二、自動化攻擊的技術手段和攻防對抗
黑產實現自動化攻擊�����,主要通過 2 種技術手段:協議破解/偽造���,以及模擬點擊/操控��。
前者需要先破解應用的接口協議��,存在一定的技術門檻,難度相對較大;而后者開發簡單����,可讀性強,上手門檻較低,對于黑產來說�,受眾也更廣�����。我們近期捕獲到的自動化攻擊工具里面,模擬點擊/操控類工具的占比也更高:
接下來我們對這兩類自動化攻擊技術做更詳細的介紹�����。
2.1 協議破解/偽造
協議破解/偽造指的是通過抓包+逆向分析等方式,獲取到客戶端跟服務端通信的請求接口以及參數,直接偽造接口協議和參數來完成自動化操作�����。
我們先以一款旅游類應用的自動發帖機為例��。通過分析����,我們可以看到這個發帖機會自動訪問該應用的很多后端接口:
由于破解了接口協議和參數��,所以在訪問接口之前�����,所有的參數都已經構造好了:
其中有一些參數的偽造成本并不高,甚至直接硬編碼在代碼里面�����。
有一些參數會根據一定的規則動態生成�,以滿足合法性校驗。以os_api和os_version這兩個參數為例,在代碼里面內置了一個os_version的數組:
構造參數時,會根據這個數組隨機選擇os_version的值,同時會根據os_version的值來適配os_api的值:
再比如device_type和device_brand這兩個參數,在代碼里面內置了一個很大的設備類型的數組:
構造參數時��,也是進行隨機選擇���。如果選擇了數組的第 1 個元素�����,那么生成的參數就是device_type=B7330 并且device_brand=SAMSUNG。
以上舉例的這些參數�����,偽造起來都比較簡單�����,但是還有一些參數的偽造�����,難度要大很多。特別是一些做了協議保護的應用,會存在專門用于校驗接口請求合法性的參數����,而且多個參數之間相互校驗�����,只要其中一個參數構造得有問題便無法通過校驗。
理論上來說����,黑產似乎因為對抗成本的提高而望而卻步��,但實際情況卻并非如此。
其次�����,存在一些破解網站�,其背后有專門的技術人員�����,也提供收費的算法破解服務:
另外�,雖然隨著移動端應用加固技術的發展(包括成熟的商業化產品和方案)�,核心算法的破解難度也越來越大,但由于攻防的不對等�,黑產可以繞過這道防線��,選擇從防御的薄弱點下手。而Web端應用就成為了這樣的一個突破口��。雖然Web前端的代碼可以做混淆做加密,但破解的難度相對要小很多�����。甚至可以不用破解����,直接把算法的關鍵代碼扣出來,通過腳本發動機進行調用和執行����,從而完成加密參數的構造:
對于廠商而言����,由于協議破解/偽造脫離了環境和設備的限制���,黑灰產可以用很低的成本完成批量化規?��;靼?��,因此危害也更加嚴重����。如何更加有效的防止或這類自動化攻擊�,除了加強核心算法的復雜度之外,也可以嘗試從情報入手���。前面提到偽造的接口協議中,其中有一些參數是硬編碼的��,基于這些硬編碼的參數�,可以做特征聚類和分析,并針對性的提取識別規則�。此外���,黑產在構造自動化攻擊的代碼時����,也不是天衣無縫�,往往會在一些地方留下破綻。其中一種比較典型的情況是訪問不同接口時�,存在構造的參數不一致的情況����。比如登錄請求傳入的設備類型的是iPhone:
但緊接著進行設備注冊時�,注冊的信息卻變成了操作系統是Android,設備廠商是華為:
通過這些情報信息�,可以不斷補充和完善對于協議破解/偽造類自動化攻擊的識別����。
2.2 模擬點擊/操控
模擬點擊/操控是指通過觸發鼠標/鍵盤/觸控等事件��,或者通過代碼注入等方式���,完成界面控件的輸入、點擊、移動等操作���。如果說協議破解/偽造的對抗是技術的硬碰硬,模擬點擊/操控則可以說是以巧致勝,而且由于上手門檻低���,也成為了當前黑灰產最為喜歡的自動化攻擊方式。接下來我們分別講解幾種比較常見的模擬點擊/操控類攻擊方式。
2.2.1 按鍵精靈
按鍵精靈是一款大家非常熟悉的老牌自動化腳本工具����,也是目前黑產使用最為普遍的通過模擬點擊實現自動化攻擊的工具�����。黑灰產從業人員通過編寫相關的邏輯腳本,便可通過模擬用戶操作去實現他們想要的功能,比如手機觸摸��、按鍵等操作;也可以先手動“錄制”一遍想要操作的功能�,這樣按鍵精靈會自動記錄操作行為序列和坐標軌跡,十分方便。
我們以某短視頻平臺的一款引流工具為例�,該工具是基于按鍵精靈(安卓版)腳本打包生成的一個apk文件�����,其主要功能是自動給平臺上的短視頻點贊���、評論�����,以及給用戶發私信,從而達到引流的效果,如下所示:
使用該工具時����,只要打開短視頻平臺某網紅主頁的粉絲列表界面����,便可自動按順序打開每個粉絲的主頁�,給視頻點贊���、評論以及給粉絲發私信����,并且該工具也支持自定義配置,比如是否關注粉絲���、自定義引流話術等。
2.2.2 Auto.js
如果說按鍵精靈是老牌精英�����,Auto.js則可以說是后起之秀�。
根據情報顯示,大約從 18 年底開始�,越來越多的黑灰產從業者使用Auto.js來開發自動化攻擊腳本��。Auto.js是一個基于JavaScript的安卓平臺自動化腳本框架,相比與按鍵精靈�����,Auto.js有以下一些優勢:
1)設備無需Root��,使用成本更低�����,而且可以躲避基于Root的風險設備環境檢測;
2)按鍵精靈基于識別圖片、顏色、坐標等實現模擬操作����,存在分辨率的兼容問題���,而Auto.js可以直接操作控件,自動適配各種安卓機型�,穩定性更高;
3)使用Auto.js開發打包生成的apk文件體積更小�����。
我們以某社交平臺的添加群成員好友的自動化腳本為例,首先判斷是否處于群聊天窗口:
在獲取到群成員QQ號后���,自動完成點擊“加好友”、填寫驗證信息�、發送請求:
Auto.js腳本開發者可以使用Visual Studio Code + Auto.js插件開發腳本���,電腦連接手機終端�,可直接控制裝有Auto.js客戶端的手機執行腳本�����,也可將腳本保存至手機終端����,編譯為APK����,運行APK執行操作。
2.2.3 瀏覽器內核
對于Web端應用來說����,黑灰產往往通過瀏覽器做自動化攻擊的載體����。
其中一種方式就是在工具中嵌入瀏覽器內核。以Chromium為例�����,Google為了方便給第三方應用提供可嵌入的瀏覽器支持�,做了一個開源項目:CEF��,全稱Chromium Embedded Framework�。
CEF隔離底層Chromium和Blink的復雜代碼��,并提供一套產品級穩定的API���,發布跟蹤具體Chromium版本的分支����,以及二進制包��。CEF的大部分特性都提供了豐富的默認實現��,讓使用者做盡量少的定制即可滿足需求。CEF的應用場景之一就是用于自動化Web測試,這也給黑灰產打開了便利之門�����,將之用于自動化攻擊�。
我們以某智能爬蟲采集器為例,該軟件內置了 Chromium瀏覽器�����,通過直接操控頁面控件來完成自動化操作���。該爬蟲采集器使用方式非常簡單���,只需在軟件界面輸入目標網站���,就可以根據需求爬取目標網站的數據�����,界面如下:
利用該工具,爬取某旅游網站數據如下:
2.2. 4 自動化Web測試
為了方便自動化Web測試,主流的瀏覽器自身也展現出了足夠的開放性�����,比如大家都比較熟悉的自動化測試工具Selenium/WebDriver�,就是基于瀏覽器的一些開放特性,完成了對Web頁面的自動化操控�����,而黑灰產利用Selenium/WebDriver來完成自動化攻擊也非常常見���。對于廠商而言���,也往往會在Web端代碼里面嵌入一段JavaScript腳本����,來檢測這類自動化測試工具:
除了以上這些,還有一種自動化Web測試的手段:Chrome遠程調試,也被黑灰產用于自動化攻擊�。我們以某社區軟件的賬號注冊機為例���,該工具會通過遠程調式的方式打開Chrome瀏覽器:
然后通過WebSocket通信對瀏覽器進行控制��。包括:
執行
document.querySelector('[name=username]').select()獲得手機號輸入框的焦點;
發送
Input.dispatchKeyEvent消息,自動填寫從接碼平臺獲取到的手機號;
執行
document.querySelector(‘button.Button.CountingDownButton.SignFlow-smsInputButton.Button--plain’).click()點擊“獲取短信驗證碼”按鈕;
執行
document.querySelector('[name=digits]').select()獲得驗證碼輸入框的焦點,自動填寫驗證碼����,并執行
document.querySelector(‘button.Button.SignFlow-submitButton.Button--primary.Button--blue’).click()點擊“注冊/登陸”按鈕����。
移動端的模擬點擊/操控類攻擊�,需要在設備上運行被攻擊的移動端應用。
而且如果要實現批量化規?����;?��,需要有大量的設備資源(群控����、云控、箱控����,或者通過模擬器/改機工具偽造設備資源)�����,因此對于廠商來說,可以從設備環境層面進行風險檢測。無論是使用按鍵精靈�、Auto.js�����、改機工具、GPS偽造等工具����,還是模擬器��、群控等設備環境,可從設備指紋數據中找到蛛絲馬跡����,設備指紋除了用作唯一性標識之外���,還應該對基本的應用多開、改機環境/環境偽造���、Hook行為、Root/越獄��、代理/VPN等風險場景有識別能力����。如果具備較強的情報能力,可以盡可能多的收集自動化攻擊腳本程序�����,并在應用啟動的時候檢測安裝列表(Applist)中是否存在這類程序����。
另一方面,模擬點擊/操控類攻擊雖然會模仿正常用戶的操作行為���,但與用戶實際的行為特征還是會存在差異,可以從 行為層面做檢測����。
比如針對某電商平臺刷店鋪訪問量的工具����,每一次刷量行為一定會包含“打開首頁”����、“搜索目標店鋪的商品關鍵詞”、“先進入兩家同類商品的店鋪瀏覽商品”(模仿正常用戶貨比三家的習慣)�、“在進入目標店鋪瀏覽商品完成刷量”���,并且在每個頁面的停留時間也在固定的���。
從業務數據中提取用戶關鍵行為做特征進行聚類分析,可以有效識別程序化的模擬操作���。
再比如上述的某智能爬蟲采集器�����,雖然會產生看似正常的頁面瀏覽行為,但是沒有正常的鼠標點擊���、鍵盤輸入或屏幕觸控等操作,也屬于高度可疑的行為��。
當然���,設備層面和行為層面的數據往往是互補的��。為保證高準確性和識別率����,風險行為的判定要結合多個維度綜合判斷�����。
總 結
從技術上實現攻擊流程的高度自動化���,是黑灰產提高運營效率����,降低運營成本的必然道路���。
穩定的�����、成熟的自動化測試工具和技術被黑產濫用,又極大的提高了黑產的開發和攻擊效率�。這對于廠商的業務安全防護策略來講�����,無疑將不斷面臨更大的挑戰。慶幸的是人機識別的對抗是一個持續升級和演進的過程,不管是對于業務方來講�����,還是對于黑灰產來講�,都沒有絕對的銀彈。
業務方除了在風控規則模型上下功夫外,還可以在設備上進行風險檢測:
1) 對業務運行的設備環境進行檢測���。黑灰產無論是在設備信息欺騙上,運行自動化腳本工具�����,都需要使用一些特殊的運行環境�。這些環境通過分析一般都能找到一些通用的檢測點。比如改機工具�����,可以對Hook框架進行檢測����,模擬點擊可以檢測系統參數。這些都可以作為可疑設備特征進行加權打分�����。
2) 對業務上的用戶行為識別���。黑產自動化通常會用到的協議模擬技術和模擬按鍵技術����,這都跟自然人的操作路徑會有巨大的差距�����。比如當用戶登錄時�,賬號密碼的輸入不會是瞬間完成的,又或者每次按鈕的點擊��,也不會在相同位置�����。這些都可以作為檢測特征�,當我們對用戶操作行為進行識別�����,這大大增加了黑灰產的對抗成本�����。
在未來的人機對抗中,企業將會面臨越來越多的自動化攻擊����。
企業在業務安全的縱深防御上��,除了基礎風控的建設之外,還需要在設備上進行防護����,從而才能提高黑產的攻擊成本,提升防護效果��。
