近期,监控到一些IP每天调用了大量网站的短信发送接口,日均高达300万次以上。经专家分析,其属于短信轰炸行为,它一方面对普通手机用户造成了短信骚乱的烦恼,扰乱其正常生活;另一方面也增加了被调用平台短信发送接口的资源消耗。 本文基于日志数据对黑产中的短信轰炸进行分析,找到了这些IP共同特征,并对其溯源,发现其流量均来自同一个短信轰炸平台“浪神”。
黑产行为分析
1黑产发现
监控到一些IP每天调用了大量网站的短信发送接口,日均高达300万次以上。安全专家结合创宇安全智脑提供的数据分析近5天内访问的URL中含手机号量较大TOP10的IP发现,这些IP总访问次数均在7万次以上,且访问手机号也在1000个以上,存在明显的异常。
(表1 访问URL中含手机号的IP TOP )
经分析发现这10个IP集中访问29个网站,且访问网站的URL均为网站短信发送接口(见表2),可以推断出这些IP通过集中调用这些网站的短信发送接口实现短信轰炸业务。
(表2 短信发送API调用分布情况)
查看这些IP每小时短信接口调用量,短信发送时间集中在10:00~23:00,与多数淘宝、拼多多等网店的工作时间(早上9:00~凌晨12:00)基本一致,而网店也是使用短信轰炸业务的主要群体之一,其对给予差评的用户实施短信轰炸。
(图1 每小时短信发送接口调用量)
2黑产手法还原
通过查询这些IP均存在恶意扫描行为,即对网站进行长时间持续的访问,且这些IP存在相同的User-Agent:LangShen或者Mozilla/5.0 (Linux;U;CMS.zone.ci/e/tags/htag.php?tag=Android target=_blank class=infotextkey>Android4.4.1; zh-cn; R815T Build/JOP40D) CMS.zone.ci/e/tags/htag.php?tag=Apple target=_blank class=infotextkey>AppleWebKit/533.1 (KHTML, like Gecko)Version/4.0 MQQBrowser/4.5 Mobile Safari/533.1′)。 创宇安全智脑最近2个月共收录进行短信轰炸的IP共474个,轰炸IP中IPv4和IPv6均存在。图3可看到,轰炸IP集中分布在美国和香港,以避开监管。
(图3 短信轰炸IP地理分布)
基于这两个User-Agent对日志进行分析,发现每天进行轰炸的IP在110个左右,创宇安全智脑共收集对应的它们具有共同行为: 1. 访问网站集中在29个网站中; 2. 访问URL均为短信发送接口。 短信轰炸过程如图4所示,黑产组织通过人工收集大量具有短信发送接口的网站,将接口录入到统一管理平台,并对外提供服务。只需购买该服务,并提供目标的手机号,就可以让受害人短时间内接收到大量的验证短信。
(图4 短信轰炸示意图)
现今大部分业务系统对短信发送都有一定限制,同一手机号短时间不能发送多次,或请求频率不能过快,但以上的手段对于一个业务系统来说,某一段时间内只发送了一条短信,并不会触发安全机制,因此难以检测和防范。
短信轰炸平台分析
基于日志分析发现这一批短信轰炸群体具有相同的User-Agent:LangShen及Mozilla/5.0 (Linux;U;CMS.zone.ci/e/tags/htag.php?tag=Android target=_blank class=infotextkey>Android4.4.1;zh-cn;R815TBuild/JOP40D) CMS.zone.ci/e/tags/htag.php?tag=Apple target=_blank class=infotextkey>AppleWebKit/533.1 (KHTML, like Gecko)Version/4.0 MQQBrowser/4.5 Mobile Safari/533.1′)。 根据User-Agent特征,在网上找到其疑似来自一套名为“Let短信测试系统”的商业短信轰炸的平台。
(图5 短信测试系统下载信息)
进一步分析其平台源码,可以从源码中找到两个User-Agent信息。
(图6 短信测试系统源码)
源码中的User-Agent与日志中分析出的User-Agent一致,可以判定出本文中检测出来的短信轰炸来自于该短信测试系统。可结合其User-Agent将其音译为“浪神”,一个短信轰炸的提供平台。 Let短信测试系统为给用户提供短信轰炸服务的平台,其利用多个服务器及IP池来分担业务压力,也可以消除短信接口的访问频率及同号码发送短信次数的限制。Let短信测试系统的订单页面如图7所示,通过购买该服务,可以定向对指定手机号进行持续轰炸。
(图7 短信测试系统订单页面)
1黑产如何利用结合ZoomEye的检索结果,我们分析出IP为43.*.*.202其搭建了一个黑产网站,其中短信轰炸就在其售卖范围内如图9所示。
(图8 ZoomEye检索结果)
(图9 黑产对短信轰炸平台应用)
此外,还发现仅卖短信轰炸服务的网站,用户可以通过登陆这些页面进行短信轰炸操作。
(图10 短信轰炸服务网站)
短信轰炸的危害
1对重要业务系统的危害
基于大数据分析出的“浪神”相关IP池,每天调用短信发送接口量达300万次以上。
(图11 每天短信发送接口调用量)
图12可看到,被恶意调用短信接口的网站集中在电商平台和教育行业,占比分别为43%和19%。这两类行业对自己平台的短信发送接口需加强安全防护。
(图12 被调用短信接口网站行业分布)
2对普通用户的危害
短信轰炸由于其在网上存在不同的平台进行售卖,获取门槛低,被大众用作生活的不同用途。当前,短信轰炸已经成为挟私报复的常见手段,它会被不良电商平台用来轰炸给其差评的客户,也被用来进行暴力催收。该类事件在某平台的投诉量就达到1万多起,可见给用户造成了极大的困扰。
(图13 短信轰炸对用户影响)
统计发现,每天被短信轰炸的用户量在1万次左右,部分手机号被多天持续骚扰。最高被轰炸次数接近8万次,让受害者苦不堪言。
(图14 单个手机号被短信轰炸次数TOP 10)
从图15看到,被短信轰炸省份以沿海一带广东、山东等为主,与2021年国家邮政局发布的快递业务前10个省份重合度较高,也与上面使用电商用户投诉多不谋而合,即不良电商店家利用其对差评用户进行报复。
(图15 被短信轰炸TOP 10省份)
总结
短信轰炸由于其作恶成本低,只需要找到对应平台就可以对受害人进行轰炸, 让受害人苦不堪言。同时,其会消耗正常业务系统的短信成本,增加业务系统无谓的经济损失。 知道创宇安全专家建议重要业务系统运营人员及个人可根据如下建议防御“短信轰炸”攻击: 针对业务系统运营者: 1)创宇盾协同防御、创宇威胁情报网关及创宇安全DNS(PDNS)已经支持精准自动拦截“浪神”短信轰炸平台相关IP; 2)创宇安全智脑已收录相关恶意IP,可从创宇安全智脑中搜索“短信轰炸机”标签来获取短信轰炸相关IP来进行精准屏蔽; 3)业务系统管理者可通过在用户输入手机号发送验证码前,增加数字、图片、行为等“二次验证”,避免相关接口被恶意调用,造成严重的经济损失。 针对普通用户: 1)在日常购物中准备一个收发快递的专用手机号,减少个人信息泄露; 2)若受到短信轰炸,可以开启手机中的短信关键字拦截,或者下载安全软件助手(如:腾讯手机管家),对相关短信轰炸进行拦截; 3)若受到短信轰炸,也可联系手机运营商,申请开通“应急通信保障”服务,对恶意短信轰炸进行屏蔽。
相关IoCs 创宇发现的部分IoCs如下所示: IP: 61.*.*.169 81.*.*.176 23.*.*.124 23.*.*.53 164.*.*.20 23.*.*.175 23.*.*.58 23.*.*.48 43.*.*.180 45.*.*.28
评论