查看原文
社会

托福考试保过?解密国内线上考试作弊的黑色产业链

威胁情报中心 奇安信威胁情报中心 2024-03-22

概述

自奇安信威胁情报中心于2020年披露《第三方支付平台付款1元实付1000,这个新骗术坑了不少人!》[1]新型黑色产业链后,我们已经有很长一段时间没有对国内新兴黑色产业链进行研究,从社会发展的角度来看,新兴黑产的崛起必然依托于某一全球性事件。在过去四年中,新冠大流行给各行各业带来了翻天覆地的变化。大多数工作转移到了线上,其中包括在线考试。因此,如何规避线上考试的检测机制,确保考生能够顺利获取理想成绩,成为当下新兴黑产亟需解决的问题。


本文主要的目的是要将奇安信政企终端中发现的作弊程序与我们亲身调查的情况相结合共同描绘出线上考试作弊这一新兴黑色产业链的背景、土壤和技术,技术流程如下:



线上考试的发展和现状

       国外早在较早时期就开始了对在线考试系统的研究,并已经形成了庞大的体系。举例来说,托福家考服务于2021年向中国大陆地区开放,其考试结果受到多数国外大学的认可。因此,越来越多的留学生选择在家进行托福或者GRE的考试。为了确保监考的目的,考生被要求安装ProctorU插件和ETS secure browser。这也是目前黑产主要瞄准的方向之一。



       根据全球化智库(CCG)发布的《中国留学发展报告蓝皮书(2023-2024)》的数据[2],从2023年起,美国、英国等国对中国学生签发的留学签证数量显示出中国学生海外留学需求依然旺盛的趋势,出国留学的趋势正在稳步复苏。据报告显示,选择英语国家作为留学目的地的中国学生占比高达60%。



在留学需求逐年上升的趋势下,必然会滋生出以技术手段替考、代考等方式来骗取国外大学的入学资格。除了大学生外,国企工作人员为了评级晋升也需要获得境外机构颁发的证书,因此他们同样会购买类似的黑产服务。


根据艾媒咨询的数据[3],近几年来,国内在线考试SAAS服务在相关政策的支持下得到了飞速发展,市场规模预计将在2028年增至954.6亿元。



用户调研显示,国内未来将会有越来越多的场景采用线上考试的模式。从安全攻防的角度来看,未来线上考试的作弊与反作弊将会像游戏作弊和反作弊一样持续对抗下去,永不停歇。


产业链调查

       在2021年初,国内媒体曝光了一些提供线上考试作弊服务的案例,当时替考服务刚刚兴起,市场上存在着鱼龙混杂的情况,经常会出现被检测到的案例。



       然而,经过了两三年的沉淀,目前售卖的服务已经能够保证考试的正常进行,并且不容易被检测到。以下是一些在相关网站上看到的服务案例:



       黑产会在国内的社交媒体上进行宣传,我们在微信朋友圈、小红书和淘宝上找到了宣传的文案:




有些团伙甚至创办了培训公司表面上提供真题题库和名师讲解,在深入聊天后即可解锁“高科技”作弊服务。



培训老师会根据考生理想中的分数收取1-3万元不等的费用。



谁在使用线上作弊服务?

远控C2服务器的页面如下,主要用于RDP远程考生的电脑。



基于奇安信大数据的遥测数据,我们可以通过回连的域名来进行统计,国内各省份使用该作弊服务的情况:



作弊时使用的网络场景数据图如下:



我们对部分企业专线对应的行业进行了研判,整理出使用作弊服务的行业数据



       从省份上看,经济发达的省份使用线上考试作弊服务的占比较多,符合经济发展的客观规律,行业上,我们观察到某个线下考场的出口IP存在回连作弊C2的情况,作弊服务的业务范围可能远不止线上,黑产可能提供了定制化线下的作弊服务。


技术细节披露

基于终端数据,我们观察到作弊程序在c:\windows\system32\microsoft\目录下释放了一个名为csrss.exe的可执行文件,经过分析发现为github开源项目MeshCentral Agent魔改而来的远控程序,支持主流PC平台的远程控制。



与C2服务器建立连接之后会在c:\windows\temp\目录下发名为winhwapi.exe的作弊程序,创建一个互斥体



然后会将自身移动到 C:\$RECYCLE.BIN\phqg.dat


然后会释放自身资源到 system32 文件夹下,包括两个用于作弊的 DLL 和一个插件自身的64位版本



释放完毕后首先会终止 ExamShield.exe 进程,该进程是一个安全锁定浏览器,用于 PeopleCert 在线考试



之后会创建一个线程,用于循环检测与远程考试相关的进程,如果检测到就将之前释放的用于作弊的 DLL 注入



检测的相关进程如下



之后会循环检测具有 WS_VISIBLE 属性的顶层窗口,并将 DLL 注入到窗口对应的进程中



用于作弊的 DLL 主要行为是使用 Detour 库对相关 API 进行 HOOK 来躲避远程考试程序的检测,其 HOOK 的 API和对应功能如下:

  • CreateProcess:将作弊 DLL 注入到创建的新进程中


  • CreateProcessAsUser:在日志记录调用情况

  • SetWindowsHookEx:在日志记录调用情况

  • SetWindowDisplayAffinity:屏蔽掉 dwAffinity 参数不为 0 的调用



  • GetWindowDisplayAffinity:永远返回 1,与SetWindowDisplayAffinity的HOOK进行配合目的是将考试窗口对所有人可见。

  • SysAllocString:将参数为 root\cimv2 的字符串改为 root 调用



  • NtQuerySystemInformation:在返回结果中隐藏如下进程,这些进程都与远程桌面或作弊进程本身相关


  • Process32Next 和 QueryFullProcessImageName:不会返回如下进程



  • CreateDesktop:在日志记录调用情况



之后会创建线程用来检测考试软件是否对其 HOOK 的 API 进行调用,如果发现考试软件通过 API 对键盘等设备进行挂钩,则进行解除



并且会解除桌面上窗口的显示限制,用于远程桌面能够看到考生机器的信息。



参考链接

[1].https://mp.weixin.qq.com/s/cQo4oZlD4oA4tRAU9Ap4cg

[2].http://www.ccg.org.cn/yjlist/page/3?fjcat=%E6%99%BA%E5%BA%93%E7%A0%94%E7%A9%B6&zjcat=%E6%99%BA%E5%BA%93%E7%A0%94%E7%A9%B6

[3].https://report.iimedia.cn/repo14-0/43443.html?acPlatCode=IIMReport&acFrom=recomBar&iimediaId=96580

点击阅读原文ALPHA 7.0

即刻助力威胁研判



继续滑动看下一个
向上滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存