二、自動化攻擊的技術(shù)手段和攻防對抗

黑產(chǎn)實現(xiàn)自動化攻擊，主要通過 2 種技術(shù)手段：協(xié)議破解/偽造，以及模擬點擊/操控。

前者需要先破解應(yīng)用的接口協(xié)議，存在一定的技術(shù)門檻，難度相對較大;而后者開發(fā)簡單，可讀性強(qiáng)，上手門檻較低，對于黑產(chǎn)來說，受眾也更廣。我們近期捕獲到的自動化攻擊工具里面，模擬點擊/操控類工具的占比也更高：

接下來我們對這兩類自動化攻擊技術(shù)做更詳細(xì)的介紹。

2.1 協(xié)議破解/偽造

協(xié)議破解/偽造指的是通過抓包+逆向分析等方式，獲取到客戶端跟服務(wù)端通信的請求接口以及參數(shù)，直接偽造接口協(xié)議和參數(shù)來完成自動化操作。

我們先以一款旅游類應(yīng)用的自動發(fā)帖機(jī)為例。通過分析，我們可以看到這個發(fā)帖機(jī)會自動訪問該應(yīng)用的很多后端接口：

由于破解了接口協(xié)議和參數(shù)，所以在訪問接口之前，所有的參數(shù)都已經(jīng)構(gòu)造好了：

其中有一些參數(shù)的偽造成本并不高，甚至直接硬編碼在代碼里面。

有一些參數(shù)會根據(jù)一定的規(guī)則動態(tài)生成，以滿足合法性校驗。以os_api和os_version這兩個參數(shù)為例，在代碼里面內(nèi)置了一個os_version的數(shù)組：

構(gòu)造參數(shù)時，會根據(jù)這個數(shù)組隨機(jī)選擇os_version的值，同時會根據(jù)os_version的值來適配os_api的值：

再比如device_type和device_brand這兩個參數(shù)，在代碼里面內(nèi)置了一個很大的設(shè)備類型的數(shù)組：

構(gòu)造參數(shù)時，也是進(jìn)行隨機(jī)選擇。如果選擇了數(shù)組的第 1 個元素，那么生成的參數(shù)就是device_type=B7330 并且device_brand=SAMSUNG。

以上舉例的這些參數(shù)，偽造起來都比較簡單，但是還有一些參數(shù)的偽造，難度要大很多。特別是一些做了協(xié)議保護(hù)的應(yīng)用，會存在專門用于校驗接口請求合法性的參數(shù)，而且多個參數(shù)之間相互校驗，只要其中一個參數(shù)構(gòu)造得有問題便無法通過校驗。

理論上來說，黑產(chǎn)似乎因為對抗成本的提高而望而卻步，但實際情況卻并非如此。

其次，存在一些破解網(wǎng)站，其背后有專門的技術(shù)人員，也提供收費的算法破解服務(wù)：

另外，雖然隨著移動端應(yīng)用加固技術(shù)的發(fā)展(包括成熟的商業(yè)化產(chǎn)品和方案)，核心算法的破解難度也越來越大，但由于攻防的不對等，黑產(chǎn)可以繞過這道防線，選擇從防御的薄弱點下手。而Web端應(yīng)用就成為了這樣的一個突破口。雖然Web前端的代碼可以做混淆做加密，但破解的難度相對要小很多。甚至可以不用破解，直接把算法的關(guān)鍵代碼扣出來，通過腳本發(fā)動機(jī)進(jìn)行調(diào)用和執(zhí)行，從而完成加密參數(shù)的構(gòu)造：

對于廠商而言，由于協(xié)議破解/偽造脫離了環(huán)境和設(shè)備的限制，黑灰產(chǎn)可以用很低的成本完成批量化規(guī)?；靼福虼宋：σ哺訃?yán)重。如何更加有效的防止或這類自動化攻擊，除了加強(qiáng)核心算法的復(fù)雜度之外，也可以嘗試從情報入手。前面提到偽造的接口協(xié)議中，其中有一些參數(shù)是硬編碼的，基于這些硬編碼的參數(shù)，可以做特征聚類和分析，并針對性的提取識別規(guī)則。此外，黑產(chǎn)在構(gòu)造自動化攻擊的代碼時，也不是天衣無縫，往往會在一些地方留下破綻。其中一種比較典型的情況是訪問不同接口時，存在構(gòu)造的參數(shù)不一致的情況。比如登錄請求傳入的設(shè)備類型的是iPhone：

但緊接著進(jìn)行設(shè)備注冊時，注冊的信息卻變成了操作系統(tǒng)是Android，設(shè)備廠商是華為：

通過這些情報信息，可以不斷補充和完善對于協(xié)議破解/偽造類自動化攻擊的識別。

2.2 模擬點擊/操控

模擬點擊/操控是指通過觸發(fā)鼠標(biāo)/鍵盤/觸控等事件，或者通過代碼注入等方式，完成界面控件的輸入、點擊、移動等操作。如果說協(xié)議破解/偽造的對抗是技術(shù)的硬碰硬，模擬點擊/操控則可以說是以巧致勝，而且由于上手門檻低，也成為了當(dāng)前黑灰產(chǎn)最為喜歡的自動化攻擊方式。接下來我們分別講解幾種比較常見的模擬點擊/操控類攻擊方式。

2.2.1 按鍵精靈

按鍵精靈是一款大家非常熟悉的老牌自動化腳本工具，也是目前黑產(chǎn)使用最為普遍的通過模擬點擊實現(xiàn)自動化攻擊的工具。黑灰產(chǎn)從業(yè)人員通過編寫相關(guān)的邏輯腳本，便可通過模擬用戶操作去實現(xiàn)他們想要的功能，比如手機(jī)觸摸、按鍵等操作;也可以先手動“錄制”一遍想要操作的功能，這樣按鍵精靈會自動記錄操作行為序列和坐標(biāo)軌跡，十分方便。

我們以某短視頻平臺的一款引流工具為例，該工具是基于按鍵精靈(安卓版)腳本打包生成的一個apk文件，其主要功能是自動給平臺上的短視頻點贊、評論，以及給用戶發(fā)私信，從而達(dá)到引流的效果，如下所示：

使用該工具時，只要打開短視頻平臺某網(wǎng)紅主頁的粉絲列表界面，便可自動按順序打開每個粉絲的主頁，給視頻點贊、評論以及給粉絲發(fā)私信，并且該工具也支持自定義配置，比如是否關(guān)注粉絲、自定義引流話術(shù)等。

2.2.2 Auto.js

如果說按鍵精靈是老牌精英，Auto.js則可以說是后起之秀。

根據(jù)情報顯示，大約從 18 年底開始，越來越多的黑灰產(chǎn)從業(yè)者使用Auto.js來開發(fā)自動化攻擊腳本。Auto.js是一個基于JavaScript的安卓平臺自動化腳本框架，相比與按鍵精靈，Auto.js有以下一些優(yōu)勢：

1)設(shè)備無需Root，使用成本更低，而且可以躲避基于Root的風(fēng)險設(shè)備環(huán)境檢測;

2)按鍵精靈基于識別圖片、顏色、坐標(biāo)等實現(xiàn)模擬操作，存在分辨率的兼容問題，而Auto.js可以直接操作控件，自動適配各種安卓機(jī)型，穩(wěn)定性更高;

3)使用Auto.js開發(fā)打包生成的apk文件體積更小。

我們以某社交平臺的添加群成員好友的自動化腳本為例，首先判斷是否處于群聊天窗口：

在獲取到群成員QQ號后，自動完成點擊“加好友”、填寫驗證信息、發(fā)送請求：

Auto.js腳本開發(fā)者可以使用Visual Studio Code + Auto.js插件開發(fā)腳本，電腦連接手機(jī)終端，可直接控制裝有Auto.js客戶端的手機(jī)執(zhí)行腳本，也可將腳本保存至手機(jī)終端，編譯為APK，運行APK執(zhí)行操作。

2.2.3 瀏覽器內(nèi)核

對于Web端應(yīng)用來說，黑灰產(chǎn)往往通過瀏覽器做自動化攻擊的載體。

其中一種方式就是在工具中嵌入瀏覽器內(nèi)核。以Chromium為例，Google為了方便給第三方應(yīng)用提供可嵌入的瀏覽器支持，做了一個開源項目：CEF，全稱Chromium Embedded Framework。

CEF隔離底層Chromium和Blink的復(fù)雜代碼，并提供一套產(chǎn)品級穩(wěn)定的API，發(fā)布跟蹤具體Chromium版本的分支，以及二進(jìn)制包。CEF的大部分特性都提供了豐富的默認(rèn)實現(xiàn)，讓使用者做盡量少的定制即可滿足需求。CEF的應(yīng)用場景之一就是用于自動化Web測試，這也給黑灰產(chǎn)打開了便利之門，將之用于自動化攻擊。

我們以某智能爬蟲采集器為例，該軟件內(nèi)置了 Chromium瀏覽器，通過直接操控頁面控件來完成自動化操作。該爬蟲采集器使用方式非常簡單，只需在軟件界面輸入目標(biāo)網(wǎng)站，就可以根據(jù)需求爬取目標(biāo)網(wǎng)站的數(shù)據(jù)，界面如下：

利用該工具，爬取某旅游網(wǎng)站數(shù)據(jù)如下：

2.2. 4 自動化Web測試

為了方便自動化Web測試，主流的瀏覽器自身也展現(xiàn)出了足夠的開放性，比如大家都比較熟悉的自動化測試工具Selenium/WebDriver，就是基于瀏覽器的一些開放特性，完成了對Web頁面的自動化操控，而黑灰產(chǎn)利用Selenium/WebDriver來完成自動化攻擊也非常常見。對于廠商而言，也往往會在Web端代碼里面嵌入一段JavaScript腳本，來檢測這類自動化測試工具：

除了以上這些，還有一種自動化Web測試的手段：Chrome遠(yuǎn)程調(diào)試，也被黑灰產(chǎn)用于自動化攻擊。我們以某社區(qū)軟件的賬號注冊機(jī)為例，該工具會通過遠(yuǎn)程調(diào)式的方式打開Chrome瀏覽器：

然后通過WebSocket通信對瀏覽器進(jìn)行控制。包括：

1. 執(zhí)行

   document.querySelector('[name=username]').select()獲得手機(jī)號輸入框的焦點;

2. 發(fā)送

   Input.dispatchKeyEvent消息，自動填寫從接碼平臺獲取到的手機(jī)號;

3. 執(zhí)行

   document.querySelector(‘button.Button.CountingDownButton.SignFlow-smsInputButton.Button--plain’).click()點擊“獲取短信驗證碼”按鈕;

4. 執(zhí)行

   document.querySelector('[name=digits]').select()獲得驗證碼輸入框的焦點，自動填寫驗證碼，并執(zhí)行

   document.querySelector(‘button.Button.SignFlow-submitButton.Button--primary.Button--blue’).click()點擊“注冊/登陸”按鈕。

移動端的模擬點擊/操控類攻擊，需要在設(shè)備上運行被攻擊的移動端應(yīng)用。

而且如果要實現(xiàn)批量化規(guī)模化攻擊，需要有大量的設(shè)備資源(群控、云控、箱控，或者通過模擬器/改機(jī)工具偽造設(shè)備資源)，因此對于廠商來說，可以從設(shè)備環(huán)境層面進(jìn)行風(fēng)險檢測。無論是使用按鍵精靈、Auto.js、改機(jī)工具、GPS偽造等工具，還是模擬器、群控等設(shè)備環(huán)境，可從設(shè)備指紋數(shù)據(jù)中找到蛛絲馬跡，設(shè)備指紋除了用作唯一性標(biāo)識之外，還應(yīng)該對基本的應(yīng)用多開、改機(jī)環(huán)境/環(huán)境偽造、Hook行為、Root/越獄、代理/VPN等風(fēng)險場景有識別能力。如果具備較強(qiáng)的情報能力，可以盡可能多的收集自動化攻擊腳本程序，并在應(yīng)用啟動的時候檢測安裝列表(Applist)中是否存在這類程序。

另一方面，模擬點擊/操控類攻擊雖然會模仿正常用戶的操作行為，但與用戶實際的行為特征還是會存在差異，可以從 行為層面做檢測。

比如針對某電商平臺刷店鋪訪問量的工具，每一次刷量行為一定會包含“打開首頁”、“搜索目標(biāo)店鋪的商品關(guān)鍵詞”、“先進(jìn)入兩家同類商品的店鋪瀏覽商品”(模仿正常用戶貨比三家的習(xí)慣)、“在進(jìn)入目標(biāo)店鋪瀏覽商品完成刷量”，并且在每個頁面的停留時間也在固定的。

從業(yè)務(wù)數(shù)據(jù)中提取用戶關(guān)鍵行為做特征進(jìn)行聚類分析，可以有效識別程序化的模擬操作。

再比如上述的某智能爬蟲采集器，雖然會產(chǎn)生看似正常的頁面瀏覽行為，但是沒有正常的鼠標(biāo)點擊、鍵盤輸入或屏幕觸控等操作，也屬于高度可疑的行為。

當(dāng)然，設(shè)備層面和行為層面的數(shù)據(jù)往往是互補的。為保證高準(zhǔn)確性和識別率，風(fēng)險行為的判定要結(jié)合多個維度綜合判斷。

總 結(jié)

從技術(shù)上實現(xiàn)攻擊流程的高度自動化，是黑灰產(chǎn)提高運營效率，降低運營成本的必然道路。

穩(wěn)定的、成熟的自動化測試工具和技術(shù)被黑產(chǎn)濫用，又極大的提高了黑產(chǎn)的開發(fā)和攻擊效率。這對于廠商的業(yè)務(wù)安全防護(hù)策略來講，無疑將不斷面臨更大的挑戰(zhàn)。慶幸的是人機(jī)識別的對抗是一個持續(xù)升級和演進(jìn)的過程，不管是對于業(yè)務(wù)方來講，還是對于黑灰產(chǎn)來講，都沒有絕對的銀彈。

業(yè)務(wù)方除了在風(fēng)控規(guī)則模型上下功夫外，還可以在設(shè)備上進(jìn)行風(fēng)險檢測：

1) 對業(yè)務(wù)運行的設(shè)備環(huán)境進(jìn)行檢測。黑灰產(chǎn)無論是在設(shè)備信息欺騙上，運行自動化腳本工具，都需要使用一些特殊的運行環(huán)境。這些環(huán)境通過分析一般都能找到一些通用的檢測點。比如改機(jī)工具，可以對Hook框架進(jìn)行檢測，模擬點擊可以檢測系統(tǒng)參數(shù)。這些都可以作為可疑設(shè)備特征進(jìn)行加權(quán)打分。

2) 對業(yè)務(wù)上的用戶行為識別。黑產(chǎn)自動化通常會用到的協(xié)議模擬技術(shù)和模擬按鍵技術(shù)，這都跟自然人的操作路徑會有巨大的差距。比如當(dāng)用戶登錄時，賬號密碼的輸入不會是瞬間完成的，又或者每次按鈕的點擊，也不會在相同位置。這些都可以作為檢測特征，當(dāng)我們對用戶操作行為進(jìn)行識別，這大大增加了黑灰產(chǎn)的對抗成本。

在未來的人機(jī)對抗中，企業(yè)將會面臨越來越多的自動化攻擊。

企業(yè)在業(yè)務(wù)安全的縱深防御上，除了基礎(chǔ)風(fēng)控的建設(shè)之外，還需要在設(shè)備上進(jìn)行防護(hù)，從而才能提高黑產(chǎn)的攻擊成本，提升防護(hù)效果。