以轻松获取相关信息。信息,然后伪造接口协议和参数。通过逆向分析,我们发现该工具通过收码平台获取手机号,然后获取验证码直接登录。接口接口参数列表攻防建议:工具的汇编代码中提取的接口参数大部分是硬编码的,平台可以根据这些硬编码的参数作为特征来识别工具发起的注册请求。同时,在这个工具中,我们看到了黑客在恶意高净值注册攻击中使用的技术:注册机不再是单一的注册功能,现在还集成了自动化编码平台和内置的-在网络模块中,使用宽带秒拨和代理IP去多线程绕过平台的业务安全风控系统。黑产业采用复杂的攻击手段,使得现有的注册风控环节存在被绕过的风险。这时,平台可以结合有风险的IP画像和有风险的手机号码画像,拦截黑业批量注册虚假账号的过程,或者在登录环节,对相关账号进行业务级限制,避免损失.结语通过分析以上三种黑客工具,我们可以发现,黑客在利用各个平台盈利的过程中,都是利用平台自身的一些接口进行调用,有些接口甚至不需要拼接和伪装。黑客的恶意攻击。站在企业的角度,企业可以利用永安在线的黑业工具情报功能,及时发现隐藏在黑业工具中的被恶意使用的接口,并进行针对性加固,阻断黑业的恶意攻击。
