专栏名称: 永安在线情报平台
专注互联网黑产研究。
目录
相关文章推荐
新北方  ·  郭富城妻子称米兰遭抢劫,驻意大利使馆曾多次提 ... ·  6 小时前  
新北方  ·  中国男性平均寿命仅69.9岁?这么离谱的谣言咋来的 ·  昨天  
中国航务周刊  ·  这家货代巨头,与大货主成立合资公司 ·  5 天前  
中国航务周刊  ·  MSC又在中国船厂订造8艘超大船 ·  5 天前  
新北方  ·  刚刚宣布:全体沈阳户籍恭喜了!2月24日开始实行! ·  3 天前  
51好读  ›  专栏  ›  永安在线情报平台

黑灰产情报周报|黑产自动化工具之可爱猫微信机器人框架

永安在线情报平台  · 公众号  ·  · 2021-03-29 18:30

正文

黑灰产情报周报是永安在线开通的新栏目,基于永安在线的业务安全情报平台及长期的黑灰产研究,旨在为风控从业者提供最新的行业趋势分析及动态。




本周热点情报


1、黑产行为系列:黑产自动化工具之可爱猫微信机器人框架。


2、上周腾讯QQ注册攻击数量激增,其中96%的注册手机卡为海外拦截卡,支持QQ授权登录的平台需警惕。


3、近两周,国内IP占比始终多于国外IP,且两者的差距在逐渐拉大。这意味着黑产可使用的国内IP资源更加富裕,从中能挑选出更多的优质IP用于攻击。


一、黑产作恶工具风险情报


1、对近一周新增黑产恶意攻击工具攻击的域名进行统计,排名如下:


图1-1  Top 10 产品接口占比情况


• 针对拼多多的电商辅助工具总量依然是最多,针对京东的新增黑产工具功能主要为 库存监控、领券 类,而淘宝方面则主要为 商品上架、售后刷评 类。


• 抖音方面新增黑产工具主要为 自动抢福袋 (一种抖音的虚拟物品),而快手则主要是 养号、自动做任务 类工具。


• 针对链客生活和爱丽丝交易所(二者皆为区域链类软件)、欢太商城、BiliBili的工具为自动化拉新注册类,骗取平台拉新奖励


2、黑产自动化工具之可爱猫微信机器人框架


可爱猫是一款发展较早的 微信机器人 框架工具,可通过插件实现多种功能, 支持多种语言开发插件 (易语言、PHP、Java、C#、C++、Python),目前已经发展出 近三百款插件

图1-2 可爱猫运行演示截图


可爱猫通过插件可以实现自动回复、自动同意好友申请、自动拉群、自动聊天、 自动收款、自动转码、 淘宝联盟/京东联盟/苏宁联盟/多多进宝推广商品转链、清空朋友圈、清理僵尸粉、 活动对接 等功能,下面介绍三款在 微信小程序营销活动作弊场景 中使用最多的功能。


• 自动收款插件


可实现自动接收微信好友转账的功能,无需人工点击收款, 是黑产实现自动化的第一步


图1-3 自动收款插件演示截图


• 自动转码插件


可提取小程序中的 活动邀请码 ,如下图中的inviteCode。 提取小程序活动邀请码是协议作弊的第一步 ,有利于后续使用协议工具拼接活动邀请码实现助力作弊。

此类插件还可实现将小程序链接转成小程序码的功能,便于在真人众包平台发布助力任务。


图1-4 自动转码插件演示截图


• 活动对接插件


黑产通过此类插件可以实现发展下线/代理的功能,达到快速扩展客源的目的。


图1-5 活动对接插件演示截图


二、黑产作恶手机号


1、近一周,黑手机卡注册攻击Top10产品:


图2-1 黑手机卡注册攻击Top10产品


• 腾讯QQ注册攻击数量激增,除了用于QQ养号、微信注册外,也普遍用于能够直接利用QQ授权登陆的APP。本周,有关腾讯QQ的手机号接码攻击较上周出现大幅度的上升,这批手机号的归属地多为国外,以南非、埃塞俄比亚、孟加拉为主。对于这些Q号,黑产除了进行养号、微信注册外,还会用于能够进行QQ授权登陆的APP(如京东商城、京喜、微博等)。

• 黑产攻击腾讯QQ多以海外拦截卡作为攻击物料。以卡的类型来看,对QQ进行注册攻击的这批手机卡,其拦截卡的归属地多为海外国家,传统卡的归属地则为国内,且拦截卡与传统卡占比为96%比4%,两者差距极大。可以推测,黑产为了绕过QQ的风控,不得不使用具有真实用户行为的拦截卡;而为了能获取大批量且稳定的拦截卡来源,最后选择了南非、埃塞俄比亚、孟加拉等海外国家。


三、黑产作恶IP


1、近一周,黑产作恶IP的C段聚集率:


图3-1 黑产作恶IP的C段聚集率占比分布


• 黑产可使用的IP代理池子中的IP已经进行了新一轮的替换,大批正常的IP将被黑产作为攻击物料。本周,聚集率小于等于20%的C段的占比比上周增加了23.9%,这表明尚未出现大规模的IP连号现象。即秒拨/代理网站正在对其IP代理池子中的IP进行替换操作,目前正处于替换IP的初步阶段;在中后期,随着之前被洗白的IP被不断的补充进代理池中,IP连号的将会大规模出现,具体表现为:聚集率小于等于20%的C段的占比逐渐下降,其余C段聚集率的占比将逐渐上升。


2、黑产作恶IP国内外分布占比:


图3-2 黑产作恶IP国内外占比


• 国内厂商始终是黑产的首要攻击目标,黑产在攻击国内厂商时可投入的资源远远多于攻击国外厂商或国内厂商的海外版软件。近两周,国内IP占比始终多于国外IP,且两者的差距在逐渐拉大。这意味着黑产可使用的国内IP资源更加富裕,从中能挑选出更多的优质IP用于攻击。


3、近一周,被捕获过的IP在一个月内的存活情况:


图3-3 国内及国外IP不同存活天数下的占比


• 本周被捕获到的黑产作恶IP过半是存活时间不超过3天的IP,国外IP质量明显优于国内IP。在国内IP中,存活天数在1~3天内的IP占比为56.61%;而国外的占比则达到78.44%。这表明大部分国外代理/秒拨网站的IP代理池的更新速度是比国内的网站要快的。


四、黑产交易情报


1、京东“春尚新”活动上线,京东黑产账号买卖订单笔数激增


图4-1 近一周,京东的账号交易订单数变化


• 本周,因京东“春尚新”活动上线,与京东有关的黑产账号买卖订单笔数出现大幅度的上升。3月21号当日账号买卖订单笔数达8209笔。此外,本周京东的买卖账号数达19万,较上周增长9.68倍;交易金额达44万,较上周增长7.48倍。







请到「今天看啥」查看全文


推荐文章
新北方  ·  郭富城妻子称米兰遭抢劫,驻意大利使馆曾多次提醒游客防盗抢
6 小时前
新北方  ·  中国男性平均寿命仅69.9岁?这么离谱的谣言咋来的
昨天
中国航务周刊  ·  这家货代巨头,与大货主成立合资公司
5 天前
中国航务周刊  ·  MSC又在中国船厂订造8艘超大船
5 天前
新北方  ·  刚刚宣布:全体沈阳户籍恭喜了!2月24日开始实行!
3 天前
最英国  ·  国际“枕头大战”场面残暴,中国网友申请荞麦枕头参战!
7 年前
时代方略  ·  外企三年,教给我的思维方式
7 年前
生物通  ·  剑桥大学发现植物需要讲“外语”的原因
7 年前
德州政府网  ·  今年起有效解决大班额 小学一年级招生班额不超45人
7 年前
资管云  ·  2016到17,资管剧情大反转的症结和趋势都在这里
7 年前
Sov5搜索   ·   小百科   ·   今天看啥   ·   移动版
51好读 - 好文章就要读起来!