黑灰产行业是怎么运行的?游戏黑灰产识别和溯源取证

李志宽
• 阅读 2053

游戏中的黑灰产

一般来说,黑色产业指的是从事具有违法性的活动且以此来牟取利润的产业。而灰色产业则指的是不明显触犯法律和违背道德,游走于法律和道德边缘,以打擦边球的方式为“黑产”提供辅助的争议行为。

游戏中的黑灰产主要围绕着:外挂辅助软件、盗号软件、工作室、私服、木马、钓鱼软件。

外挂:外挂就是一种基于游戏进行作弊的软件,通过利用第三方软件或程序对游戏数据进行修改,篡改游戏原本正常的设定的逻辑规则,使得游戏角色的特定数据变成异常的数据。

私服:私服在本质上属于盗版游戏,即未经授权,非法获得游戏服务器端和游戏客户端程序,之后自行设立游戏网络服务器,供其他玩家使用。

倒卖游戏资源:即利用各种非法手段,从游戏中获取虚拟货币、虚拟道具等游戏资源,以低于游戏官方售价的价格出售给玩家,赚取差价。

黑产在游戏中的获利模式有:养号卖号、卖游戏虚拟币游戏道具、游戏装备、代练、外挂作弊软件的出售、游戏逆向的数据或协议售卖、游戏中挖掘的漏洞售卖。

黑灰产行业是怎么运行的?游戏黑灰产识别和溯源取证

游戏黑灰产不同层面的表现

账号层 : 批量注册机注册、养号扫号、人机对抗、撞库、盗号等等

流量层:流量攻击(DOOS攻击)、游戏的爬虫、游戏活动中的薅羊毛等等

设备层:虚拟设备、模拟器、群控软件、云手机,改机软件等等

业务层:通用的游戏脚本、游戏漏洞挖掘利用、游戏多开等等

黑灰产行业是怎么运行的?游戏黑灰产识别和溯源取证

游戏黑灰产的产业链

游戏黑灰产的整个产业链主要分为:上游、中游、下游。

黑灰产行业是怎么运行的?游戏黑灰产识别和溯源取证

游戏黑产的上游根据中游和下游的需求,研发和提供各类黑灰产相关工具和资源。

1、工具开发者:开发各类黑灰产工具,具备一定的研发能力,大多使用Python、Lua、易语言、按键精灵、TC脚本,有较强的反侦查和反检测能力,并且都具有固定的中游销售渠道(代理或内部工作室),多为兼职人员。

2、卡源卡商 : 大多以正常业务为幌子,通过各种渠道从运营商或代理商获取手机卡资源,并向接码平台、号商等出售,并定期回收销号。其提供的手机卡按类型可分为:虚拟卡/实卡、语音卡/短信卡、海外卡/国内卡、流量卡/注册卡。

3、猫池厂商 : 向接码平台提供猫池设备,可分为2G、3G、4G猫池。

4、号商 : 大量注册平台账号,并以人工或工具方式养号,借助账号代售平台进行账号出售。

5、黑客 : 通过渗透技术或社会工程学手段发起攻击,以窃取游戏用户数据为主要目的,再通过各种渠道对用户数据进行出售。

游戏黑产的中游负责将上游生产和提供的各类黑灰产资源进行包装和批量转售,多以各类平台或服务的形式存在。

1、接码平台 : 负责连接卡商和羊毛党、号商等有手机验证码需求的群体,提供软件支持、 业务结算等平台服务,通过业务分成获利。

2、打码平台 : 为软件开发者、工作室、普通用户提供即时、精准的图片识别答题服务,通过识别验证码服务获利。

3、帐号代售平台 : 对工作室、普通用户提供相对应需求的账号,通过抽取相对应的佣金获利。

4、工具代售平台 : 对工作室、普通用户提供解决刷量需求的工具,通过抽取相对应的佣金获利。

5、地下黑市 : 相关的黑灰产业交流群、论坛,为工作室、普通用户提供一个需求解决场所。

产业链下游负责直接执行黑灰产行为,多以工作室、游戏公会形式存在。

1、刷游戏资源工作室 : 通过在游戏中利用大量的帐号和设备,利用挂机脚本在游戏中挂机完成各种任务、活动、副本来获取游戏物品和金币(指可交易的游戏虚拟币),然后再通过第三方交易平台进行交易出售。

2、引流工作室 : 解决客户的需求,将游戏中大量玩家引向其他游戏平台、游戏公会,对引流人数和引向的平台设置不同的门槛,抽取佣金。

黑产情报建设

情报挖掘是黑灰产对抗中至关重要的组成部分,对抗始于情报,亦终于情报。

黑灰产行业是怎么运行的?游戏黑灰产识别和溯源取证

游戏黑灰产的对抗工作,不是简单的一环,而是一个完整的产业链。需要由从技术层面分析并瓦解每一个游戏的异常。例如在游戏运行环境中有没有使用作弊工具、篡改设备、绕过平台规则等,再由技术层面对异常进行分析,最后解决异常。或是利用舆情,检索黑灰产团伙的交流社群,渗透其中获取信息和动态。

游戏黑灰产中的情报建设主要包括:情报收集、信息加工、情报分析溯源、情报处理。

情报收集: 情报平台的收集(基于人工的收集、玩家举报、内部情报平台的建设)

信息加工: 排查分析确认情报是否有用,情报的分拣分类,数据特征提取。

情报分析 : 情报的实现原理分析,样本原理分析、高危玩家,黑灰产场景,黑名单库,作弊工具集,作弊作者库。

情报溯源: 溯源黑灰产作者信息、固定作者的黑灰产证据。

情报处理: 风险控制、游戏黑灰产对抗、线上线下结合打击。

黑灰产行业是怎么运行的?游戏黑灰产识别和溯源取证

情报的收集是为了及时发现游戏的漏洞,并及时更新解决游戏存在的漏洞。

情报平台收集: 贴吧、QQ群、微信群、网盘、淘宝、闲鱼、游戏黑产技术或交易论坛(广海论坛、52辅助、5173交易平台、DD373交易平台等)、暗网黑市、Telegram群、微博等等。

内部自建情报: SRC情报、反爬虫数据、反外挂数据、游戏自建的论坛数据、游戏内的玩家举报数据。

情报溯源处理: 溯源处理,通过对游戏登录的用户信息,用户的设备信息,用户游戏中的行为等数据,对这些数据进行做加工,进行情报溯源处理。最终输出情报高危黑名单,以及手机号,作弊工具,用户ip和游戏行为。

其他的情报术语

1、开源情报:通过对公开的信息进行深度的挖掘分析,确认具体的威胁或事件,从而直接指导这些威胁或事件的具体决策和行动。

2、闭源情报:通过对内部平台所监控到信息进行深度的挖掘分析,确认具体的威胁和事件,从而直接指导这些威胁或事件的具体决策和行动。

3、工具情报:通过对黑灰产工具做深入的逆向分析,了解其攻击原理和攻击方式方法,然后通过聚类以及关联分析的方式挖掘出这个工具背后一系列的黑色产业链、黑产团伙、攻击目标和变种工具等等,从而描绘出一个以工具为源头的黑灰产产业链关系图谱。其能有效定位企业当前所处的风险状态,还原攻击特征迭代风控规则。

溯源能力建设

在游戏黑产中构建溯源技术架构一般分为:源数据层、数据开发层、溯源分析层、数据存储层、数据应用层。

从技术架构上,底层主要以检测数据、异常日志、情报为主,数据层根据各种业务场景抽象出各类规则和策略,再上一层进行抽象具体的场景。最终溯源出的结果,会存放再数据存储层,然后用可视化平台进行给各部门进行处罚打击。

源数据层: 设备环境数据、三方情报、风控数据、业务数据、恶意可疑样本检测

数据开发层: 异常环境数据、异常业务数据、防控策略。

溯源分析层: 情报数据自动溯源分析、样本分析、网络特征、作弊方案分析

数据存储层: 外部黑灰产识别数据,黑灰产数据规则

数据应用层: 防控、风控、打击、大数据关联。

基于蜜罐技术和情报挖掘能力构建黑灰产监测平台,主要监测黑灰产交流渠道、攻击工具、攻击流量、使用资源(比如: 恶意IP、恶意手机号、恶意账号等),并将数据进行沉淀形成业务情报平台。

情报平台主要用于数据展示,具有攻击性的IP地址、手机号、工具等情报。

情报来源包括三类,开源情报、监测网络平台上沉淀的闭源情报与工具情报。重点解决互联网反欺诈安全问题,例如恶意注册、薅羊毛、流量欺诈、爬虫、恶意引流等。

溯源处理,通过对游戏登录的用户信息,用户的设备信息,用户游戏中的行为等数据,对这些数据进行做加工,进行情报溯源处理。最终输出情报高危黑名单,以及手机号,作弊工具,用户ip和游戏行为。

由于游戏黑灰产的攻击方式不断迭代优化,因此长期深入跟踪黑灰产的产业链、攻击模式以及使用的资源将是重中之重。

打击取证

游戏黑灰产的整个打击可细分为:溯源、分析、报案、取证、打击五个阶段。

溯源阶段: 需要通过检测数据、异常日志、行为、样本,明确作弊手法、作弊工具。

分析阶段:明确罪名,目前游戏黑灰产打击中主要有2个罪名:一个是非法获取计算机系统,第二个是破坏计算机系统。

报案阶段 : 需要一些有法务工作经验的同事,写作方案书。与警方进行初步的沟通,尽量用通俗的语言解释作弊情况。并提交相应证据材料。

取证阶段 : 警方会指定第三方鉴定所,进行取证。基本的取证流程有固定的时间和地点,进行录屏。

抓捕阶段 : 关键的是需要技术人员配合,现场抓捕,需要当场抓获一些工具和数据。需要的话,在抓捕后的审讯阶段,也要配合警方诉讼。

整个的案件打击中需要通过黑产信息去溯源分析出要打击的详细目标信息,以及黑灰产中的金额收益。并且需要提供准确的黑灰产的证据。

游戏黑灰产对抗小思路

1、对游戏的黑灰产相关论坛、社交群、网盘近期出现的新增高频词汇设定阈值,对超过设定阈值的词汇溯源。

2、深入研究游戏黑灰产业链模式,对比核心产业链模式特征,总结产业链中角色交叉衍生产业链的上游(黑灰产工具开发作者),并对上游人员监控。

3、对已发生事件追溯源头,通过分析产业链结构、成员角色、成本、利润来设置不同的解决措施。

4、对持续存在的结构模式,通过捕获市场上存在周期长且特征明显的工具进行逆向分析,提高对批量行为的审核和监控,进一步提高黑灰产从业人员的成本。

5、通过对典型有效的黑灰产工具的逆向,对存在业务逻辑漏洞的方向调整,提高黑灰产工具的开发成本。

6、批量行为都是有迹可循的。企业可以针对恶意用户的行为偏好和其在黑产中的使用广度,在设备信息、注册信息重合度、恶意用户的行为数据等方面,进行多维度的判断。

7、结合恶意数据情报库,对可疑用户提高注册门槛、增加复杂验证码等,并对这些用户进行重点监控,当其进行敏感操作时,进行防护。

8、打击游戏的黑灰产需要通过技术手段和运营策略相结合。

如何学习呢?有没有免费资料?

今天免费分享 免费分享!

以上大型逆向安全黑产技术点学习资料获取方式:

转发 !

转发 !

转发 !关注我 私信回复关键词:“ 黑产 ” 即可免费领取!

点赞
收藏
评论区
推荐文章
李志宽 李志宽
2年前
让人头疼的吃鸡外挂,一起来逆向分析一波
前言:最近在浏览某网络论坛,看到一款刺激战场的吃鸡外挂软件下载量很高,出于对游戏外挂样本的敏感及逆向的专注,就从论坛上下载一个样本,并进行对该游戏外挂样本,深度功能分析及还原破解的逆向实践,主要从外挂样本的功能表现,样本的基础属性、样本的实现功能、样本的验证功能破解进行实践。基本属性(分析这些未知的软件切记得在虚拟机环境下进行)启动游戏辅助样本后,从表面上
专注IP定位 专注IP定位
2年前
网安行业这几个熟悉又陌生的名词,啥帽子都清楚啦?
随着网络的普及,黑客、暗网、黑产,网络上不法分子越来越多。但现在从国家到每个人对于网络安全意识越发的重视,魔高一尺道高一丈,白帽、红帽的出现打击了不法分子嚣张的气焰,那么,这几个熟悉又陌生的名词你知道是啥意思么?下面小编带你一起来盘点一下。1、黑产网络黑产,指以互联网为媒介,以网络技术为主要手段,为计算机信息系统安全和网络空间管理秩序,甚至国家安全、社会政治
咕咕鸡 咕咕鸡
1年前
风控规则引擎构建及挑战
如果决策引擎是风控的大脑,那么规则引擎则是大脑内的重要构成,其编排了各种对抗黑产的规则,是多年对抗黑产的专家经验的累计,本文将向你介绍规则引擎的构成及实现。
李志宽 李志宽
2年前
重拳出击!我是这样对灰产外挂下手的
分析外挂样本一般的步骤1.对外挂样本进行简单的信息分析。2.分析还原外挂样本具体功能实现方式。3.分析外挂样本的反检测功能。1.对外挂样本进行简单的信息分析查看文件属性,灰产及外挂的标配语言“易语言”通过ExeinfoPe查壳工具进行对外挂样本查壳,看看发现是没加壳的应用程序。(心里突然咯噔了下,收费的外挂竟然都不做点保护,不对自己的程序负
李志宽 李志宽
12个月前
2023年最流行的道德黑客工具
道德黑客工具和软件是由开发人员设计的计算机程序或复杂类型的脚本,由安全专业人员用于识别机器操作系统、web应用程序、服务器和网络中的弱点。如今,许多企业都依赖这种道德黑客工具来更好地保护数据免受各种攻击。安全专家使用诸如包嗅探器、密码破解器、端口扫描器等黑
Wesley13 Wesley13
2年前
CE修改器:外挂制作高级技巧
CheatEngine一般简称CE,是一个开放源代码的作弊软件,其功能包括:内存扫描、十六进制编辑器、调试工具,CheatEngine自身附带了外挂制作工具,可以用它直接生成外挂工具,CE可以说是目前最优秀的游戏修改器不是之一,这个工具绝对值得你去学习,这里希望你能够活学活用。人造指针的使用技巧实验目标:通过向游戏中注入一段特殊的汇编
专注IP定位 专注IP定位
2年前
网络安全—如何从IP源地址角度,预防DDoS攻击?
从1966年分布式拒绝服务(DDoS)攻击诞生至今,便一直困扰着网络安全,尤其是随着新技术的不断催生,导致DDoS攻击结合新技术演变出多种类型。DDoS攻击作为黑灰产的手段之一,使许多企业与国家蒙受巨大损失。爱沙尼亚网络战2007年4月,爱沙尼亚遭受了大规模DDoS攻击,黑客目标包括国会、政府部门、银行以至媒体的网站,其攻击规模广泛而且深纵,这次袭击是
专注IP定位 专注IP定位
1年前
搜狐员工遭遇工资补助诈骗 黑产与灰产有何区别 又要如何溯源?
“网络黑灰产”大家对这个词并不陌生,但是其实黑产并不等于灰产,两者还是有区别的。网络黑灰产涉及黑产和灰产两个方面,黑产中的“黑”主要是指法律明确将此类行为规定为违法犯罪行为。而灰产则与黑产有所不同,是指行为在立法上尚未有明确的规定,游离于违法犯罪的边缘,未构成犯罪的行为,如恶意注册、买卖账号等。而网络黑灰产业指的是借助于网络平台与技术实施的网络违法犯罪,该类
秦朗 秦朗
1个月前
虫虫游戏逆向vip3
//下仔のke:https://yeziit.cn/14341/游戏逆向是游戏开发中的一个重要环节,它涉及到对游戏内部机制的分析、理解和修改。通过对游戏的逆向工程,开发者可以深入了解游戏的实现原理和技术细节,从而进行游戏修改、游戏外挂制作、游戏优化等。在游
秦朗 秦朗
1个月前
虫虫游戏逆向vip3
//下仔のke:https://yeziit.cn/14341/游戏逆向是游戏开发中的一个重要环节,它涉及到对游戏内部机制的分析、理解和修改。通过对游戏的逆向工程,开发者可以深入了解游戏的实现原理和技术细节,从而进行游戏修改、游戏外挂制作、游戏优化等。在游
李志宽
李志宽
Lv1
男 · 长沙幻音科技有限公司 · 网络安全工程师
李志宽、前百创作者、渗透测试专家、闷骚男一位、有自己的摇滚乐队
文章
89
粉丝
25
获赞
43