黑灰產研究報告系列又和大家見面了。在這篇新報告中，獵人君將帶大家了解群控及其進化史，揭秘攻擊效率提升背后的邏輯，并提供有效的應對措施。

一、“市面上最好用的群控”

2018年下半年的時候，出現(xiàn)了一家號稱“市面上最好用群控”的設備廠商，大肆地鼓吹和宣傳自己的產品，據說光占地面積就要比傳統(tǒng)群控節(jié)約95%。

好奇的獵人君買了一臺，并且“采訪”了一個大量采購的土豪“工作室”。在此之前他已經擁有了六萬臺移動設備、十萬余個微X賬號，大佬做流量生意，刷量啊、投票啊、引流啊，時機合適薅薅羊毛啊……

——“啊，死號率可以的，一到三成吧，抖X、微X都還行，拿facebooX做外貿基本都能保證效果?！?/p>

——“主要節(jié)約小工，我這兒每個人力2500一個月，提成按他出的量結算，我一塊他五毛這種（這里指像“賣茶葉的姑娘”那樣，通過偽裝人設和大量撒網加人，用誘導詐騙等方式促成購買消費）。原來一個人做一百控（一控即一部手機），負責管理設備、加的人聊天?，F(xiàn)在一個人能操作兩三個（相當于240~360臺手機）吧，分到聊天上的時間多，出的量也跟著漲，他高興我也高興……”

——“養(yǎng)號操作比原來快，其他操作他都打包了，不用好幾個軟件跳（偽裝設備指紋的軟件，掛代理IP的軟件等），確實節(jié)約時間?！?/p>

還真是，蠻量化的評價呢……

獵人君動手拆了自己的設備，打算一探究竟。這是一個箱型設備，需要連接網線和電源線，以下姑且簡稱它為箱控。

二、玩轉谷歌和蘋果開源項目的黑產

1. 群控是啥？

群控—— 一種通過操作多臺手機進行批量攻擊的方式。它可以說是黑產工作室的剛需了，在市場需求的催生下，群控類設備的供應商都非常擅長與利用各類技術對其進行升級優(yōu)化。

以下是某工作室的群控設備照片。

2. 箱控是啥？

下圖這次的主角——箱控的內部構造。將十二臺安卓手機主板通過電路集成方式集成至一塊大主板，進行統(tǒng)一供電和管理。

問：手機屏幕呢？

答：扔掉。

我們用Apple提供的Darwin Streaming Server 傳輸手機畫面到電腦上。（DSS是一款開源實時流媒體播放服務程序，是很多遠程教育、網絡監(jiān)控、視頻點播類系統(tǒng)的流媒體解決方案）

至于設備數(shù)量問題，它通過切割內存的方式，將每個手機主板切割為十個分身。最終達到，操作一臺箱控相當于操作一百二十個不同手機的觀感。原本需要一個大廳存儲的手機設備，現(xiàn)在只需要幾個貨架，大幅縮減了黑產的設備運營成本。

設備數(shù)量的問題解決了，如何批量操作呢？

企業(yè)大部分業(yè)務接口的關鍵參數(shù)都設置有特定算法，在無法對其破解進行直接攻擊的時候，黑產常常需要通過模擬點擊的方式偽裝正常用戶操作，達到攻擊目的。

常見的模擬點擊方案是通過識別顏色、文字、形狀來定位到需要點擊的坐標。這種方式經常需要進行容錯判斷，再一次通過識別顏色形狀等，來判斷自己是否點擊進入了目標頁面，每次識別要消耗時間，速度相對較慢。

箱控使用了appium——基于Google UiAutomator2的安卓自動化測試工具，通過文字、控件id、控件名稱等直接定位到APP的控件進行操作。

也就是說和上述方式相比，不用每次點擊后截圖，也不用根據圖片一個像素一個像素的判斷該點擊的位置，速度得到了提升，而很多企業(yè)自身產品的自動化測試就是采用appium完成的……

回想“群控”一路的進化變種，再結合近來的種種事件，獵人君發(fā)現(xiàn)了一些規(guī)律。

三、黑產進化，優(yōu)化攻擊效率和成本

當前互聯(lián)網黑灰產攻擊有兩個特點：

1. 六成攻擊場景以量取勝

隨著互聯(lián)網的發(fā)展，黑產形成了一些固定的攻擊模式和套路，有大量的攻擊場景依附于流量，通過偽裝成正常業(yè)務，再通過不斷重復獲利。

2. 重度依賴黑產基礎資源

在黑產市場，像設備這樣需求龐大而穩(wěn)定的“資源”還有很多：IP、身份證、銀行卡、支付賬號、改機工具、自動化攻擊軟件、過滑動驗證碼、隱秘變現(xiàn)渠道等。

也都逐漸形成了像接碼平臺一樣的“服務型黑產協(xié)作平臺”，這些平臺越來越多，組合成了一張龐大的黑灰產基礎資源網絡。黑產攻擊也嚴重依賴這些基礎資源。

下圖我們列舉了黑產需求及他們對應的解決方案：

由于攻防邏輯和上游服務資源均趨于固定，黑產目前已經從攻防邏輯迭代的時代，逐漸過渡到攻擊效率和成本的優(yōu)化迭代上。依舊以攻擊設備為例，我們來一探其變化過程。

黑產在設備上解決批量攻擊的方式有這么幾種：

1. 箱控?

優(yōu)化點：將通用類的攻擊工具打包配套提供服務，降低了攻擊的操作門檻。

黑產在群控類的設備與服務商，均表現(xiàn)出將秒撥IP、改機工具等一些通用類型的功能進行打包集合的趨勢（秒撥和改機工具之前的文章我們有詳細講過，點擊查看）。

將VPN功能和改機功能、虛擬定位功能內置，并且提供了云端備份能力，黑產可以將一套攻擊環(huán)境連同環(huán)境上登錄的賬號一并上傳備份，通過還原快照的方式切換環(huán)境，從而進行大量攻擊。

箱控也提供了內存管理等能力，更好的滿足了群控類設備的目標——降低運營成本，即可以用更少的人力操作更多的設備，攻擊的效率和頻次均得到了有效提升。

除了運營成本和攻擊效率以外，這種打包的方式也有效降低了黑產的操作和技術門檻。小白只需要保證配置正確即可，意味著黑產可以在對“技術要點”了解更少的情況下發(fā)起攻擊，防守方將面臨更多更雜的攻擊人員。

2. 租賃模式——“云手機”?

優(yōu)化點：租賃模式，自由“擴容”，降低了維護設備成本，且方便備份傳輸設備信息。

“云手機”是一種攻擊設備租用模式，操作者可以通過客戶端或瀏覽器直接對遠端的手機（或虛擬手機）進行操作，發(fā)起攻擊。

云手機與“群控”類設備的趨勢相同，越來越多的云手機將“一鍵新機”、虛擬定位和代理IP進行打包銷售。

這樣的打包服務價格4元/天，加上手機號接碼成本和網絡成本，幾十元到百元就可以拿到游戲的入場券。其成本遠遠低于傳統(tǒng)實體手機的攻擊方式。企業(yè)面臨攻擊人員更復雜廣闊的現(xiàn)實問題。

黑產熟手還可以在需要時，利用云手機對自己的攻擊設備群進行即時“擴容”，模式實在靈活。

原本受到盈利低于攻擊成本或是設備數(shù)量限制，而無法進行攻擊的場景，由于攻擊效率的提升和靈活的租用模式，現(xiàn)在均可進行攻擊。

真實環(huán)境中，大部分工作室基本都是固定攻擊某個行業(yè)的某些廠商，同時關注營銷活動，在合適的時機，利用設備的空閑剩余價值，“捎帶”一些副業(yè)進行盈利。

圖：某云手機操作頁面

3. 中控

優(yōu)化點：解決了傳統(tǒng)群控因數(shù)據線傳輸屏幕數(shù)據和指令數(shù)據造成的設備數(shù)量限制問題。

手機設備中安裝客戶端，用戶在PC端客戶端上統(tǒng)一管理手機并向其下發(fā)命令，由網絡傳輸后手機客戶端執(zhí)行模擬點擊完成攻擊。

4. 云控?優(yōu)化點：設備無需在同一地點，腳本命令存儲在云端，團伙間交易腳本時無需發(fā)送源碼，方便了腳本傳播和管理大量手機。

一個廣域網版本的“中控”，操作者通過任意瀏覽器對手機進行管理和下達命令。

5. 群控

優(yōu)化點：早期的批量操作設備解決方案，在腳本開發(fā)上限制較多，為避免卡頓，設備數(shù)量限制在百臺左右。

采用屏幕映射的方式將手機屏幕映射到電腦，通過集線器將手機與電腦通過數(shù)據線連接，從而傳出屏幕內容和操作指令。

四、如何應對

面對當今黑產這樣產業(yè)化、專業(yè)化、團伙化和鏈條化的運作模式，攻防對抗將是企業(yè)與黑產雙方不斷廝殺成長的一場持久戰(zhàn)，且敵暗我明，該如何應對？

通過反欺詐情報（事前預防，事后根據攻擊方法找到防護點）+欺詐數(shù)據標簽（定位攻擊流量）的綜合對抗。填補認知盲區(qū)，打平信息差，了解對方的目標、攻擊思路和策略。熟悉對方的作惡成本，了解對方發(fā)起攻擊所需要的資源、時間、金錢成本、渠道門檻、對接的上下游以及通過攻擊得到的營收等。

在業(yè)務側，綜合審視自己的目標，對比雙方資源、調整策略，定位到黑產的攻擊賬號、流量等，予以打擊防護。

黑產以量取勝，但也因為如此，批量就一定有跡可循。

黑產有龐大的上游基礎資源供應，但同時也非常依賴這些資源，這些是產業(yè)鏈的關鍵結點，也同時是我們識別、打擊和防護的有效結點。

下圖我們對黑產攻擊方式給出了企業(yè)風控可以做的相應的對抗點的建議：

反欺詐情報——業(yè)務安全攻防中的隱性力量

從全產業(yè)鏈上下游視角出發(fā)的布控和收集的情報，可以作為風控策略的解釋與支撐。同時，欺詐情報如黑產輿情和趨勢也能有效反饋企業(yè)風控策略的有效性，并幫助企業(yè)控制攻防成本。

反欺詐情報一般包括：黑產準備攻擊的借口、所涉及到的交易平臺、攻擊的目標接口、所利用的攻擊工具、所涉及到的相關資源（手機號、IP）等。通過這些節(jié)點的布控，可以有效在黑產資源準備時就及時發(fā)現(xiàn)風險，并了解黑產的攻擊路徑和邏輯，提前做好風控策略。

欺詐數(shù)據標簽——高效落地的判別方案

不管黑產的技術上、設備上如何迭代，他們發(fā)起攻擊時總繞不過一些基礎的欺詐資源的儲備，例如注冊用的手機號和訪問的IP。

據我們統(tǒng)計，全網每日黑產發(fā)起的惡意注冊攻擊達到800W次，每日活躍欺詐手機號150W以上，平均每個手機號每日進行6次攻擊。

如果從黑產角度對其使用的基礎資源進行監(jiān)控，識別出企業(yè)業(yè)務場景下的黑產欺詐資源，則可以針對這些黑灰產做惡的虛假賬號進行直接的攔截或降權。

從黑產基礎資源識別的風控方式，能夠一定程度上降低風控的誤判率并提高可解釋性。

作者：威脅獵人，公眾號：威脅獵人

本文由 @威脅獵人 原創(chuàng)發(fā)布于人人都是產品經理。未經許可，禁止轉載

題圖來自Unsplash, 基于CC0協(xié)議