二、自動化攻擊的技術(shù)手段和攻防對抗
黑產(chǎn)實現(xiàn)自動化攻擊,主要通過 2 種技術(shù)手段:協(xié)議破解/偽造,以及模擬點擊/操控。
前者需要先破解應(yīng)用的接口協(xié)議,存在一定的技術(shù)門檻,難度相對較大;而后者開發(fā)簡單,可讀性強,上手門檻較低,對于黑產(chǎn)來說,受眾也更廣。我們近期捕獲到的自動化攻擊工具里面,模擬點擊/操控類工具的占比也更高:
接下來我們對這兩類自動化攻擊技術(shù)做更詳細的介紹。
2.1 協(xié)議破解/偽造
協(xié)議破解/偽造指的是通過抓包+逆向分析等方式,獲取到客戶端跟服務(wù)端通信的請求接口以及參數(shù),直接偽造接口協(xié)議和參數(shù)來完成自動化操作。
我們先以一款旅游類應(yīng)用的自動發(fā)帖機為例。通過分析,我們可以看到這個發(fā)帖機會自動訪問該應(yīng)用的很多后端接口:
由于破解了接口協(xié)議和參數(shù),所以在訪問接口之前,所有的參數(shù)都已經(jīng)構(gòu)造好了:
其中有一些參數(shù)的偽造成本并不高,甚至直接硬編碼在代碼里面。
有一些參數(shù)會根據(jù)一定的規(guī)則動態(tài)生成,以滿足合法性校驗。以os_api和os_version這兩個參數(shù)為例,在代碼里面內(nèi)置了一個os_version的數(shù)組:
構(gòu)造參數(shù)時,會根據(jù)這個數(shù)組隨機選擇os_version的值,同時會根據(jù)os_version的值來適配os_api的值:
再比如device_type和device_brand這兩個參數(shù),在代碼里面內(nèi)置了一個很大的設(shè)備類型的數(shù)組:
構(gòu)造參數(shù)時,也是進行隨機選擇。如果選擇了數(shù)組的第 1 個元素,那么生成的參數(shù)就是device_type=B7330 并且device_brand=SAMSUNG。
以上舉例的這些參數(shù),偽造起來都比較簡單,但是還有一些參數(shù)的偽造,難度要大很多。特別是一些做了協(xié)議保護的應(yīng)用,會存在專門用于校驗接口請求合法性的參數(shù),而且多個參數(shù)之間相互校驗,只要其中一個參數(shù)構(gòu)造得有問題便無法通過校驗。
理論上來說,黑產(chǎn)似乎因為對抗成本的提高而望而卻步,但實際情況卻并非如此。
其次,存在一些破解網(wǎng)站,其背后有專門的技術(shù)人員,也提供收費的算法破解服務(wù):
另外,雖然隨著移動端應(yīng)用加固技術(shù)的發(fā)展(包括成熟的商業(yè)化產(chǎn)品和方案),核心算法的破解難度也越來越大,但由于攻防的不對等,黑產(chǎn)可以繞過這道防線,選擇從防御的薄弱點下手。而Web端應(yīng)用就成為了這樣的一個突破口。雖然Web前端的代碼可以做混淆做加密,但破解的難度相對要小很多。甚至可以不用破解,直接把算法的關(guān)鍵代碼扣出來,通過腳本發(fā)動機進行調(diào)用和執(zhí)行,從而完成加密參數(shù)的構(gòu)造:
對于廠商而言,由于協(xié)議破解/偽造脫離了環(huán)境和設(shè)備的限制,黑灰產(chǎn)可以用很低的成本完成批量化規(guī)模化作案,因此危害也更加嚴重。如何更加有效的防止或這類自動化攻擊,除了加強核心算法的復(fù)雜度之外,也可以嘗試從情報入手。前面提到偽造的接口協(xié)議中,其中有一些參數(shù)是硬編碼的,基于這些硬編碼的參數(shù),可以做特征聚類和分析,并針對性的提取識別規(guī)則。此外,黑產(chǎn)在構(gòu)造自動化攻擊的代碼時,也不是天衣無縫,往往會在一些地方留下破綻。其中一種比較典型的情況是訪問不同接口時,存在構(gòu)造的參數(shù)不一致的情況。比如登錄請求傳入的設(shè)備類型的是iPhone:
但緊接著進行設(shè)備注冊時,注冊的信息卻變成了操作系統(tǒng)是Android,設(shè)備廠商是華為:
通過這些情報信息,可以不斷補充和完善對于協(xié)議破解/偽造類自動化攻擊的識別。
2.2 模擬點擊/操控
模擬點擊/操控是指通過觸發(fā)鼠標/鍵盤/觸控等事件,或者通過代碼注入等方式,完成界面控件的輸入、點擊、移動等操作。如果說協(xié)議破解/偽造的對抗是技術(shù)的硬碰硬,模擬點擊/操控則可以說是以巧致勝,而且由于上手門檻低,也成為了當前黑灰產(chǎn)最為喜歡的自動化攻擊方式。接下來我們分別講解幾種比較常見的模擬點擊/操控類攻擊方式。
2.2.1 按鍵精靈
按鍵精靈是一款大家非常熟悉的老牌自動化腳本工具,也是目前黑產(chǎn)使用最為普遍的通過模擬點擊實現(xiàn)自動化攻擊的工具。黑灰產(chǎn)從業(yè)人員通過編寫相關(guān)的邏輯腳本,便可通過模擬用戶操作去實現(xiàn)他們想要的功能,比如手機觸摸、按鍵等操作;也可以先手動“錄制”一遍想要操作的功能,這樣按鍵精靈會自動記錄操作行為序列和坐標軌跡,十分方便。
我們以某短視頻平臺的一款引流工具為例,該工具是基于按鍵精靈(安卓版)腳本打包生成的一個apk文件,其主要功能是自動給平臺上的短視頻點贊、評論,以及給用戶發(fā)私信,從而達到引流的效果,如下所示:
使用該工具時,只要打開短視頻平臺某網(wǎng)紅主頁的粉絲列表界面,便可自動按順序打開每個粉絲的主頁,給視頻點贊、評論以及給粉絲發(fā)私信,并且該工具也支持自定義配置,比如是否關(guān)注粉絲、自定義引流話術(shù)等。
2.2.2 Auto.js
如果說按鍵精靈是老牌精英,Auto.js則可以說是后起之秀。
根據(jù)情報顯示,大約從 18 年底開始,越來越多的黑灰產(chǎn)從業(yè)者使用Auto.js來開發(fā)自動化攻擊腳本。Auto.js是一個基于JavaScript的安卓平臺自動化腳本框架,相比與按鍵精靈,Auto.js有以下一些優(yōu)勢:
1)設(shè)備無需Root,使用成本更低,而且可以躲避基于Root的風險設(shè)備環(huán)境檢測;
2)按鍵精靈基于識別圖片、顏色、坐標等實現(xiàn)模擬操作,存在分辨率的兼容問題,而Auto.js可以直接操作控件,自動適配各種安卓機型,穩(wěn)定性更高;
3)使用Auto.js開發(fā)打包生成的apk文件體積更小。
我們以某社交平臺的添加群成員好友的自動化腳本為例,首先判斷是否處于群聊天窗口:
在獲取到群成員QQ號后,自動完成點擊“加好友”、填寫驗證信息、發(fā)送請求:
Auto.js腳本開發(fā)者可以使用Visual Studio Code + Auto.js插件開發(fā)腳本,電腦連接手機終端,可直接控制裝有Auto.js客戶端的手機執(zhí)行腳本,也可將腳本保存至手機終端,編譯為APK,運行APK執(zhí)行操作。
2.2.3 瀏覽器內(nèi)核
對于Web端應(yīng)用來說,黑灰產(chǎn)往往通過瀏覽器做自動化攻擊的載體。
其中一種方式就是在工具中嵌入瀏覽器內(nèi)核。以Chromium為例,Google為了方便給第三方應(yīng)用提供可嵌入的瀏覽器支持,做了一個開源項目:CEF,全稱Chromium Embedded Framework。
CEF隔離底層Chromium和Blink的復(fù)雜代碼,并提供一套產(chǎn)品級穩(wěn)定的API,發(fā)布跟蹤具體Chromium版本的分支,以及二進制包。CEF的大部分特性都提供了豐富的默認實現(xiàn),讓使用者做盡量少的定制即可滿足需求。CEF的應(yīng)用場景之一就是用于自動化Web測試,這也給黑灰產(chǎn)打開了便利之門,將之用于自動化攻擊。
我們以某智能爬蟲采集器為例,該軟件內(nèi)置了 Chromium瀏覽器,通過直接操控頁面控件來完成自動化操作。該爬蟲采集器使用方式非常簡單,只需在軟件界面輸入目標網(wǎng)站,就可以根據(jù)需求爬取目標網(wǎng)站的數(shù)據(jù),界面如下:
利用該工具,爬取某旅游網(wǎng)站數(shù)據(jù)如下:
2.2. 4 自動化Web測試
為了方便自動化Web測試,主流的瀏覽器自身也展現(xiàn)出了足夠的開放性,比如大家都比較熟悉的自動化測試工具Selenium/WebDriver,就是基于瀏覽器的一些開放特性,完成了對Web頁面的自動化操控,而黑灰產(chǎn)利用Selenium/WebDriver來完成自動化攻擊也非常常見。對于廠商而言,也往往會在Web端代碼里面嵌入一段JavaScript腳本,來檢測這類自動化測試工具:
除了以上這些,還有一種自動化Web測試的手段:Chrome遠程調(diào)試,也被黑灰產(chǎn)用于自動化攻擊。我們以某社區(qū)軟件的賬號注冊機為例,該工具會通過遠程調(diào)式的方式打開Chrome瀏覽器:
然后通過WebSocket通信對瀏覽器進行控制。包括:
執(zhí)行
document.querySelector('[name=username]').select()獲得手機號輸入框的焦點;
發(fā)送
Input.dispatchKeyEvent消息,自動填寫從接碼平臺獲取到的手機號;
執(zhí)行
document.querySelector(‘button.Button.CountingDownButton.SignFlow-smsInputButton.Button--plain’).click()點擊“獲取短信驗證碼”按鈕;
執(zhí)行
document.querySelector('[name=digits]').select()獲得驗證碼輸入框的焦點,自動填寫驗證碼,并執(zhí)行
document.querySelector(‘button.Button.SignFlow-submitButton.Button--primary.Button--blue’).click()點擊“注冊/登陸”按鈕。
移動端的模擬點擊/操控類攻擊,需要在設(shè)備上運行被攻擊的移動端應(yīng)用。
而且如果要實現(xiàn)批量化規(guī)模化攻擊,需要有大量的設(shè)備資源(群控、云控、箱控,或者通過模擬器/改機工具偽造設(shè)備資源),因此對于廠商來說,可以從設(shè)備環(huán)境層面進行風險檢測。無論是使用按鍵精靈、Auto.js、改機工具、GPS偽造等工具,還是模擬器、群控等設(shè)備環(huán)境,可從設(shè)備指紋數(shù)據(jù)中找到蛛絲馬跡,設(shè)備指紋除了用作唯一性標識之外,還應(yīng)該對基本的應(yīng)用多開、改機環(huán)境/環(huán)境偽造、Hook行為、Root/越獄、代理/VPN等風險場景有識別能力。如果具備較強的情報能力,可以盡可能多的收集自動化攻擊腳本程序,并在應(yīng)用啟動的時候檢測安裝列表(Applist)中是否存在這類程序。
另一方面,模擬點擊/操控類攻擊雖然會模仿正常用戶的操作行為,但與用戶實際的行為特征還是會存在差異,可以從 行為層面做檢測。
比如針對某電商平臺刷店鋪訪問量的工具,每一次刷量行為一定會包含“打開首頁”、“搜索目標店鋪的商品關(guān)鍵詞”、“先進入兩家同類商品的店鋪瀏覽商品”(模仿正常用戶貨比三家的習慣)、“在進入目標店鋪瀏覽商品完成刷量”,并且在每個頁面的停留時間也在固定的。
從業(yè)務(wù)數(shù)據(jù)中提取用戶關(guān)鍵行為做特征進行聚類分析,可以有效識別程序化的模擬操作。
再比如上述的某智能爬蟲采集器,雖然會產(chǎn)生看似正常的頁面瀏覽行為,但是沒有正常的鼠標點擊、鍵盤輸入或屏幕觸控等操作,也屬于高度可疑的行為。
當然,設(shè)備層面和行為層面的數(shù)據(jù)往往是互補的。為保證高準確性和識別率,風險行為的判定要結(jié)合多個維度綜合判斷。
總 結(jié)
從技術(shù)上實現(xiàn)攻擊流程的高度自動化,是黑灰產(chǎn)提高運營效率,降低運營成本的必然道路。
穩(wěn)定的、成熟的自動化測試工具和技術(shù)被黑產(chǎn)濫用,又極大的提高了黑產(chǎn)的開發(fā)和攻擊效率。這對于廠商的業(yè)務(wù)安全防護策略來講,無疑將不斷面臨更大的挑戰(zhàn)。慶幸的是人機識別的對抗是一個持續(xù)升級和演進的過程,不管是對于業(yè)務(wù)方來講,還是對于黑灰產(chǎn)來講,都沒有絕對的銀彈。
業(yè)務(wù)方除了在風控規(guī)則模型上下功夫外,還可以在設(shè)備上進行風險檢測:
1) 對業(yè)務(wù)運行的設(shè)備環(huán)境進行檢測。黑灰產(chǎn)無論是在設(shè)備信息欺騙上,運行自動化腳本工具,都需要使用一些特殊的運行環(huán)境。這些環(huán)境通過分析一般都能找到一些通用的檢測點。比如改機工具,可以對Hook框架進行檢測,模擬點擊可以檢測系統(tǒng)參數(shù)。這些都可以作為可疑設(shè)備特征進行加權(quán)打分。
2) 對業(yè)務(wù)上的用戶行為識別。黑產(chǎn)自動化通常會用到的協(xié)議模擬技術(shù)和模擬按鍵技術(shù),這都跟自然人的操作路徑會有巨大的差距。比如當用戶登錄時,賬號密碼的輸入不會是瞬間完成的,又或者每次按鈕的點擊,也不會在相同位置。這些都可以作為檢測特征,當我們對用戶操作行為進行識別,這大大增加了黑灰產(chǎn)的對抗成本。
在未來的人機對抗中,企業(yè)將會面臨越來越多的自動化攻擊。
企業(yè)在業(yè)務(wù)安全的縱深防御上,除了基礎(chǔ)風控的建設(shè)之外,還需要在設(shè)備上進行防護,從而才能提高黑產(chǎn)的攻擊成本,提升防護效果。
二、自動化攻擊的技術(shù)手段和攻防對抗
黑產(chǎn)實現(xiàn)自動化攻擊,主要通過 2 種技術(shù)手段:協(xié)議破解/偽造,以及模擬點擊/操控。
前者需要先破解應(yīng)用的接口協(xié)議,存在一定的技術(shù)門檻,難度相對較大;而后者開發(fā)簡單,可讀性強,上手門檻較低,對于黑產(chǎn)來說,受眾也更廣。我們近期捕獲到的自動化攻擊工具里面,模擬點擊/操控類工具的占比也更高:
接下來我們對這兩類自動化攻擊技術(shù)做更詳細的介紹。
2.1 協(xié)議破解/偽造
協(xié)議破解/偽造指的是通過抓包+逆向分析等方式,獲取到客戶端跟服務(wù)端通信的請求接口以及參數(shù),直接偽造接口協(xié)議和參數(shù)來完成自動化操作。
我們先以一款旅游類應(yīng)用的自動發(fā)帖機為例。通過分析,我們可以看到這個發(fā)帖機會自動訪問該應(yīng)用的很多后端接口:
由于破解了接口協(xié)議和參數(shù),所以在訪問接口之前,所有的參數(shù)都已經(jīng)構(gòu)造好了:
其中有一些參數(shù)的偽造成本并不高,甚至直接硬編碼在代碼里面。
有一些參數(shù)會根據(jù)一定的規(guī)則動態(tài)生成,以滿足合法性校驗。以os_api和os_version這兩個參數(shù)為例,在代碼里面內(nèi)置了一個os_version的數(shù)組:
構(gòu)造參數(shù)時,會根據(jù)這個數(shù)組隨機選擇os_version的值,同時會根據(jù)os_version的值來適配os_api的值:
再比如device_type和device_brand這兩個參數(shù),在代碼里面內(nèi)置了一個很大的設(shè)備類型的數(shù)組:
構(gòu)造參數(shù)時,也是進行隨機選擇。如果選擇了數(shù)組的第 1 個元素,那么生成的參數(shù)就是device_type=B7330 并且device_brand=SAMSUNG。
以上舉例的這些參數(shù),偽造起來都比較簡單,但是還有一些參數(shù)的偽造,難度要大很多。特別是一些做了協(xié)議保護的應(yīng)用,會存在專門用于校驗接口請求合法性的參數(shù),而且多個參數(shù)之間相互校驗,只要其中一個參數(shù)構(gòu)造得有問題便無法通過校驗。
理論上來說,黑產(chǎn)似乎因為對抗成本的提高而望而卻步,但實際情況卻并非如此。
其次,存在一些破解網(wǎng)站,其背后有專門的技術(shù)人員,也提供收費的算法破解服務(wù):
另外,雖然隨著移動端應(yīng)用加固技術(shù)的發(fā)展(包括成熟的商業(yè)化產(chǎn)品和方案),核心算法的破解難度也越來越大,但由于攻防的不對等,黑產(chǎn)可以繞過這道防線,選擇從防御的薄弱點下手。而Web端應(yīng)用就成為了這樣的一個突破口。雖然Web前端的代碼可以做混淆做加密,但破解的難度相對要小很多。甚至可以不用破解,直接把算法的關(guān)鍵代碼扣出來,通過腳本發(fā)動機進行調(diào)用和執(zhí)行,從而完成加密參數(shù)的構(gòu)造:
對于廠商而言,由于協(xié)議破解/偽造脫離了環(huán)境和設(shè)備的限制,黑灰產(chǎn)可以用很低的成本完成批量化規(guī)模化作案,因此危害也更加嚴重。如何更加有效的防止或這類自動化攻擊,除了加強核心算法的復(fù)雜度之外,也可以嘗試從情報入手。前面提到偽造的接口協(xié)議中,其中有一些參數(shù)是硬編碼的,基于這些硬編碼的參數(shù),可以做特征聚類和分析,并針對性的提取識別規(guī)則。此外,黑產(chǎn)在構(gòu)造自動化攻擊的代碼時,也不是天衣無縫,往往會在一些地方留下破綻。其中一種比較典型的情況是訪問不同接口時,存在構(gòu)造的參數(shù)不一致的情況。比如登錄請求傳入的設(shè)備類型的是iPhone:
但緊接著進行設(shè)備注冊時,注冊的信息卻變成了操作系統(tǒng)是Android,設(shè)備廠商是華為:
通過這些情報信息,可以不斷補充和完善對于協(xié)議破解/偽造類自動化攻擊的識別。
2.2 模擬點擊/操控
模擬點擊/操控是指通過觸發(fā)鼠標/鍵盤/觸控等事件,或者通過代碼注入等方式,完成界面控件的輸入、點擊、移動等操作。如果說協(xié)議破解/偽造的對抗是技術(shù)的硬碰硬,模擬點擊/操控則可以說是以巧致勝,而且由于上手門檻低,也成為了當前黑灰產(chǎn)最為喜歡的自動化攻擊方式。接下來我們分別講解幾種比較常見的模擬點擊/操控類攻擊方式。
2.2.1 按鍵精靈
按鍵精靈是一款大家非常熟悉的老牌自動化腳本工具,也是目前黑產(chǎn)使用最為普遍的通過模擬點擊實現(xiàn)自動化攻擊的工具。黑灰產(chǎn)從業(yè)人員通過編寫相關(guān)的邏輯腳本,便可通過模擬用戶操作去實現(xiàn)他們想要的功能,比如手機觸摸、按鍵等操作;也可以先手動“錄制”一遍想要操作的功能,這樣按鍵精靈會自動記錄操作行為序列和坐標軌跡,十分方便。
我們以某短視頻平臺的一款引流工具為例,該工具是基于按鍵精靈(安卓版)腳本打包生成的一個apk文件,其主要功能是自動給平臺上的短視頻點贊、評論,以及給用戶發(fā)私信,從而達到引流的效果,如下所示:
使用該工具時,只要打開短視頻平臺某網(wǎng)紅主頁的粉絲列表界面,便可自動按順序打開每個粉絲的主頁,給視頻點贊、評論以及給粉絲發(fā)私信,并且該工具也支持自定義配置,比如是否關(guān)注粉絲、自定義引流話術(shù)等。
2.2.2 Auto.js
如果說按鍵精靈是老牌精英,Auto.js則可以說是后起之秀。
根據(jù)情報顯示,大約從 18 年底開始,越來越多的黑灰產(chǎn)從業(yè)者使用Auto.js來開發(fā)自動化攻擊腳本。Auto.js是一個基于JavaScript的安卓平臺自動化腳本框架,相比與按鍵精靈,Auto.js有以下一些優(yōu)勢:
1)設(shè)備無需Root,使用成本更低,而且可以躲避基于Root的風險設(shè)備環(huán)境檢測;
2)按鍵精靈基于識別圖片、顏色、坐標等實現(xiàn)模擬操作,存在分辨率的兼容問題,而Auto.js可以直接操作控件,自動適配各種安卓機型,穩(wěn)定性更高;
3)使用Auto.js開發(fā)打包生成的apk文件體積更小。
我們以某社交平臺的添加群成員好友的自動化腳本為例,首先判斷是否處于群聊天窗口:
在獲取到群成員QQ號后,自動完成點擊“加好友”、填寫驗證信息、發(fā)送請求:
Auto.js腳本開發(fā)者可以使用Visual Studio Code + Auto.js插件開發(fā)腳本,電腦連接手機終端,可直接控制裝有Auto.js客戶端的手機執(zhí)行腳本,也可將腳本保存至手機終端,編譯為APK,運行APK執(zhí)行操作。
2.2.3 瀏覽器內(nèi)核
對于Web端應(yīng)用來說,黑灰產(chǎn)往往通過瀏覽器做自動化攻擊的載體。
其中一種方式就是在工具中嵌入瀏覽器內(nèi)核。以Chromium為例,Google為了方便給第三方應(yīng)用提供可嵌入的瀏覽器支持,做了一個開源項目:CEF,全稱Chromium Embedded Framework。
CEF隔離底層Chromium和Blink的復(fù)雜代碼,并提供一套產(chǎn)品級穩(wěn)定的API,發(fā)布跟蹤具體Chromium版本的分支,以及二進制包。CEF的大部分特性都提供了豐富的默認實現(xiàn),讓使用者做盡量少的定制即可滿足需求。CEF的應(yīng)用場景之一就是用于自動化Web測試,這也給黑灰產(chǎn)打開了便利之門,將之用于自動化攻擊。
我們以某智能爬蟲采集器為例,該軟件內(nèi)置了 Chromium瀏覽器,通過直接操控頁面控件來完成自動化操作。該爬蟲采集器使用方式非常簡單,只需在軟件界面輸入目標網(wǎng)站,就可以根據(jù)需求爬取目標網(wǎng)站的數(shù)據(jù),界面如下:
利用該工具,爬取某旅游網(wǎng)站數(shù)據(jù)如下:
2.2. 4 自動化Web測試
為了方便自動化Web測試,主流的瀏覽器自身也展現(xiàn)出了足夠的開放性,比如大家都比較熟悉的自動化測試工具Selenium/WebDriver,就是基于瀏覽器的一些開放特性,完成了對Web頁面的自動化操控,而黑灰產(chǎn)利用Selenium/WebDriver來完成自動化攻擊也非常常見。對于廠商而言,也往往會在Web端代碼里面嵌入一段JavaScript腳本,來檢測這類自動化測試工具:
除了以上這些,還有一種自動化Web測試的手段:Chrome遠程調(diào)試,也被黑灰產(chǎn)用于自動化攻擊。我們以某社區(qū)軟件的賬號注冊機為例,該工具會通過遠程調(diào)式的方式打開Chrome瀏覽器:
然后通過WebSocket通信對瀏覽器進行控制。包括:
執(zhí)行
document.querySelector('[name=username]').select()獲得手機號輸入框的焦點;
發(fā)送
Input.dispatchKeyEvent消息,自動填寫從接碼平臺獲取到的手機號;
執(zhí)行
document.querySelector(‘button.Button.CountingDownButton.SignFlow-smsInputButton.Button--plain’).click()點擊“獲取短信驗證碼”按鈕;
執(zhí)行
document.querySelector('[name=digits]').select()獲得驗證碼輸入框的焦點,自動填寫驗證碼,并執(zhí)行
document.querySelector(‘button.Button.SignFlow-submitButton.Button--primary.Button--blue’).click()點擊“注冊/登陸”按鈕。
移動端的模擬點擊/操控類攻擊,需要在設(shè)備上運行被攻擊的移動端應(yīng)用。
而且如果要實現(xiàn)批量化規(guī)模化攻擊,需要有大量的設(shè)備資源(群控、云控、箱控,或者通過模擬器/改機工具偽造設(shè)備資源),因此對于廠商來說,可以從設(shè)備環(huán)境層面進行風險檢測。無論是使用按鍵精靈、Auto.js、改機工具、GPS偽造等工具,還是模擬器、群控等設(shè)備環(huán)境,可從設(shè)備指紋數(shù)據(jù)中找到蛛絲馬跡,設(shè)備指紋除了用作唯一性標識之外,還應(yīng)該對基本的應(yīng)用多開、改機環(huán)境/環(huán)境偽造、Hook行為、Root/越獄、代理/VPN等風險場景有識別能力。如果具備較強的情報能力,可以盡可能多的收集自動化攻擊腳本程序,并在應(yīng)用啟動的時候檢測安裝列表(Applist)中是否存在這類程序。
另一方面,模擬點擊/操控類攻擊雖然會模仿正常用戶的操作行為,但與用戶實際的行為特征還是會存在差異,可以從 行為層面做檢測。
比如針對某電商平臺刷店鋪訪問量的工具,每一次刷量行為一定會包含“打開首頁”、“搜索目標店鋪的商品關(guān)鍵詞”、“先進入兩家同類商品的店鋪瀏覽商品”(模仿正常用戶貨比三家的習慣)、“在進入目標店鋪瀏覽商品完成刷量”,并且在每個頁面的停留時間也在固定的。
從業(yè)務(wù)數(shù)據(jù)中提取用戶關(guān)鍵行為做特征進行聚類分析,可以有效識別程序化的模擬操作。
再比如上述的某智能爬蟲采集器,雖然會產(chǎn)生看似正常的頁面瀏覽行為,但是沒有正常的鼠標點擊、鍵盤輸入或屏幕觸控等操作,也屬于高度可疑的行為。
當然,設(shè)備層面和行為層面的數(shù)據(jù)往往是互補的。為保證高準確性和識別率,風險行為的判定要結(jié)合多個維度綜合判斷。
總 結(jié)
從技術(shù)上實現(xiàn)攻擊流程的高度自動化,是黑灰產(chǎn)提高運營效率,降低運營成本的必然道路。
穩(wěn)定的、成熟的自動化測試工具和技術(shù)被黑產(chǎn)濫用,又極大的提高了黑產(chǎn)的開發(fā)和攻擊效率。這對于廠商的業(yè)務(wù)安全防護策略來講,無疑將不斷面臨更大的挑戰(zhàn)。慶幸的是人機識別的對抗是一個持續(xù)升級和演進的過程,不管是對于業(yè)務(wù)方來講,還是對于黑灰產(chǎn)來講,都沒有絕對的銀彈。
業(yè)務(wù)方除了在風控規(guī)則模型上下功夫外,還可以在設(shè)備上進行風險檢測:
1) 對業(yè)務(wù)運行的設(shè)備環(huán)境進行檢測。黑灰產(chǎn)無論是在設(shè)備信息欺騙上,運行自動化腳本工具,都需要使用一些特殊的運行環(huán)境。這些環(huán)境通過分析一般都能找到一些通用的檢測點。比如改機工具,可以對Hook框架進行檢測,模擬點擊可以檢測系統(tǒng)參數(shù)。這些都可以作為可疑設(shè)備特征進行加權(quán)打分。
2) 對業(yè)務(wù)上的用戶行為識別。黑產(chǎn)自動化通常會用到的協(xié)議模擬技術(shù)和模擬按鍵技術(shù),這都跟自然人的操作路徑會有巨大的差距。比如當用戶登錄時,賬號密碼的輸入不會是瞬間完成的,又或者每次按鈕的點擊,也不會在相同位置。這些都可以作為檢測特征,當我們對用戶操作行為進行識別,這大大增加了黑灰產(chǎn)的對抗成本。
在未來的人機對抗中,企業(yè)將會面臨越來越多的自動化攻擊。
企業(yè)在業(yè)務(wù)安全的縱深防御上,除了基礎(chǔ)風控的建設(shè)之外,還需要在設(shè)備上進行防護,從而才能提高黑產(chǎn)的攻擊成本,提升防護效果。
