知乎上有一個問題：黑客如何月入百萬？

樓下回答：自古深情留不住，唯有套路得人心。哥們兒，一起搞黑啊，月入百萬不是夢。

這條回答被追加了數(shù)條評論，盡管大家都吆喝著“來啊，快活啊。”但多數(shù)人只是打個嘴炮。刀口舔血的黑產(chǎn)世界神秘而復雜，知道入口的人不算少，而真正的黑產(chǎn)馬仔更需要掌握的是武器庫中的黑產(chǎn)工具。

這些工具如同牛X的軍用坦克，可以使大規(guī)模網(wǎng)絡攻擊裝備化，大大提升了黑客攻擊的成功率。

如果說早些年的黑客工具軟件多多少少存在炫技的成分，當下的黑灰產(chǎn)工具則已經(jīng)變得非常“務實”，完全以利益為驅(qū)動。

根據(jù)威脅獵人9月發(fā)布的《互聯(lián)網(wǎng)黑灰產(chǎn)工具軟件》報告，目前活躍的工具軟件按照業(yè)務功能，大致可分為5大類：賬號類、刷量類、薅羊毛類、內(nèi)容爬取類和特定功能類。

在業(yè)務安全對抗中，刷量刷單類是黑灰產(chǎn)最常用的攻擊工具，也是活躍度最高的一類工具，如刷文章閱讀量、刷視頻播放量、刷粉絲量和刷訂單數(shù)量等，這類攻擊集中體現(xiàn)在自媒體行業(yè)、電商行業(yè)和視頻行業(yè)；除此之外，賬號類、薅羊毛類和內(nèi)容爬取類工具也活躍于黑灰產(chǎn)和廠商業(yè)務安全對抗中；特定功能類工具則主要包括模擬器、多開、改機和秒撥等功能性工具軟件。

如何成為一名合格的黑產(chǎn)從業(yè)者？手里得有個趁手武器。

賬號類工具軟件

在大部分黑產(chǎn)鏈中，賬號的質(zhì)量和數(shù)量很大程度決定了黑產(chǎn)的投入產(chǎn)出比。

賬號類工具軟件主要針對注冊場景和登陸場景，實現(xiàn)的功能包括批量注冊、掃號、鑒權和越權等。以“火牛注冊掃號軟件”為例，該工具直接和接碼平臺對接，用于接收短信驗證碼；同時內(nèi)置VPS撥號功能用于繞過廠商的IP限制策略，從而完成帳號的批量注冊和掃號。

火牛注冊掃號軟件

下表專門列出了監(jiān)控到的活躍賬號類工具軟件，有眼熟的嗎？

帳號類的工具軟件牟利方式包括：1、直接對外出售批量注冊的小號、對賬號售賣有一定的分銷制度，不同等級的代理拿貨價格不一；2、通過將批量注冊的小號用于刷量、引流的業(yè)務場景，像qq、email、微博號本身對其他廠商的業(yè)務可做授權服務，這類賬號稱為跳轉(zhuǎn)號，同時跳轉(zhuǎn)號的成本低廉；3、批量針對廠商推廣活動的定制化小號，結合接碼平臺、打碼平臺等完成全自動化欺詐作業(yè)，短時間內(nèi)薅取大量用戶獎金。

刷量刷單類工具軟件

刷量刷單類工具軟件主要活躍在電商、自媒體、短視頻等行業(yè)，主要功能包括刷成交量、刷閱讀量、刷播放量、刷關注量、刷粉絲量、以及刷評論量等。以“久久快手刷播放”為例，該工具首先批量加載一批快手小號的Token，然后通過模擬網(wǎng)絡請求的方式，訪問指定的快手作品網(wǎng)址，最終可以成功刷取播放量。

久久快手刷播放

最近活躍的刷量刷單類工具軟件有：

 

刷量刷單類工具軟件的牟利方式包括：1、通過提供刷量、刷單服務對任務發(fā)布者收取傭金；2、針對電商平臺對商家補貼的運費，通過結合空包物流服務，發(fā)起退貨請求薅取補貼；3、將點贊和刷評論結合，在用戶作品下置頂評論，通過個人介紹或是評論內(nèi)容出粉，出粉價格按引入其他平臺賬號個數(shù)計數(shù)等。

薅羊毛類工具軟件

薅羊毛類工具軟件主要活躍于營銷活動、電商搶購、紅包領取等場景。以“瓦力搶紅包”為例，該工具通過開通輔助功能，模擬點擊控件從而實現(xiàn)搶紅包及自動回復等功能。

瓦利搶紅包

一些比較活躍的薅羊毛類工具軟件有：

 

活躍的薅羊毛類工具

薅羊毛類工具軟件的牟利方式包括：1、直接出售工具軟件獲利；2、利用工具領取平臺推出的優(yōu)惠券或減免紅包等，或者將優(yōu)惠券、紅包等轉(zhuǎn)手出售；3、將搶購到的物品二次出售，從而賺取差價等。

內(nèi)容爬取類工具軟件

內(nèi)容爬取類工具軟件主要通過爬蟲程序，采集電商數(shù)據(jù)、短視頻用戶作品、招聘網(wǎng)站簡歷和自媒體文章等。

近期就有多款工具軟件對拼多多的商品信息、店鋪信息、拼團信息等數(shù)據(jù)進行爬取。以“拼多多精靈”為例，該工具軟件通過請求apiv4.yangkeduo.com下的接口來爬取拼多多數(shù)據(jù)，提供開團提醒、關鍵詞排名、類目排名、導出訂單、物流監(jiān)控、退款提醒、競品對手監(jiān)控等功能：

拼多多精靈截圖

最近活躍的內(nèi)容爬取類工具軟件有：

內(nèi)容爬取類工具軟件的牟利方式包括：1、利用采集的拼多多數(shù)據(jù)，提供數(shù)據(jù)分析服務和店鋪管理服務獲利，包括關鍵詞排名、商品排名、開團監(jiān)控、一鍵下訂單、一鍵發(fā)貨和多個店鋪管理等；2、當?shù)昙以谑褂眠@些工具時，很可能導致訂單數(shù)據(jù)泄露，黑灰產(chǎn)可以通過出售這些數(shù)據(jù)或利用數(shù)據(jù)進行營銷和詐騙等來獲利。

特定功能類工具軟件

特定功能類工具軟件主要包括模擬器、多開、改機和秒撥等功能工具軟件，常見應用于注冊賬號、邀請新用戶領取紅包、刷贊、刷分享、刷評分和刷榜等場景。特定功能類工具軟件種類和數(shù)量不多，但是黑灰產(chǎn)業(yè)鏈中也發(fā)揮著極其關鍵的作用。

以改機軟件“海魚魔器”為例，在抖音引流這個場景，利用改機可以偽造位置，利用抖音附近視頻的功能做引流，誘導附近看到視頻的人添加微信小號。

比如上圖，借助改機軟件將所在地點修改到人流量多的廣州火車站，然后通過抖音上傳“精心”制作的美女視頻或圖片，并配上包含微信號的文字，最終將上鉤的男性用戶定向引流至銷售男性用品的微商，或被誘導發(fā)紅包觀看色情視頻，最終上當受騙。（雷鋒網(wǎng)編輯OS：還有這種神操作？）

特定功能類工具軟件雖然不參與直接牟利，但提供的功能可以幫助黑灰產(chǎn)更好的攫取利益。比如改機工具，除了上面提到的引流場景外，在賬號注冊場景也很重要，可以實現(xiàn)一個設備多次復用的效果。最近較活躍的特定功能類工具軟件有：

B站手機注冊機3.0

這款6月捕獲的針對B站的注冊類工具軟件，采用C++語言編寫。通過使用接碼平臺手機號接收手機驗證碼，同時內(nèi)置深度學習框架Caffe識別圖像驗證碼，完成帳號批量注冊。程序運行界面如下圖：

B站手機注冊機運行界面

程序會登錄接碼平臺：http://www.7gxyun.com:9000/soft.html

接收短信驗證碼，接著調(diào)用B站注冊接口：https://passport.bilibili.com/register/phone

以及驗證碼下發(fā)接口：https://passport.bilibili.com/captcha

提取到驗證碼，如下圖：

之后該工具會使用內(nèi)置的深度學習框架Caffe 識別圖片驗證碼。識別驗證碼的過程會讀取本地內(nèi)置深度學習框架Caffe框架所需要的3個文件：deploy.prototxt，res_lstm_ctc_iter.caffemodel，label-map.txt。其中deploy.prototxt部分代碼如下：

 deploy.prototxt代碼截圖

圖像驗證碼識別成功后，完成帳號注冊。

這款工具的牛X之處在于用到了深度學習的圖像識別能力，使得圖像識別準確率達到99%以上，平均完成一個賬號的注冊時間大約在10秒內(nèi)。以往這一類的注冊工具絕大多數(shù)會接一個打碼平臺或者內(nèi)置一個針對目標網(wǎng)站的一個驗證碼識別庫，無論是從識別準確率還是注冊效率遠比利用深度學習圖像識別的低很多。

深度學習運用于驗證碼識別

陌陌搶紅包工具

另一款7月份捕獲的針對陌陌的搶紅包類工具軟件，是基于按鍵精靈安卓版實現(xiàn)。通過自定義錄制對手機屏幕的操作及重復次數(shù)等信息，按照一定模式進行對手機進行模擬操作從而實現(xiàn)搶紅包等功能。

陌陌搶紅包工具運行界面

黑灰產(chǎn)人員只需要在按鍵精靈安卓版上編寫相關的邏輯腳本，即可實現(xiàn)模擬用戶操作的動作去實現(xiàn)他們想要的功能，按鍵精靈安卓版運行界面如下圖所示：

按鍵精靈安卓版運行界面

用戶在點“錄制”之后，就可以先手動操作一遍想要操作的功能，之后該軟件會記錄下用戶操作的坐標軌跡，如下圖所示：

按鍵精靈安卓版運行界面

另外，研究人員還在分析時發(fā)現(xiàn)，該搶紅包工具內(nèi)置了工具需要的一些資源，包括識別出現(xiàn)紅包時的圖像。

陌陌搶紅包工具內(nèi)置的圖片資源

軟件在后臺運行，通過查找整個手機屏幕上滿足上述截圖圖像所在的坐標，然后再模擬用戶去點擊操作，從而達到搶紅包的目的。

58全職VIP發(fā)帖軟件

最后一款軟件是8月份發(fā)現(xiàn)的針對58同城的自動發(fā)帖類工具，其原理是通過破解58發(fā)帖相關接口來實現(xiàn)。在調(diào)用相關接口的時候，軟件會把接口所需要的參數(shù)拼接一起然后再向服務器請求。在該軟件中實現(xiàn)調(diào)用的接口包括：登陸、發(fā)帖、獲取展示中的帖子、未展示帖子、已刪除帖子、審核帖子、獲取未讀簡歷等。

58全職VIP發(fā)帖軟件運行界面

界面上會有很多發(fā)帖的相關設置，這些設置是黑灰產(chǎn)人員在分析58發(fā)帖的接口之后提取出來的，用戶需要操作的一些變量值（包含發(fā)帖的省份、城市、街道、帖子標題、帖子職位等接口所需要的一些參數(shù)）。

捕獲到的接口信息

POST的數(shù)據(jù)內(nèi)容（編碼前）

如此說來，上述大部分的內(nèi)容為用戶填寫的信息，只要按照發(fā)帖的接口格式構造一樣的形式數(shù)據(jù)就可以成功發(fā)出帖子。

從這個接口所需要的相關參數(shù)看到，58VIP發(fā)帖的接口需要的參數(shù)非常多，這就要求黑灰產(chǎn)人員具備較強能力的協(xié)議接口分析能力，能夠分析出哪些是必須的參數(shù)，哪些是可有可無的參數(shù)，以及哪些是風控系統(tǒng)必須檢測的參數(shù)，和參數(shù)的值是否加密。如果加密，則需要黑灰產(chǎn)人員破解加密算法之后，再計算出新的參數(shù)值以此繞過風控系統(tǒng)的檢測。

文章由威脅獵人投稿，雷鋒網(wǎng)編輯。

關注雷鋒網(wǎng)宅客頻道（微信公眾號：letshome），獲取報告原文。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。