游戲黑灰產識別和溯源取證
游戲中的黑灰產
一般來說,黑色產業指的是從事具有違法性的活動且以此來牟取利潤的產業。而灰色產業則指的是不明顯觸犯法律和違背道德,游走于法律和道德邊緣,以打擦邊球的方式為“黑產”提供輔助的爭議行為。
游戲中的黑灰產主要圍繞著:外掛輔助軟件、盜號軟件、工作室、私服、木馬、釣魚軟件。
外掛:外掛就是一種基于游戲進行作弊的軟件,通過利用第三方軟件或程序對游戲數據進行修改,篡改游戲原本正常的設定的邏輯規則,使得游戲角色的特定數據變成異常的數據。
私服:私服在本質上屬于盜版游戲,即未經授權,非法獲得游戲服務器端和游戲客戶端程序,之后自行設立游戲網絡服務器,供其他玩家使用。
倒賣游戲資源:即利用各種非法手段,從游戲中獲取虛擬貨幣、虛擬道具等游戲資源,以低于游戲官方售價的價格出售給玩家,賺取差價。
黑產在游戲中的獲利模式有:養號賣號、賣游戲虛擬幣游戲道具、游戲裝備、代練、外掛作弊軟件的出售、游戲逆向的數據或協議售賣、游戲中挖掘的漏洞售賣。
游戲黑灰產不同層面的表現
- 賬號層 : 批量注冊機注冊、養號掃號、人機對抗、撞庫、盜號等等
- 流量層:流量攻擊(DOOS攻擊)、游戲的爬蟲、游戲活動中的薅羊毛等等
- 設備層:虛擬設備、模擬器、群控軟件、云手機,改機軟件等等
- 業務層:通用的游戲腳本、游戲漏洞挖掘利用、游戲多開等等
游戲黑灰產的產業鏈
游戲黑灰產的整個產業鏈主要分為:上游、中游、下游。
游戲黑產的上游根據中游和下游的需求,研發和提供各類黑灰產相關工具和資源。
1、工具開發者:開發各類黑灰產工具,具備一定的研發能力,大多使用Python、Lua、易語言、按鍵精靈、TC腳本,有較強的反偵查和反檢測能力,并且都具有固定的中游銷售渠道(代理或內部工作室),多為兼職人員。
2、卡源卡商 : 大多以正常業務為幌子,通過各種渠道從運營商或代理商獲取手機卡資源,并向接碼平臺、號商等出售,并定期回收銷號。其提供的手機卡按類型可分為:虛擬卡/實卡、語音卡/短信卡、海外卡/國內卡、流量卡/注冊卡。
3、貓池廠商 : 向接碼平臺提供貓池設備,可分為2G、3G、4G貓池。
4、號商 : 大量注冊平臺賬號,并以人工或工具方式養號,借助賬號代售平臺進行賬號出售。
5、黑客 : 通過滲透技術或社會工程學手段發起攻擊,以竊取游戲用戶數據為主要目的,再通過各種渠道對用戶數據進行出售。
游戲黑產的中游負責將上游生產和提供的各類黑灰產資源進行包裝和批量轉售,多以各類平臺或服務的形式存在。
1、接碼平臺 : 負責連接卡商和羊毛黨、號商等有手機驗證碼需求的群體,提供軟件支持、 業務結算等平臺服務,通過業務分成獲利。
2、打碼平臺 : 為軟件開發者、工作室、普通用戶提供即時、精準的圖片識別答題服務,通過識別驗證碼服務獲利。
3、帳號代售平臺 : 對工作室、普通用戶提供相對應需求的賬號,通過抽取相對應的傭金獲利。
4、工具代售平臺 : 對工作室、普通用戶提供解決刷量需求的工具,通過抽取相對應的傭金獲利。
5、地下黑市 : 相關的黑灰產業交流群、論壇,為工作室、普通用戶提供一個需求解決場所。
產業鏈下游負責直接執行黑灰產行為,多以工作室、游戲公會形式存在。
1、刷游戲資源工作室 : 通過在游戲中利用大量的帳號和設備,利用掛機腳本在游戲中掛機完成各種任務、活動、副本來獲取游戲物品和金幣(指可交易的游戲虛擬幣),然后再通過第三方交易平臺進行交易出售。
2、引流工作室 : 解決客戶的需求,將游戲中大量玩家引向其他游戲平臺、游戲公會,對引流人數和引向的平臺設置不同的門檻,抽取傭金。
黑產情報建設
情報挖掘是黑灰產對抗中至關重要的組成部分,對抗始于情報,亦終于情報。
游戲黑灰產的對抗工作,不是簡單的一環,而是一個完整的產業鏈。需要由從技術層面分析并瓦解每一個游戲的異常。例如在游戲運行環境中有沒有使用作弊工具、篡改設備、繞過平臺規則等,再由技術層面對異常進行分析,最后解決異常。或是利用輿情,檢索黑灰產團伙的交流社群,滲透其中獲取信息和動態。
游戲黑灰產中的情報建設主要包括:情報收集、信息加工、情報分析溯源、情報處理。
情報收集: 情報平臺的收集(基于人工的收集、玩家舉報、內部情報平臺的建設)
信息加工: 排查分析確認情報是否有用,情報的分揀分類,數據特征提取。
情報分析 : 情報的實現原理分析,樣本原理分析、高危玩家,黑灰產場景,黑名單庫,作弊工具集,作弊作者庫。
情報溯源: 溯源黑灰產作者信息、固定作者的黑灰產證據。
情報處理: 風險控制、游戲黑灰產對抗、線上線下結合打擊。
情報的收集是為了及時發現游戲的漏洞,并及時更新解決游戲存在的漏洞。
情報平臺收集: 貼吧、QQ群、微信群、網盤、淘寶、閑魚、游戲黑產技術或交易論壇(廣海論壇、52輔助、5173交易平臺、DD373交易平臺等)、暗網黑市、Telegram群、微博等等。
內部自建情報: SRC情報、反爬蟲數據、反外掛數據、游戲自建的論壇數據、游戲內的玩家舉報數據。
情報溯源處理: 溯源處理,通過對游戲登錄的用戶信息,用戶的設備信息,用戶游戲中的行為等數據,對這些數據進行做加工,進行情報溯源處理。最終輸出情報高危黑名單,以及手機號,作弊工具,用戶ip和游戲行為。
其他的情報術語
1、開源情報:通過對公開的信息進行深度的挖掘分析,確認具體的威脅或事件,從而直接指導這些威脅或事件的具體決策和行動。
2、閉源情報:通過對內部平臺所監控到信息進行深度的挖掘分析,確認具體的威脅和事件,從而直接指導這些威脅或事件的具體決策和行動。
3、工具情報:通過對黑灰產工具做深入的逆向分析,了解其攻擊原理和攻擊方式方法,然后通過聚類以及關聯分析的方式挖掘出這個工具背后一系列的黑色產業鏈、黑產團伙、攻擊目標和變種工具等等,從而描繪出一個以工具為源頭的黑灰產產業鏈關系圖譜。其能有效定位企業當前所處的風險狀態,還原攻擊特征迭代風控規則。
溯源能力建設
在游戲黑產中構建溯源技術架構一般分為:源數據層、數據開發層、溯源分析層、數據存儲層、數據應用層。
從技術架構上,底層主要以檢測數據、異常日志、情報為主,數據層根據各種業務場景抽象出各類規則和策略,再上一層進行抽象具體的場景。最終溯源出的結果,會存放再數據存儲層,然后用可視化平臺進行給各部門進行處罰打擊。
源數據層: 設備環境數據、三方情報、風控數據、業務數據、惡意可疑樣本檢測
數據開發層: 異常環境數據、異常業務數據、防控策略。
溯源分析層: 情報數據自動溯源分析、樣本分析、網絡特征、作弊方案分析
數據存儲層: 外部黑灰產識別數據,黑灰產數據規則
數據應用層: 防控、風控、打擊、大數據關聯。
基于蜜罐技術和情報挖掘能力構建黑灰產監測平臺,主要監測黑灰產交流渠道、攻擊工具、攻擊流量、使用資源(比如: 惡意IP、惡意手機號、惡意賬號等),并將數據進行沉淀形成業務情報平臺。
情報平臺主要用于數據展示,具有攻擊性的IP地址、手機號、工具等情報。
情報來源包括三類,開源情報、監測網絡平臺上沉淀的閉源情報與工具情報。重點解決互聯網反欺詐安全問題,例如惡意注冊、薅羊毛、流量欺詐、爬蟲、惡意引流等。
溯源處理,通過對游戲登錄的用戶信息,用戶的設備信息,用戶游戲中的行為等數據,對這些數據進行做加工,進行情報溯源處理。最終輸出情報高危黑名單,以及手機號,作弊工具,用戶ip和游戲行為。
由于游戲黑灰產的攻擊方式不斷迭代優化,因此長期深入跟蹤黑灰產的產業鏈、攻擊模式以及使用的資源將是重中之重。
打擊取證
游戲黑灰產的整個打擊可細分為:溯源、分析、報案、取證、打擊五個階段。
溯源階段 : 需要通過檢測數據、異常日志、行為、樣本,明確作弊手法、作弊工具。
分析階段:明確罪名,目前游戲黑灰產打擊中主要有2個罪名:一個是非法獲取計算機系統,第二個是破壞計算機系統。
報案階段 : 需要一些有法務工作經驗的同事,寫作方案書。與警方進行初步的溝通,盡量用通俗的語言解釋作弊情況。并提交相應證據材料。
取證階段 : 警方會指定第三方鑒定所,進行取證。基本的取證流程有固定的時間和地點,進行錄屏。
抓捕階段 : 關鍵的是需要技術人員配合,現場抓捕,需要當場抓獲一些工具和數據。需要的話,在抓捕后的審訊階段,也要配合警方訴訟。
整個的案件打擊中需要通過黑產信息去溯源分析出要打擊的詳細目標信息,以及黑灰產中的金額收益。并且需要提供準確的黑灰產的證據。
游戲黑灰產對抗小思路
1、對游戲的黑灰產相關論壇、社交群、網盤近期出現的新增高頻詞匯設定閾值,對超過設定閾值的詞匯溯源。
2、深入研究游戲黑灰產業鏈模式,對比核心產業鏈模式特征,總結產業鏈中角色交叉衍生產業鏈的上游(黑灰產工具開發作者),并對上游人員監控。
3、對已發生事件追溯源頭,通過分析產業鏈結構、成員角色、成本、利潤來設置不同的解決措施。
4、對持續存在的結構模式,通過捕獲市場上存在周期長且特征明顯的工具進行逆向分析,提高對批量行為的審核和監控,進一步提高黑灰產從業人員的成本。
5、通過對典型有效的黑灰產工具的逆向,對存在業務邏輯漏洞的方向調整,提高黑灰產工具的開發成本。
6、批量行為都是有跡可循的。企業可以針對惡意用戶的行為偏好和其在黑產中的使用廣度,在設備信息、注冊信息重合度、惡意用戶的行為數據等方面,進行多維度的判斷。
7、結合惡意數據情報庫,對可疑用戶提高注冊門檻、增加復雜驗證碼等,并對這些用戶進行重點監控,當其進行敏感操作時,進行防護。
8、打擊游戲的黑灰產需要通過技術手段和運營策略相結合。
版權申明:內容來源網絡,版權歸原創者所有。除非無法確認,都會標明作者及出處,如有侵權,煩請告知,我們會立即刪除并致歉!
