# 产品说明书
# 一. 概述
# 1.1 背景
面对日趋复杂的互联网环境,黑灰产从业者已达数百万,这些人分工明确、组织严密、运营高效。黑灰产业成长迅速,其规模化、集团化的发展以及所用技术的快速更新迭代,对互联网企业的业务安全造成巨大威胁。与传统的业务安全攻防不同的是,现在的所面临的不再是单点的技术对抗,而是要面对整个上、中、下游结构清晰的黑灰产业链的挑战。一方面攻击方式的快速更新成本不断下降,而另一方面防守方防御难度增大,成本不断提升。攻防不平衡的格局急需改善,威胁猎人团队针对业务安全的感知防护需求,推出了 Karma业务情报搜索引擎,提供工具情报、IP及手机号风险情况搜索。
# 二. 核心功能介绍
# 2.1 黑灰产工具情报搜索
通过Karma发现最新黑灰产工具,通过样本分析找到攻击接口和流量特征,并应用到风控决策引擎中去。
# 2.1.1 搜索使用方式
(1) tool_target="产品/业务名",如"淘宝"、"抖音"等。Karma将搜索攻击目标可能为输入业务的所有黑产工具,除基础的基于工具名称匹配外,还将深入到工具内置字符串、工具截图等,搜索该输入业务的关键词和相关域名。
.ffe4ed5d.png)
(2)tool_path="URL",如"signup.live.com/signup" 等。可以尝试搜索任何疑似风险的接口,包括但不限于注册接口、登录接口、抢券接口、领红包接口、投票接口等。Karma将从工具内置的字符串文件中,深度搜索该URL并返回结果。也可以搜索黑产供应链平台URL,比如接码平台、打码平台、IP代理软件等URL。
.d806c1bc.png)
(3)tool_title="工具名称关键词",如"Uber扫号"、"ins注册"等。 Karma将会通过工具名称匹配输入的关键词。
.0cfca3ac.png)
(4)tool_string="任意字符串",如"改定位"等。 Karma将在工具的字符串文件中搜索输入的字符串。
.3c6676ff.png)
(5)tool_md5="工具文件MD5值"。 Karma将根据MD5精准搜索到该工具。
.7184282b.png)
(6)搜索引擎支持深度搜索: 部分黑产工具无法从名字上推断攻击目标。Karma在搜索前会将业务名自动关联域名一起作为搜索条件;搜索时除匹配工具名称等表层信息外,还会深度搜索工具字符串文件及工具截图信息。
.16988dc1.png)
2.1.2核心价值
覆盖最全、更新最及时: 基于威胁猎人的蜜罐网络及第三方渠道合作,我们布控了黑灰产工具的核心攻击和传播节点,平均每天可捕获近万余工具样本。工具类型包含:PC端破解协议类工具、移动端模拟点击脚本,以及各类改机、分身/多开、Xposed插件、代理IP客户端、群控客户端等通用类工具。
工具处理流程可闭环: 发现只是第一步,Karma的智能分析可以提取出工具内置域名等字符串信息、工具运行截图及工具作恶场景标签。同时,Karma还提供工具样本分析增值服务,由威胁猎人安全团队帮助客户分析作弊原理,提取特征和识别建议,真正做到“发现-分析-处理”的闭环。
# 2.2 黑灰产工具情报分析
由于环境依赖、组件依赖、资源依赖等原因,可以手动运行并执行相应功能的工具样本占比并不高。绝大多数工具样本可以通过另外的一些方法进行快速分析和有效性验证,剩下来的少量未知样本或高价值样本再尝试通过手动运行的方式进行复现,或者申请威胁猎人专家分析。不容易手动执行并复现功能的原因主要有以下一些:
1)缺少工具运行的环境,比如.net编写的工具需要.net的运行时环境,XPosed程序需要XPosed框架等;
2)缺少工具运行所依赖的一些组件,主要出现在部分PC端工具样本,在运行时需要一些其他的动态库(DLL)支持;
3)工具运行时会检测虚拟机环境,导致在虚拟机中运行不起来,主要出现在部分PC端工具样本;
注:工具样本中存在病毒伪装工具,以及带毒打包工具等情况,因此运行工具请务必放在虚拟机环境中,以防感染实体机环境;
4)工具需要激活或注册才能够使用,对于这种情况,可以尝试联系作者进行购买,或者通过破解等手段绕过激活或注册,直接进入工具主界面;
5)工具执行相应功能时,缺少需要的资源文件,比如部分工具在执行批量回复、点赞、关注等操作时,需要读取本地的账号资源文件;
6)工具执行相应工功能时,需要购买黑产平台的资源,比如注册机类工具,往往需要先在接码平台注册账号并充值,然后在工具运行时填入接码平台的账号密码;
7)工具执行的流量比较复杂,有的需要按照一定的步骤一步步执行,有的需要先执行一些前置操作。对于这类工具往往得先找到教程并按照教程来执行等。
# 2.2.1 PC端工具的分析
(1)搜索“http:”和“https:PC端的工具样本绝大多数都是协议类工具(直接伪造前端和服务器的通信协议,完成批量自动化操作),我们可以在工具内置字符串中搜索“http:”以及“https:”开头的字符串,如果搜索到的字符串中包含对应业务的接口URL,如下所示:
.bebd01f0.png)
则基本可以断定该工具就是一款协议类工具。
(2)硬编码参数
明确了协议类工具之后,接下来验证工具的有效性。大部分协议工具都会存在一些硬编码的请求参数,在工具内置字符串中,接口URL附近往往可以找到这些硬编码的参数,如下所示:
.18fb3cbd.png)
以这些硬编码参数为过滤条件,对接口流量进行筛选,如果有命中的流量,则说明 该工具(或同类工具)对接口URL进行了协议请求。同时可以进一步观察这些请求是否可以被识别为恶意请求,如果没有被识别出来,则说明当前该工具是有效的。
# 2.2.2 移动端工具的分析
(1)工具的包名
移动端的工具以模拟操控为主,因此工具运行之前,需要先安装目标App,并将其运行起来。如果目标App有采集终端设备上包含包名信息的App List,则可以通过工具的包名将其识别出来。将下载下来的工具拖动到JDE等分析工具中,可以获取到包名信息(后续我们也会在情报平台上展示工具的包名):
.f26a276c.png)
如果终端设备上有这个工具,则可以认为该设备属于高风险的设备,对其发起的业务请求采取必要的限制。
(2)工具的源代码
大多数移动端工具都可以在情报平台上下载通过一定技术手段还原出来的源代码。直接阅读源代码可以清晰的了解工具的运行原理,依赖的资源,执行的步骤等。以3种不同类型的工具来说明:
- 按键精灵
按键精灵还原出来的源代码是Lua脚本,代码量比较大,往往有上百K。分析时可以先从main函数开始阅读(一般在源码最后),可以快速了解其核心功能逻辑。如下是某短视频应用红包工具的main函数代码片段:
.e8ee5622.png)
按键精灵主要通过FindPicture找到界面上需要输入或点击的位置,然后自动化完成操作。
- autojs脚本
autojs还原出的源代码有点类似于Javascript,代码分为两部分,第1部分是页面布局,描述了工具运行后的主界面:
.32c3bccd.png)
第2部分是功能函数,即点击某个功能后所执行的操作:
.c5a7971c.png)
相比于按键精灵,autojs是通过className定位控件的方式来找到操作对象。无论是按键精灵还是autojs,都是按照脚本代码一步步的执行,其操作流程是非常固定的(可以看到每执行一步操作后的sleep时间也都是固定的),而正常人显然不会有这样的操作,因此可以基于此提取针对该工具的人机识别特征。
- XPosed程序
XPosed程序还原出的源代码是Hook类的Java代码,代码片段如下所示:
.16141d5e.png)
XPosed程序先通过包名定位到目标App,然后调用findAndHookMethod来完成对目标App某些关键函数的Hook,从而截取信息或植入行为。
如果在源码中搜索到自身应用的包名,则基本可以确定该工具的目标就是自身业务。接下来再搜索“findAndHookMethod”或“hookAllMethods”,查看哪些函数被工具Hook了以及Hook后执行的操作。
# 2.2.3 常见问题解答
1.为什么会有一些看起来一样的样本?
部分工具样本的更新会非常频繁,甚至1天几个版本,这些不同的版本看起来基本一样,不过不用每一个都分析,分析发现时间最近的样本(最新版本)即可。
.28efcee9.png)
2.为什么有的工具样本发现时间和分析完成时间隔得比较久?
发现指的是我们从情报中感知到有这款工具的存在,之后需要挖掘下载渠道并下载工具样本,然后调度自动化分析平台对工具样本进行识别和分析,这中间可能会耗时比较久,目前整个流程仍然在优化,耗时会持续缩短。
3.为什么有的工具同一个版本也会存在多个样本文件?为什么有的工具老版本比新版本发现的时间还要晚?
这两个问题其实是同一个问题。工具在传播过程当中,可能会因病毒感染、二次打包等原因导致文件内容被修改,从而会被当做一个新的文件。
# 2.3 手机号风险搜索
搜索语法:
国内手机号:phoneno="139xxxxxxxx"
海外手机号:phoneno="+1xxxxxxxxxx"
返回结果:
- 支持返回卡类型 :普通电话卡、物联网卡、虚拟小号、VoIP网络电话,以及威胁猎人独家发现的“拦截卡”。
- 支持返回实时的号码状态: 空闲,关机、停机、忙线、空号
- 支持返回撞库风险: 黑产可能通过撞库,登录正常用户账号实施作恶,这时风控方可能出现误杀。新版Karma可供风控团队核实手机号是否存在撞库风险,非常好用。
.dc9042fe.png)
# 2.4 IP风险搜索
搜索语法:
- ip="1.1.1.1"
返回结果:
- 支持返回IP风险标签: Karma将按照时间线顺序,把IP生命周期内所有的作恶标签排列出来。
- 支持返回IP的地理位置: 精确到区县级,并提供经纬度。从市级下沉到区县,精度的提高让数据分析的颗粒度可以更细。
- 支持返回ASN: AS代表代表自治系统,ASN就是这个系统的编号。
- 支持返回其他IP信息: 如时区、行政区划代码(国内IP)、国家编码、大洲等。
.86d31aed.png)
# 2.5 业务情报监控预警
Karma除了提供业务情报的搜索和调查功能外,还可以对您关心的业务情报或黑灰产舆情进行监控,当符合您设定的规则时作预警。
目前Karma支持两种情报事件的预警:
- 出现新型黑灰产攻击工具
- 出现敏感数据泄露事件
.672b4e7e.png)
本功能仅面向商业版用户开放。用户通过简单的关键词和域名设置后,即可收到Karma推送的相关业务情报。在未来的版本中,我们还将陆续支持黑灰产交易预警、真人众包作弊预警、账号安全风险事件预警、恶意刷量事件预警等。
# 2.4.1 如何创建预警项目并设置预警规则
点击“创建预警项目”,创建您第一个预警项目。
项目名称:根据您需要监控的业务/活动命名即可,比如“抖音的情报预警”或“618活动的情报预警”等。
项目规则:支持基于关键词和域名设置预警规则
- 关键词:建议输入贵司产品名称、活动简称或风险场景,比如:抖音、tiktok、京东618、美团注册等。
- 域名:建议输入贵司业务的主域名或特定的业务接口,比如:yazx.com (opens new window)或yazx.com/usercenter/#/login?tag=register (opens new window)等。
为了增加预警规则的匹配命中率和容错:
- 关键词无需输入完整的App名字,如:优酷视频-看我的生活精彩呈现,推荐直接设置为“优酷”
- 域名无需输入“http://”或“https://”前缀,主域名也无需输入“www.”。
当您完成预警项目创建后,若Karma发现有新的业务情报命中您设置的预警规则,即可触发预警条件,在设定的时间下发送预警邮件,您可以选择打开/关闭即时预警开关,打开后预警将会第一时间为您推送,另外每日简报将于次日早上九点为您推送前一天的预警内容汇总。
.f6be0029.png)
预警规则的详细说明如下:
| 预警规则设置 | 预警触发条件 |
|---|---|
| 关键词=keywords | 发现以下情报可触发预警:
|
| 域名=url.com (opens new window) | 发现以下情报可触发预警:
|
我们对您创建预警项目和规则的次数做了一定限制,商业版用户每天最多可新创建10个预警项目,每个项目最多创建10条预警规则。
在后续版本中,Karma将陆续支持更多类型风险的预警,比如黑灰产交易的预警、真人众包作弊预警、账号安全风险事件预警、恶意刷量事件预警等等。
# 2.4.2 接收情报预警
预警邮件默认发送至您注册邮箱,如果您需要添加其他接收人,可以在预警项目的编辑/创建状态进行添加。
.2741d940.png)
当您收到如下预警邮件时,您可以点击“更多字段”(登录Karma后)查看工具详情。
# 2.6 黑灰产工具趋势榜
威胁猎人在黑灰产工具发布、交易、传播、存储等关键渠道布控,可以及时发现并捕获90%以上全网最新的黑灰产工具。同时,也有能力对一款黑灰产工具,从发布、交易、作恶、传播直至消亡或升级的全生命周期的传播广度进行刻画。
您可以选择任意一天(默认为昨天),查看当天全网活跃的黑灰产工具的排行。
.9497508e.png)
我们希望通过黑灰产工具趋势榜,让您对全网黑灰产攻击工具有更直观的和整体的认知。通过TOP工具的分析,得出黑灰产聚焦的作恶场景和攻击手段的发展趋势。
同时,通过对榜单上的工具进行深入分析,可以得出当前黑灰产工具的运行逻辑以及黑灰产所攻击的是哪些业务薄弱点、利用了哪些风控规则的漏洞。从攻击方的角度出发分析,不再一味的被动防守,做到在黑灰产暗箭离弦之前就竖起防御之盾。
本功能社区版及商业版用户可见。如果您是体验版用户,建议先申请升级到社区版,如有任何疑问,请联系我们400-809-3699。
# 2.7 黑灰产交易情报
威胁猎人通过对黑灰产交易和活动的主要渠道进行布控,并通过对蜜罐数据的持续运营,目前已经覆盖了包括暗网、发卡平台、黑灰产论坛、黑灰产Telegram群和QQ群在内的数万个情报源,每日可发现数十万个有效的黑灰产交易情报。
由于大多数黑灰产交易渠道都处于半封闭状态,很多专业的安全从业者也只能发现冰山一角,可谓管中窥豹。
举个例子:发卡平台不支持店铺导航和商品搜索,店铺链接为随机无规律字符串组成,即时知道发卡平台主域名也很难通过暴力枚举的手段将平台背后的店铺遍历出来。
正是基于这个痛点,我们决定在Karma业务情报平台上开放黑灰产交易情报的感知能力,并且支持对实时更新的商品内容进行搜索。用户可以输入与业务相关的关键词之后搜索查询在黑灰产产业链中存在的相关商品信息,并且可以切换筛选单个或者选择多个商品类型,如账号、接码、优惠券和刷量等,快速定位查询结果内容。
目前,我们对数百家发卡平台店铺的数万商品以及主要的中文暗网论坛发布的数据交易帖进行了数据清洗和标准化展示。我们过滤掉了重复、失效以及与企业业务无关(如黄赌毒)的交易数据,将当前活跃的交易情报毫无保留的实时展示给我们的客户。
.9e05dd7b.png)
本功能仅面向商业版用户开放。用户可以在这里一站式知悉最新出现的黑灰产商品内容、发布时间、价格甚至是数据原始地址。在后续更新计划中还将增加来自Telegram群、QQ群和线报论坛的交易情报,进一步提高对黑灰产交易的感知能力。
# 2.8 情报能力API
威胁猎人可以为用户提供“手机号画像API“与“IP画像API“服务,您可以通过400-809-3699联系我们或者通过对接您的销售专员进行申请开通,在您申请成功之后可以通过在情报能力API界面中“我的API“入口进入官网控制台查看功能详情。
.358ad508.png)
# 三. 客户案例
# 3.1 出行客户
1.某出行客户活动接口被滥用导致黑产恶意扫号: 扫号往往是黑产对业务发起攻击(虚假注册、撞库、盗号等)的第一个环节。为了应对黑产恶意扫号,有经验的甲方客户都会对注册、登录、找回密码等接口做严格限制,然而百密也有一疏。
【发现工具】 我们通过搜索该客户的业务域名,发现了一款针对该客户的扫号工具。
.986cb35f.png)
【找出缺陷】 通过分析从工具中提取出来的被攻击接口,发现该工具执行批量扫号时,并没有访问注册、登录、找回密码等接口,而是访问该客户的一个活动接口。这个活动接口会返回是否为新老用户,从而可以判断某个账号是否注册过,从而完全绕过了既有防线。
.f9fcd07b.png)
- 【反制手段】 客户直接对活动接口进行了调整,不再返回是否为新老用户。
- 【最终效果】 之后再未发现针对该客户的扫号工具。
# 3.2 视频客户
2.某长视频客户活动被刷榜: 某长视频App上线一部自制综艺选秀节目,并发起为idol打榜活动。
【发现工具】 活动上线后第三天,通过搜索该活动域名,Karma已发现数款攻击活动接口的工具。
.8edea3ed.png)
【找出缺陷】 威胁猎人安全团队分析发现,这几款工具的作弊原理都类似:通过破解投票接口协议达到自动刷票的目的。在样本分析报告中,我们提供了工具伪造参数,并建议客户基于这些伪造的硬编码参数(如device_id等)识别该工具发起的投票请求。
【反制手段】 客户利用工具伪造的参数,已经能识别出虚假请求。同时,我们进一步发现这些伪造的参数还会出现前后不一致的情况,我们建议客户可以直接“拍死”这些虚假流量。如下图,先访问一个接口,传入参数设备为华为;后面访问另外一个接口时,传入参数设备却变为了魅族。
.30094b5a.png)
【最终效果】 对活动期间产生的恶意流量进行清洗,已帮业务清洗掉近20%的虚假投票数据。
# 3.3 电商客户
某电商平台被虚假注: 某电商平台客户,新用户注册可领取大额优惠券,并有拉新红包奖励,黑灰产会通过接码平台批量注册该App的小号来获利。
【发现工具】 在Karma业务情报搜索引擎搜索"xxxx注册机"等关键词可以发现此类工具。
.b96253a6.png)
【找出缺陷】 通过Karma提供的工具截图,可以看出该类注册机工具大多内置了接码平台、代理IP及打码平台,可以自动换IP和对抗各类验证码,以绕过电商平台基础的风控策略。我们建议客户对这些工具内置的黑产资源提取出来做针对性测试,确认自己的风控手段/策略是否被绕过了。
【反制手段】 客户发现自己的IP风控策略可被“xx代理”绕过,该代理采用了秒拨技术,有很强的实效性,导致传统的IP黑名单失效。结合威胁猎人的IP画像产品,可以准确识别这些风险IP。
【最终效果】 客户通过注册机伪造的参数,结合威胁猎人IP画像和手机号画像产品,每月平均可以比之前多识别40%虚假注册量。