四、典型的黑灰产工具软件分析

过去半年我们对黑灰产工具软件做了大量的研究和分析，包括对其中一些工具软件做了深入的功能验证、动态调试和原理分析。我们选取几款比较典型的工具软件，进一步揭露其功能和原理。

4.1.B站手机注册机 3.0

这是6月份捕获的一款针对B站的注册类工具软件，采用C++语言编写。通过使用接码平台手机号接收手机验证码，同时内置深度学习框架Caffe识别图像验证码，完成帐号批量注册。 程序运行界面如下图：

图4-1-1 B站手机注册机运行界面

程序会登录接码平台：

链接

接收短信验证码，接着调用B站注册接口：

链接

以及验证码下发接口:

链接

提取到验证码，如下图：

之后该工具会使用内置的深度学习框架Caffe 识别图片验证码。识别验证码的过程会读取本地内置深度学习框架Caffe框架所需要的3个文件：deploy.prototxt，res_lstm_ctc_iter.caffemodel，label-map.txt。其中deploy.prototxt部分代码如下：

图4-1-2 deploy.prototxt代码截图

图像验证码识别成功后，完成帐号注册。

该工具的亮点我们以往看到的工具不一样的地方的是用到了深度学习的图像识别能力，并且这个图像识别的准确率达到了99%以上，平均完成一个账号的注册时间大约在10秒内。以往这一类的注册工具绝大多数会接一个打码平台或者内置一个针对目标网站的一个验证码识别库，无论是从识别准确率还是注册效率远比利用深度学习图像识别的低很多。

图4-1-3 深度学习运用于验证码识别

4.2.陌陌抢红包工具

这是7月份捕获的一款针对陌陌的抢红包类工具软件，基于按键精灵安卓版实现。通过自定义录制对手机屏幕的操作及重复次数等信息，按照一定模式进行对手机进行模拟操作从而实现抢红包等功能。工具运行如下图所示：

图4-2-1 陌陌抢红包工具运行界面

黑灰产人员只需要在按键精灵安卓版上编写相关的逻辑脚本，即可实现模拟用户操作的动作去实现他们想要的功能，按键精灵安卓版运行界面如下图所示：

图4-2-2 按键精灵安卓版运行界面

用户在点“录制”之后，就可以先手动操作一遍想要操作的功能，之后该软件会记录下用户操作的坐标轨迹，如下图所示：

图4-2-3 按键精灵安卓版运行界面

我们在分析的时候发现，该抢红包工具内置了工具需要的一些资源，包括识别出现红包时的图像，如下图所示：

图4-2-4 陌陌抢红包工具内置的图片资源

软件在后台运行，通过查找整个手机屏幕上满足上述截图图像所在的坐标，然后再模拟用户去点击操作，从而达到抢红包的目的。

4.3. 58全职VIP发帖软件

这是8月份捕获的一款针对58同城的自动发帖类工具软件，该工具的原理是通过破解58发帖相关接口来实现。在调用相关接口的时候，软件会把接口所需要的参数拼接一起然后再向服务器请求。在该软件中实现调用的接口包括：登陆、发帖、获取展示中的帖子、未展示帖子、已删除帖子、审核帖子、获取未读简历等。我们以发帖这一功能来说明该软件的工作原理，其他接口调用类似。该工具软件运行的界面如下图所示：

图4-3-1 58全职VIP发帖软件运行界面

界面上会有很多发帖的相关设置，这些设置是黑灰产人员在分析58发帖的接口之后提取出来的，用户需要操作的一些变量值（包含发帖的省份、城市、街道、帖子标题、帖子职位等接口所需要的一些参数）。如下所示为我们构造的VIP用户发招聘帖捕获到的接口信息：

图4-3-2 捕获到的接口信息

以下为接口需要POST的内容（由于该数据经过UrlEncode方式编码，为了方便阅读，展示的是编码前的明文数据）：

图4-3-3 POST的数据内容（编码前）

我们可以看出，上述大部分的内容为用户填写的信息，只要按照发帖的接口格式构造一样的形式数据就可以成功发出帖子，我们可以从这个接口所需要的相关参数看到，58VIP发帖的接口需要的参数非常多，这就要求黑灰产人员具备较强能力的协议接口分析能力，能够分析出哪些是必须的参数，哪些是可有可无的参数，以及哪些是风控系统必须检测的参数，和参数的值是否加密。如果加密，则需要黑灰产人员破解加密算法之后，再计算出新的参数值以此绕过风控系统的检测。除了上述的发帖接口，其他接口调用的形式和上述大同小异。

五、结束语

黑灰产工具软件是网络黑灰产业发展的必然产物，黑灰产业会随着互联网的发展而发展，黑灰产工具软件也会随着黑灰产业的发展而发展。基于此，我们抛出以下观点，希望能引起行业共鸣，并与大家一起探讨和思考。

1、从黑产视角出发，建设黑灰产工具软件的全面监控和快速响应能力。通过对黑灰产业的长期跟进，我们对于黑灰产工具的传播链条和路径有了比较深入的理解和认知，可以第一时间捕获到网络中活跃的黑灰产工具，并第一时间分析其危害和原理。我们希望通过合作的方式，帮助更多的厂商建立这方面的能力。

2、建立黑灰产工具软件指纹库，增强风险设备识别能力。传统的设备指纹方案由于存在激烈的对抗，识别风险设备的效果并不理想；另一方面，风险设备往往会安装各种各样的黑灰产工具软件，通过提取这些黑灰产工具软件的特征作为指纹，可以有效的识别出风险设备。

3、建立行业的黑灰工具软件情报共享，最大化情报价值。根据我们的观察，工具软件的作者、传播渠道、以及使用者存在交集。以电商抢购为例，我们在跟进针对淘宝的抢购工具时，发现该工具的使用者，很多也会同时使用京东，苏宁，唯品会，华为等商城的抢购工具，从而达到利益的最大化。也就是我们第2点提到的黑灰产工具软件指纹库，其实是可以行业共享的，而我们也一直致力于解决黑灰产情报，包括工具软件情报的数据孤岛问题。

写在最后：

如果说黑灰产代表着黑夜，我们只有在黑夜中不断的探索和前行，才有可能迎来光明，与诸位共勉。