查看原文
其他

​互联网“伪客户端”的技术分析和法律应对

鹅师傅 腾讯安全战略研究 2022-05-19


本文作者

腾讯安全战略研究 高级研究员 苗雨  陈磊  张宝峰


黑产链条下游的泛滥,离不开上游黑产服务工具的支持,无论是以技术为主的黑客攻击工具,还是以实现自动化为主的群控工具,亦或是以资金交易为主的洗钱工具,这些都是黑产链条中的上游。同时,黑产变现的关键是恶意流量,而恶意流量的重要上游工具之一即是伪客户端。


这类黑色产业,从打击和治理上看,一方面由于技术复杂、手段隐蔽,公司难以应对此类黑产;另一方面由于司法鉴定机构在实践中难以下定论,公检难以刑事打击,因此在黑产圈流行多年,严重危害互联网平台的生态健康。随着黑产“技术链”的发展,伪客户端借助自动化算法能力,一方面不断在内容层面“推陈出新”,逃避打击;另一方面不断在技术方面,升级优化,形成“黑产上云”的趋势。


1

伪客户端概述

(一)伪客户端与第三方客户端


随着互联网的发展,为了获取平台营销流量,有需求的个人或是公司往往在电商、短视频、即时通讯等各个网络平台申请了大量账号,为更便捷的管理这些账号,自动化管理便成为当下急需,因此针对账号的群控工具以及自动化推广工具应运而生。伪客户端最开始脱胎于第三方客户端。起初,有部分网络极客为满足不同的软件操作需求,利用软件官方提供的API接口,开发出可以与原始软件内系统或用户进行预设互动,或是能够实现批量处理原始软件工具内信息等功能的第三方客户端。


然而,第三方客户端具有的这些便捷功能以及高可编辑性被黑产团伙所利用。为了实施违法行为,黑产团伙或是利用原本官方授权的第三方客户端进行改造,或者通过技术嗅探出API地址,对原客户端进行仿制,并开发出专门为黑产团伙服务的黑产工具版本,此类专为黑产团伙使用的第三方客户端一般称之为伪客户端。


(二)伪客户端与外挂


第三方客户端黑产工具分为代码注入类和框架插件类,其中代码注入类的实现方式属于外挂的一种,而框架插件类的实现方式就是伪客户端。外挂,是一类作弊程序或软件,其功能的实现主要改变原软件的部分程序。伪客户端,则是在利用原软件通讯协议或是通过开放平台获取接口授权的基础上,仿冒了一个客户端,能够实现原软件的登录等通讯功能。二者的区别在于是否在官方客户端本身进行功能修改。这里提到的伪客户端,例如第三方网盘客户端,能够实现登录网盘账户并满速下载的操作,第三方微博机器人,能够实现登录微博账户,之后实现批量登录和批量发图文等操作,第三方社交工具机器人,能够实现登录后进行批量群发等操作。这些功能的实现均在伪客户端上修改,而未对官方软件本身做出改动。


(三)伪客户端与黑产群控机器人


伪客户端是通过黑产团伙自行开发的未经授权插件,实现原始软件本身不具备的功能,例如批量登录、自动养号、自动回复,关键词命中回复以及自动模拟点击等。这些黑产工具多数具备违反平台用户协议的自动点赞、自动刷量、自动群发、关键词互动等功能,以上功能便是利用群控机器人插件实现的。这类工具主要用于恶意引流,也用于批量养号以及赌博工具制作,是黑产“推广链”的重要上游工具之一。典型的群控机器人有以内容为主的微博机器人,以存储为主的网盘机器人,以模拟点击为主的短视频机器人。第三方黑产工具版本的机器人,通过使用与官方软件相同的通讯协议,构造出开放数据接口的框架,利用插件,调用软件数据接口,模拟出官方软件的登录环境,以实现官方软件不具有的功能。

通常,模拟哪一款官方软件,黑产团伙就会将其称为“某某机器人”或者“某某模拟器”,实际与厂商没有任何关系。


(四)伪客户端与聊天机器人


在实践中,伪客户端无论是功能实现,还是应用场景,大多数为黑产牟利所用。伪客户端的功能中,有一项是自动问答,该功能与客服机器人有所区别。在客服自动问答功能方面,各网络公司一般是通过自建机器人,或是引入第三方建立机器人的方式进行的。能够实现自动问答功能的机器人一般被称为聊天机器人,其主要有两种实现方式,一是检索式聊天机器人,利用多种检索技术,基于已有的语料库或是互联网,当接收到用户输入句子后,在语料库或网络上中检索同义句,返回同义句对应的回答;二是生成式聊天机器人,利用Deep Learning相关技术,基于大量的对话语料,训练得到高维度的相似关系,接收到用户输入句子后,根据训练结果,机器人自己生成回答。聊天机器人多数是用于正常的客服场景,而语料一般会建立全流程内容审核策略。然而,伪客户端的自动问答功能,主要用于贩卖色情等有害信息自动贩卖、或是应用于黑产引流的场景。伪客户端的语料库一般是为了达到黑产不法目的而提前建立的,通过伪客户端实现的自动问答功能,无法进行语料库事前离线审核,只能通过原软件的安全策略进行事中审核,这种情况下,可能会引发有害信息无法及时清理造成短暂漏过,或是隐晦、敏感内容不能及时识别并清除的情况。伪客户端与聊天机器人的重要区别就在于是否根据企业标准采取合规接入,并且针对语料库进行全流程审核。


2

伪客户端黑产工具原理


伪客户端作为黑灰产恶意引流的上游,其本身功能的开发和实现均处于黑灰产地带。此类黑产工具之所以能够实现原客户端没有的功能,主要是通过两种方式进行的。一是通过非法破解软件通讯协议并进行重新编写,建立假冒客户端登录框架,通过插件形式实现功能;二是登录后,通过代码注入等技术手段,改变软件运行进程,修改软件功能。


(一)利用破解协议建立假冒客户端


黑产通过在各种极客网站以及黑产技术圈购买到破解的某网络公司产品的通讯协议,此类协议是某网络公司产品通讯过程中,使用的特有加密算法和数据包格式。黑产将破解的协议封装在自行建立的伪客户端中,并且通过贩卖伪客户端进行牟利。


以某软件为例:不法分子对某软件传输协议进行逆向破解,通过网络贩卖牟利,其中某软件的传输协议包括Android版手机通讯协议、windows电脑版通讯协议、ios手机通讯协议、Mac电脑版通讯协议、iPad版通讯协议等。购买协议的人员,利用通讯协议封装在自行编写的程序软件中,实现登录和通讯功能。


在黑产建立的框架下,针对本身编写的程序软件,其功能以可编辑的脚本插件形式存在,利用插件实现批量消息群发、消息自动回复等功能。针对市面上较为成熟的一款伪客户端登录情况进行分析可见,假冒的客户端主要是通过导入破解的通讯协议,构造Http请求数据包并且发送Http请求,获取从原产品服务器返回的数据包以实现登录功能。登录后,软件不断向服务器发送心跳包,保持在线挂机。


为防止黑灰产养号行为,在正版软件客户端一般会设置安全策略,限制同时登录的账号数量,但是利用伪客户端机器人能够突破公司安全策略,实现不限量账号登录功能。这种批量登录,为黑灰产账号挂机提供基础运行环境,进而实现养号行为。同时利用功能插件,以实现消息群发,开展恶意引流。


(二)利用代码注入修改软件功能


社交工具软件的新版本往往会提高安全策略,以保证软件的登录安全,但是市面上由于不是全部用户选择更新,为满足这批用户的正常使用需要,因此一些历史版本也会继续运营,这些历史版本往往存在漏洞,能够被黑灰产从业人员利用,针对软件的某一特定版本,通过代码注入方式,修改软件进程,以实现相关黑产功能。


例如某软件机器人,利用CreateProcessAPI启动特定版本的软件程序并创建进程关系,之后将hookwechat.dll、wcinterface.dll等动态链接库注入进程的地址空间中,进而通过VirtualProtectAPI对内存的操作属性进行修改。注入的动态库能够控制软件的收发消息,以此实现消息的群发、自动回复等非客户端原有功能。


通过以上两种情况的分析可见,伪客户端机器人要实现相关功能,首先要建立能够与原版软件服务器进行通讯的登录框架环境,其次是利用插件或是代码注入控制消息的收发,最后按照黑灰产不同的作恶应用需求,以修改功能。黑灰产从业人员通过贩卖伪客户端机器人牟利,该类机器人在整个功能实现的过程中,伴随着未经授权非法获取数据以及修改原有系统整体性功能,其本身已经处于黑灰产地带。



3

伪客户端黑产工具所服务的黑灰产业

根据伪客户端能够实现的功能可见,黑产人员应用此类工具主要用于自动化养号、恶意引流、关键词信息互动,而由此衍生的下游黑产包括网络赌博、网络色情、网络诈骗、网络水军以及恶意营销等。


1. 恶意注册账号。账号是黑产人员作恶的基础,无论是网盘账号、短视频平台账号、微博账号还是社交平台账号,都是黑产得以作恶的前提。而网络公司均会建立关于账号方面的安全策略,其中之一就是根据账号的活跃度建立账号信用体系,以构建风控模型,因此养号在黑产作恶环节中尤为重要,只有增加活跃度才能防止被网络公司策略打击。在养号方面,黑灰产从业人员利用伪客户端机器人能够突破客户端登录限制等安全策略,从而开展批量登录的功能。实现批量登录后,利用群控插件,操控账号发送信息,更新相册,或是添加好友等,模拟自然人使用账号行为,以达到养号的目的。其中,为了规避互联网公司安全策略打击,在养号中还会使用到动态IP跳转、接码、打码等操作。


2. 恶意引流。黑灰产从业人员利用伪客户端机器人能够实现批量发送消息和群消息定时发送等功能。在实践中,此类群发消息的载体形式包括文字、图片、语音、视频、外部链接、二维码等。此外,由于伪客户端能够获取通讯信息,黑灰产也利用此功能编辑制作用于恶意引流的xml信息。例如腾讯公司配合公安机关破获的一起传播淫秽物品牟利案件中,嫌疑人利用某机器人软件登录账号,并且利用插件编辑xml信息,制作带有色情外链的结构化信息批量传播,并且以付费加群的方式进行牟利。此案中,黑产人员正是利用伪客户端机器人框架本身能够与正常软件服务器通讯的功能,对群信息进行编辑,并且利用群发功能实现恶意引流,吸引色粉用户付费进群,通过外链观看外部色情视频。


3.违法信息互动。用户输入某关键词,软件自动回复预先设定的语句。这样的场景,初期出现在邮件接收的自动回复。在电商兴起后,商家客服为了能及时告诉回复用户的咨询问题,建立能够自动回复的客服机器人,这便是之前提到的聊天机器人。黑产人员将这种功能用于组织和运营网络赌博,以及传播色情信息牟利等。在网络赌博方面,黑灰产从业人员主要是利用伪客户端机器人的消息自动回复以及群管理功能,制作赌博工具,在群里实现赌博的各种上分、下分等。例如腾讯公司配合公安机关破获一起使用赌博外挂组织网络赌博案件,经查发现,嫌疑人利用第三方客户端机器人框架,添加赌博工具代码,制作成赌博管理外挂,在社交工具软件群内实现下注、上分和下分,以及结算业务等群管理功能。


4

伪客户端黑产工具发展趋势—云端黑产

黑产为追求爆利,需要降低成本,往往要通过对黑产工具的群控,获取更多恶意流量。根据这种恶意群控的需求,催生出伪客户端云服务黑产。



以往,黑产利用伪客户端作恶需要在真实手机上安装相关第三方客户端的框架,用于实现伪客户端与正常软件服务器的通讯。但是获取大量恶意流量,就需要购置大量手机,且使用手机,又要配置猫池、卡池,还有大量手机卡,在当前主管部门严厉打击的前提下,黑产购置硬件的成本越来越高。在黑产行业内,专门作恶的工作室均要购置相关设备,这在黑产圈内使成本巨大。


随着云服务的发展,黑产上云也成为趋势。有一些懂得云技术的黑产人员专门制作伪客户端云服务的工具,利用贩卖黑产云服务,获取暴利。采用云服务的伪客户端,即是通过在云端模拟手机环境,批量登录伪客户端,猫池、卡池的功能均通过云端集成。以前,伪客户端的黑产链条是这样一个过程:协议破解和协议贩卖;利用破解的协议制作软件,并且进行推广分销;专门从事插件功能制作的团伙制作插件和贩卖;通过猫池、卡池结合打码和接码平台实现恶意注册等黑产功能;黑产用户将恶意账号绑定伪客户端开展下游作恶。现在,以上过程通过云实现,黑产人员只需要将恶意账号绑定伪客户端云平台即可以开展作恶操作。



5

伪客户端打击治理面临的难题

从上述行为看,以伪客户端为代表的上游黑产工具,为网络赌博、网络色情、电信诈骗等网络黑产提供了重要的入客渠道。现有监管机关此类行为的关注较低,缺少有针对性的行政规范指引,而且在刑事司法上也面临行为标准模糊、罪名适用困难、刑事处罚力度低等问题。


(一)行政处置缺少针对性规范


现有行政法规缺少对黑产工具方面的针对性规范,仅从数据安全、网络安全角度有所涉及,例如《网安法》第27条规定的“任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动;不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具”。同时该法也对实施此种行为且尚未构成犯罪的情况,规定了行政处罚及其标准。然而从公开案例看,《网安法》的该项条款适用上倾向于规制危害网络安全的行为,但实际执行案例较少。


(二)刑事打击面临难题


伪客户端可能涉及多种计算机犯罪,主要如下:


非法获取计算机信息系统数据、非法控制计算机信息系统罪。绝大部分伪客户端需要破解原App的通信协议后,才可以与原始软件用户之间实现互通功能,即此类伪客户端具有从原始软件服务器获取计算机信息系统数据的功能。伪客户端通过未授权的操作获取了服务器与原客户端之间存储、处理或者传输的数据,对服务器的正常操作流程和正常运行方式造成了干扰并非法取得数据发送、接收等控制性操作,应当符合非法获取计算机信息系统数据、非法控制计算机信息系统罪的构成要件。


提供用于侵入、非法控制计算机信息系统的程序、工具罪。根据两高《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》的规定,此类伪客户端系专门设计用于实现登录原始软件服务器并实现原始软件功能的程序、工具,使用伪客户端登录原始软件服务器属于未经授权获取计算机信息系统数据的行为,依法应当认定为专门用于侵入、非法控制计算机信息系统的程序、工具。由此,编写并售卖此类软件,应当符合提供用于侵入、非法控制计算机信息系统的程序、工具罪的构成要件。


破坏计算机信息系统罪。该观点将原始客户端与服务器认定为一个统一的系统,而部分伪客户端使用注入代码的方式,在原始客户端内增加了非法代码实现不法功能,在传输数据中增加了内容,破坏了原始客户端的完整性和纯粹性。应当以破坏计算机信息系统罪加以认定。但此罪名在适用上存在争议,例如框架插件类的伪客户端,由于使用破解的通讯协议与原软件的服务器进行通讯,黑产功能的实现是在第三方客户端上增加和修改的,即未改变原有软件本身的功能,更不涉及代码修改,司法实践中认为以群控机器人为代表的伪客户端,并未实际导致整个系统的瘫痪、不能正常运行等状态,群控机器人也仅是通过自动化操作的方式传输信息,并不是对在运行数据继续增加、删除、修改,不应认定为破坏计算机信息系统罪。


帮助信息网络犯罪活动罪。此罪在两高《关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》颁布后,对于此类专供黑产团伙下游犯罪的行为,从其犯罪目的和刑事打击角度上,适用更有针对性,也是立法原意的体现。但是司法实践上,对于帮助信息网络犯罪活动罪等计算机犯罪的适用仍然比较谨慎,即便有司法解释的情况下,往往公安、检察等司法机关仍然需要证实上下游的犯罪事实的前提下,才认定本罪。然而对于此类为黑产服务的专用工具,查实具体犯罪行为所对应的上下游犯罪面临极大的困难,不仅将大大延长侦查时间,导致危害扩大,同时也会极大的增加司法成本,不利于形成对犯罪行为的有效打击。


可见,除帮助信息网络犯罪活动罪适用较难之外,认定其他计算机犯罪均依赖于技术鉴定的功能分析,但是因伪客户端采取的技术手段复杂,导致鉴定难度较高,案件侦查周期较长。此外,各罪名实际判决中适用不一的问题也较为突出。


6

治理建议及法制完善

(一)采取官方授权,规范管理机器人接口


针对用户需求日益增多的情况,软件所属公司在无法投入更多资源到改进产品功能的业务中时,对于大众常用功能应该在授权的情况下,吸收优质开发者共同提升产品体验。授权的接口,应该符合公司整体安全策略部署,并且积极履行安全管理义务,防止已授权的产品下游出现黑灰产等作恶行为。在条件允许的时候,建议软件所属公司改进产品功能,升级优化功能。


(二)加强技术识别,完善安全保护措施


不断更新判定恶意账号的安全策略,包括在登录阶段的发现、识别、判定,以及在已登录后的恶意识别、判定、溯源、处罚、打击、救济等一系列安全举措。在不断识别和清理恶意第三方社交工具机器人的同时,采取多种手段遏制新增机器人接入的产生。


(三)提升行业标准,完善平台用户协议


为防范黑产保障平台安全,建议在软件服务协议中对用户行为进行规范约定,限制类似黑灰产的批量化操作行为。例如用户如果使用了脚本、协议挂或伪客户端App,实际是违反了与平台之间的约定,平台应有权对用户账号的使用进行限制甚至封禁。


(四)加强法律保护,形成行业震慑


网络黑灰产链条依靠互联网而起,其发展形态也会因互联网的发展而不断产生变化,注重建立日常情况下的刑事打击体系将能更有效实现治理。立法上,建议通过刑法修正案或司法解释的形式,明确相关罪名的构成和内涵,实现罪名的精准适用。实践中,积极适用包括帮助信息网络犯罪活动罪等相关计算机犯罪,可以有效的实现精准打击。


(五)注重案例指导,提高司法实践认识


司法实践中,注重典型案例的指导作用,消除在黑产整体作恶链条打击上罪与非罪、此罪和彼罪的疑惑和顾虑。同时,注重案件办理的宣传效果,达到刑事处罚惩罚犯罪、教育社会、防止再犯的目的。


(六)加重相关法定刑,增加犯罪成本


除了罪名适用尚需明确外,还应当进一步加大刑罚的力度,提高犯罪成本。


例如:对于情节严重的认定标准,可以从主观故意、技术独特性、行为后果等方面考虑,如涉案人数众多、资金数量特别巨大、导致国家或个人资产大量损失等。


(七)深化政企合作,建立联合治理机制


与传统犯罪特点不同的是,新型犯罪多数是非接触式犯罪,是新时代、新形势下的产物。从社会治理角度来看,打击是治标,治理才能治本。因此,针对伪客户端等新型黑产,打击不是目的,问责企业更不是解决渠道,而重点是要通过侦查打击摸清犯罪手法和规律,找到根源,共商治理之道。建议政企合作,警企联合,行业共治,建立完善的联合治理机制,一是要切实梳理网络时代发展过程中遗留的历史问题,在黑产链条的各个环节找准问题关键点,明确关键点对应的职能机构,形成治理链条责任制,对黑产预测、预防、控制、打击等活动,贯穿于网络产业、产品、服务等方面。二是建立国家级、省市级、区域级三级联动黑灰产治理平台,广泛引进或聘任体制内外网络黑灰产治理专业人才,建立统一的黑灰数据联动打击策略与标准,针对不同产品形态的企业,以政府各职能监管机构为依托,分别依法依规指导企业,梳理网络黑产链条关键问题,在主要部门的统一牵动下形成治理合力,同时,三级治理平台联动,开展黑灰数据横向、纵向交叉核验,指导相关企业处置并反馈。三是在黑灰产治理方面,将重点企业纳入国家治理机制成员单位,针对机制成员的企业队伍,一方面做好保护,防止海外发展受限,另一方面采取例会、座谈等定期与不定期见面的形式,对重点企业的新产品、新功能可能衍生的新黑产进行提前研究,抑制新型黑产蔓延。



推荐阅读
喜欢就马上一键三连👇

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存