浅论如何打击网络黑产 – 作者:Lrwxkyh

1 前  言

单从实名制出发，虽然有效，但见效慢，漏洞多，如果想要在短时间里进行低成本有效的遏制网络黑产的存在，应当采取更加多样的措施。

应当了解的是，即便是黑产同样也是需要研发成本、配套设施、运维、客服、宣传、美术，甚至堡垒机。一个完善的坚固的软件需要大量的投入成本，而投入成本的增加，便可有效的遏制网络黑产的运营环境。

在我对黑产长达半年多的渗透过程中，以下几种服务是黑产常用的。

Ji@guang、you@meng、mei@qia、open@install、Github等。

由于长时间的无人管理和缺乏溯源渠道，这里已经称为黑产软件的天堂。

2 打击建议

由于对于开发的不了解，我只能从溯源的角度提供建议，降低溯源难度，提高黑产软件的开发和运营成本。

2.1 相关网站实名

在渗透溯源中，身份溯源往往是最困难的。但软件为了降低开发成本使用国内公司的服务却可以帮助我们溯源，例如jigung、youmeng等公司，会在用户使用软件的过程中收集用户信息，我们可以在软件的流量中捕捉到这些信息，并找到软件的标识码。

但在某些网站在为黑灰产提供服务时，网站并不会要求开发者进行实名认证，甚至无需绑定手机即可使用。这大大增加了溯源的难度，也为黑产开了一扇大门。

2.2 对黑灰产软件重点使用的产品进行清查

由于网站监管不力，或在用户使用过程中存在隐私问题。部分网站对于黑产软件处于一种包容态度，并且不提供反馈渠道，或者溯源困难，一般用户并没有溯源能力，有些网站则对举报不受理，在用户举报后继续为网络黑产软件提供服务。

2.3 要求网络黑产重点使用的产品提高辨识度

例如在用户使用黑产的客服系统时，向用户提供可辨识的黑产客服ID，便于用户及时反馈。

2.4 规范软件开发和安装的实名合法性

在黑产由网站向手机软件转型的过程中，规范软件开发的合法性是非常必要的，这可以有效避免恶意软件的错误安装，但实施困难。

2.5 完善相关法律

对于黑产习惯将网站服务器架设在香港、使用图片CDN服务加速浏览速度、利用国内公司服务降低开发成本提高开发效率的现状，理应完善相关法律，提高主体责任意识。

3 打击方法

最有效的打击方法便是根据黑产网页流量判断黑产指纹信息，故而需要使用BurpSuite等抓取流量的产品。

另建议搭建安卓渗透环境，购买一台二手手机，做个代理安装一下CA证书便可。虚拟机环境搭建较为困难，不建议尝试。

3.1 客服页面溯源

部分客服系统可以轻松的找到用户ID，可用此ID进行溯源。

详细的方法为：使用burpsuite判断使用的客服产品，利用查看url、F12查看网页源码或者抓包查看流量等方式，可供溯源的ID、token等信息。

3.2 下载页面 openinstall 服务信息

部分黑产软件的下载页面会使用openinstall的服务，可以抓取流量进行溯源。

详细的方法为：使用burpsuite抓包，对黑产软件下载页面进行浏览，观察流量走向。

3.3 AndroidManifest.xml 推送服务信息

由于我对安卓软件的开发并不了解，所以我对于推送服务的必要性也不了解。但是黑产经常用一些奇奇怪怪的推送服务。可溯源性不强，但在无法搭建安卓渗透环境时还是非常有用的。

详细的方法为：使用apktool进行解包，阅读AndroidManifest.xml文件便可，对文件内的链接进行访问，便可浅要判断软件所使用的服务信息。

3.4 搭建安卓渗透环境，查看网站流量走向

由于安卓渗透环境的复杂性，和后端地址无法直接查看的原因，有些黑产软件的后端直接架设在国内的服务器上。

大部分的黑产软件为了缩短制作周期和成本，会集成国内公司的服务，用来收集用户信息，检测软件安装情况。而相关的发送到国内公司的流量会存在软件识别ID用以溯源。

详细的方法；使用burpsuite抓包，查看软件流量走向，和识别信息。

4 初衷和建议

网络实名是必不可少的，但在网络实名的同时，应利用并开发二级实名体系。例如：必须绑定手机号，且每隔一段时间需要验证一次短信。或者自主设置短信验证的频率，高风险违约用户需要进行短信验证等措施，提高溯源的可行性。

安全、健康、诚信。

作者：lings-

来源：freebuf.com 2021-07-17 21:54:50 by: Lrwxkyh