男子破解博彩网站漏洞，每月“薅羊毛”10多万

浙江省温州市苍南警方破获了一起特殊的网络博彩案件，2名犯罪嫌疑人利用境外博彩网站的漏洞，自制博彩代理App，薅起了博彩平台的“羊毛”。在过去一年多时间里，2人利用所谓“核心技术”，招募多名员工，将“业务”拓展到全国。据统计，该团伙每月人均获利高达10余万元，涉案赌资超1亿元，引起广泛关注。



事出必有因，到底缘何而起呢？



据报道，犯罪嫌疑人曾某大学毕业后原有一份稳定工作，后来离职创业亏了几百万元。



打工是不可能打工的啦~于是曾某就开始“研究”如何“捞偏门”赚快钱。



后来曾某找到了精通计算机的周某，一起“研究”如何利用博彩网站的漏洞“薅羊毛”。



“技术总监”周某研究出一个外挂程序，并基于概率学设置了一个“公式”。外挂软件根据“公式”投注，最终以押注赢钱或返彩金的方式获利。



图片源自网络新闻报道



掌握了“核心科技”之后，曾某、周某便不再满足于自己操作，招来了多名“员工”，还开了“分公司”。



“生意”越做越大，为了监督“员工”动态，曾某、周某还“开发”了远程控制软件，以便实时控制“分公司”的所有电脑。



曾某等人每周都会通过虚拟币给员工操盘的150多个博彩账户充值，曾某等人平均每个月能够获利10万余元。







图片源自网络新闻报道



真刑啊！干了我一直想干不能干的事（啊…bushi）



博彩网站的漏洞到底是什么呢？如何实现薅博彩平台的羊毛，难道平台没有风控？



到这里，以反诈一线的视角再去从案件中寻求线索，给大家来做延展分析。



据披露的案件细节，犯罪嫌疑人利用境外博彩平台投注漏洞，先在博彩平台注册大量账号，再通过“智能下注”软件操作新账号，以投注“百家乐”的方式参赌，以此来逐步提升账号的等级信誉，继而掌握大量高等级、高信誉博彩账号。



之后，通过更换IP，抓住博彩网站的漏洞，利用这些高等级、信誉的博彩账号下注，，从而按照一定比例获得该博彩网站的返水。



抓捕现场查扣大量作案手机、电脑、账本等，并获取相关博彩网站账号150余个，虚拟币钱包账号150余个，发现3个涉境外博彩平台，涉及赌资近1亿元人民币。



这里面就有几点重要信息：



①投注漏洞（3个涉境外博彩平台）



②注册大量账号、高等级、信誉的博彩账号（博彩网站账号150余个）



③更换IP的软件



④智能下注



⑤虚拟币钱包账号150余个



⑥博彩网站的返水



我想到这里，可以回答这个问题了



博彩网站的漏洞到底是什么呢？



此类薅羊毛的行为在黑灰产行业里被称为博彩套利，通过以往的相关研究，其可能用到以下技术手段。



与此同时，这几个关键词也分别代表着头部博彩平台、博彩养号、IP代理、投注分析软件、虚拟货币、博彩运营模式。



头部博彩平台



首先是博彩网站的数量，仅有3个，但赌资流水过亿，说明其选择的是个头部博彩网站，稳定性比较好。



相较于杀猪盘，目前博彩平台的稳定性和攻防性较好，上线前会邀请安服公司进行渗透测试，提升安全等级，同时每年会开展云上博弈博览会，通过博彩的品牌、平台的担保商、流量，发现头部博彩平台并不是一件难事。



博彩代理内部佣金分成



去年在对博彩代理分析时，我们发现过内部的代理佣金比例，可以看出佣金比例高达30%-50%，即下线代理越多，投注金额越多，到手的佣金也就越多。







我们假设一个场景：



A成为博彩平台代理，成功拉到B和C两个赌客分别充值100元



这两个赌客在博彩平台参与同一个项目，例如猜大小，即2个人中，B赢钱，C输钱



如果代理佣金按照30%（30元）计算，分别收益是：



总成本：200元（总成本）



代理A的收益：30元+30元=60元



赌客B的收益：100元（成本）+*元（投注盈利）



赌客C的收益：100元（成本）-100元=0元



如果ABC为同一个人，那么最后收益60元+100元（成本）+*元-200元（总成本）=*元-40元



这就意味着，只要A盈利的部分超过40元，即可“薅羊毛”成功



同样的方式，利用多个账户，在博彩充值后，获得其返水（博彩网站为了鼓励玩家多玩而设置的一项优惠。根据玩家在网站上的有效投注额，分时间段按比例的返回一些彩金给你），故其使用博彩挂机软件提高投注率及胜率。



博彩挂机软件智能下注



这里的博彩挂机软件可以实现智能下注，以过去研究的发现的七彩挂机应用为例：



七彩挂机软件主要是模拟投注、外接计划、开某投某、冷热号码、随机出号、自动倍投、推波计算、批量编辑。另外还有高级功能：自动生成挂机方案、逻辑倍投方案设置、方案推送等。







如何解决IP代理风控问题



在博彩平台注册多个账号并下注，会引起平台风控，那么如何在不引起风控的前提下，快快乐乐的“薅羊毛”呢？分析发是用到了指纹浏览器+IP代理结合技术。



首先了解一下，什么是“浏览器指纹”



浏览器指纹指网站通过浏览器的各种信息，如时区、UserAgent、屏幕分辨率、语言、字体、、Canvas、AudioContext、Cookie等，交叉对比生成设备ID，用于用户标识。



故由于网站指纹的存在，即使更换IP，我们也很可能被网站判定为同一个用户。如果能够对浏览器指纹涉及的识别内容进行修改，就会让浏览器认为我们是个新用户。



这里以套利人员使用的反浏览器指纹的vmlogin为例：



其宣称的是“突破多台设备管理账号的痛点，一台电脑即可实现同时多开，指纹环境相互独立，不关联，可将指纹分享给团队，方便多人协作”。



安装此软件后，可以修改目前已知的浏览器指纹攻防涉及的识别板块，例如操作系统、语言、Canvas、AudioContext等，特别是添加IP代理后，还可根据IP自动匹配不同的时区，防止时区与IP所在地不同，被发现身份伪造。



有了反指纹关联软件后，即可以注册出大量的博彩账号，充值、参赌的过程中也因指纹的不同，不会被发现是同一个人员操作。







以此可以看出，薅博彩凭条羊毛，就是生成大量的博彩账号，利用远控、反指纹浏览器、在博彩平台充值/投注，获得博彩平台的返水或佣金，本质还是赌客。







最后大家都关注的问题，这种薅博彩平台羊毛的“黑吃黑”行为，到底是否犯罪？



不少网友声称：“我骗骗子钱，有什么错？”

但其实即使是薅博彩平台羊毛，实际上也是变相参赌，属于违法犯罪行为。正确做法应该是，发现网赌平台及时报警。普通用户也千万不要妄想做那个“大聪明”，效仿反薅博彩平台羊毛，结局可想而知。

Black Hat 2022上最值得关注的十大议题

包括电网恶意软件Industroyer2深入分析、全新Android漏洞利用链披露、现代安全芯片漏洞研究、APT雇佣兵披露、近五年CI/CD违规真实案例分析……



一年一度的安全盛会黑帽大会（Black Hat）正在拉斯维加斯召开，本周大家都将把目光聚焦到炎热的索诺兰沙漠，关注会场上的技能培训、黑客演示、学术演讲及令人眼前一亮的最新安全产品。第25届黑帽大会正在美国时间8月6日至11日举行，其中主峰会将在10日（今天晚上）开始。今年的大会将组织超过80场演讲，主题涉及硬件/固件黑客攻击、零日恶意软件发现，以及重量级APT前沿研究等广泛领域。本文为大家筛选出本届黑帽美国大会上最值得关注的10场演讲。下面，就让我们一窥这些即将登上新闻头条的重要专题：



RollBack：针对汽车无钥匙系统



与时间无关的新型重放攻击



演讲人：新加坡大学与NCS Group的研究人员汽车远程无钥匙进入（RKE）系统采用的是一次性滚动代码，意味着我们每次按下遥控钥匙所发射出的指令都独一无二，能够有效防止简单的重放攻击。然而，事实证明RollJam可以破坏一切基于滚动代码的系统。通过精心设计的信号干扰、捕捉与重放序列，攻击者能够预测出尚未被实际使用的后续有效解锁信号。而RollJam唯一的缺陷就是需要始终保持“待机”，直至被实际使用。否则，只要合法车主在RollJam监视之外使用过遥控钥匙，它之前捕捉的信号就将失效。本次演讲提到的RollBack，是一种针对当前大多数无钥匙进入系统的新型重放与重新同步攻击方法。研究人员发现，即使滚动代码系统中的一次性代码已经用完失效，也仍有办法利用并重放之前捕捉到的信号，用以触发无钥匙系统中类似于回滚的机制。换句话说，滚动代码可以被重新同步为继续使用先前代码，这样已知被使用过的后续信号也将再次正常生效。另外，受害者的正常使用感受不受任何影响，所以察觉不出攻击前后会有任何差异。为何值得关注？根据之前的相关报道，这些针对现代汽车的实际攻击已经出现，相关研究将帮助我们在受到广泛冲击之前，尽早发现并修复这类问题。



Industroyer2：Sandworm团伙发起



网络战再次针对乌克兰电网



演讲人：ESET公司，Robert Lipvsky与Anton Cherepanov

Industroyer是目前公开领域唯一真正引发电力中断的恶意软件。作为它的后继者，新版本Industroyer2在本次俄乌战争期间被部署使用。与2016年初的Industroyer一样，2代版本的目标也是通过网络攻击引发大规模停电。这次的组件设计威胁更大、影响范围超过200万人，也让恢复变得愈发困难。研究人员们认为，该恶意软件的作者与攻击策划者正是臭名昭著的Sandworm APT团伙。美国司法部将该团伙归因为俄罗斯情报机构GRU。本演讲涉及大量技术细节：对Industroyer2的逆向工程，以及2代与原始版本间的比较。Industroyer的独特之处，在于它能够使用专用工业协议和变电站工业控制系统硬件（断路器与保护继电器）进行通信。Industroyer中包含四种协议实现，而Industroyer2只保留一种协议：IEC-104。期待这场演讲能对攻击方的作案过程展开更加宏观的分析，并讨论攻击为何大多未能成功。Industroyer最令人费解的一点，就是极高的复杂性与非常一般的攻击实效间的倒错：夜间连续停电一小时，绝对不是这样一种强大恶意软件所能达成的破坏力极限。而Industroyer2甚至还没达到初版的攻击效果。为何值得关注？演讲点明了此前曾使用高破坏性恶意软件工具的顶级恶意黑客。考虑到这些恶意攻击引发的重大地缘政治影响，任何最新披露都应受到密切关注。



怎么感觉有点眼熟：



揭示商业产品中的被盗算法



演讲人：约翰霍普金斯大学，Patrick Wardle、Objective-See与Tom McGuire

在本次演讲中，研究人员将讨论影响整个网络安全社区的一大系统性难题：由企业实体实施的算法盗窃与未授权使用行为。而且不只是普通企业，很多网络安全组织本身也在“知法犯法”。首先，研究人员将介绍各种能够自动识别出商业产品中未授权代码的搜索技术。之后，演讲还将展示如何通过逆向工程与二进制比较技术，对这些发现做出严格证明。接下来，研究人员将结合实际安全讨论这些方法的实际应用。作者将以来自非营利组织的一款流行工具为例，该工具已经被多个实体进行过逆向工程，相关核心算法在未经授权的情况下被还原并应用在多种商业产品当中。为何值得关注？这场演讲将提供可供借鉴的要点、建议和战略方针，帮助受害者应对故意盗用算法的商业实体（及其法律团队）。有了这些理论作为指导，相信厂商会以更加务实诚恳的态度对待安全社区。



谁来监管间谍软件厂商：



深挖2021年Android利用链漏洞



演讲人：谷歌安全工程团队过去12个月来，谷歌威胁分析小组（TAG）及Android安全团队已经发现并分析了来自监控提供商的多个1day/0day漏洞。这场演讲主要分享关于CVE-2021-0920漏洞的技术细节。这是一个在野0day Linux内核垃圾收集漏洞，虽然知名度不高，但也因此更显得复杂而神秘。演讲将探讨利用到CVE-2021-0920漏洞的监控服务提供商，将多个Android 0day/1day漏洞利用样本与该提供商联系起来。这家提供商曾尝试向Google Play软件商店提交恶意应用程序，并率先利用Bad Binder漏洞。通过分析提供商的漏洞利用行为，研究人员发现了一条针对Android设备的完整链条。这条漏洞利用链凭借CVE-2020-16040和CVE-2021-38000等1day漏洞，以及CVE-2021-0920 0day漏洞，通过浏览器对Android设备进行远程root。为何值得关注？随着NSO Group、Candiru和Cytrox等公司先后登上全球新闻头条，私营商业间谍软件提供商已经卷入危险的监控涡流当中。此番谷歌研究团队带来的监视行业秘辛，相信能成就一场看点满满的火爆演讲。



剑指Titan M：



现代安全芯片的漏洞研究



演讲人：Quarkslab，Damiano Melotti和Maxime Rossi Bellom

Titan M芯片是由谷歌在自家Pixel 3智能手机上发布的处理器。在之前的研究中，技术人员已经分析了这款芯片，并展示了其内部结构与保护措施。以此为背景，本次新演讲将主要关注如何在信息有限的情况下，立足特定目标开展软件漏洞研究。演讲将深入研究黑盒模糊器的工作原理及相关限制，并展示基于仿真的解决方案如何超越纯硬件方案的限制。通过将覆盖引导的模糊器（AFL++）、仿真器（Unicorn）和针对目标的特定优化结合起来，研究人员成功发现了一个有趣的漏洞。该漏洞只允许将单个字节设置为1，在偏移量方面也有着诸多限制。尽管看似难以利用，但研究人员还是设法借此实现了代码执行，并暴露出芯片安全模块中隐藏的秘密。为何值得关注？Quarkslab移动安全研究团队堪称全球最强团队之一，他们在演讲中展示的Pixel RCE相信会引爆全场。



美国网络安全审查委员会：



研究事件，推动系统性变革



演讲人：美国国土安全部副部长、网络安全审查委员会主席，Rob Silvers有史以来第一个网络安全审查委员会（CSRB）项目，关注的是影响范围极广的Log4j漏洞危机。他们将确定哪些差距会持续存在，并为组织提供可操作建议，尽量避免今后出现类似的0day爆雷。本次来自审查委员会的演讲将由Rob Silvers（国土安全部负责政策的副部长，兼网络安全审查委员会主席）和Heather Adkins（谷歌安全工程副总裁，兼委员会副主席）带来，着重讨论Log4j漏洞审查、委员会的主要调查结果，以及行业和政府应如何实施这些建议。为何值得关注？网络安全审查委员会是个相当独特的项目，也很高兴能看到网络安全界的领导者们分享如何通过委员会推动网络安全的转型变革。委员会的首批建议已经在业内公布，后续还有更多争议事务有待解决。



“天降横祸”：



APT可能捏造证据将你投入监狱



演讲人：SentinelLabs，Juan Andres Guerrero-Saade与Tom Hegel

国家支持的网络威胁指向的可不只是物，也有可能是人。虽然我们已经习惯将这类攻击行为跟间谍活动、知识产权盗窃或者经济利益联系起来，但其中还有另一类更加隐蔽的动机——由APT组织捏造证据，通过陷害将目标投入监狱。本次演讲的案例来自ModeifiedElephant。ModifiedElephant恶意团伙与商业监控行业间已经至少勾连了十年。演讲将通过取证报告讨论该团伙如何植入证据，导致众多社会活动家被定罪并关押至今。除此之外，演讲还将展示各地区的恶意黑客如何在受害者入狱之后，继续对他们开展追踪。这一系列行为，让我们意识到政府有可能滥用技术以压制持政治异见者们的声音。这是个向来被严重低估的问题，希望本次演讲能促使威胁研究人员尽快行动起来。为何值得关注？黑客“佣兵”行业跟国家支持威胁团伙的融合，正在恶意软件领域掀起新的浪潮，而且已经开始对公民社会产生现实影响。



谷歌重新构想了一部手机



作为红队，我们将全力护它安全



演讲人：谷歌红队研究人员

尽管市面上的手机厂商着实不少，但大多数Android设备能够选择的SoC提供商就只有那么几家。谷歌决定用Pixel 6打破这种模式。从安全角度来看，这意味着多年的测试与代码使用的保障已成为过去式，而是从源头建立一个新的高价值设备固件堆栈，将隐患消灭在摇篮当中。本次演讲将讨论谷歌如何在重新构想的Pixel 6发布前，对这款手机产品加以保护，而且重点关注Android红队的观点。该团队将演示如何使用模糊测试、黑盒仿真器、静态分析和手动代码审查等方法，发现关键组件中的高权限代码执行隐患。例如，该团队将公布Titan M2芯片上的首个端到端概念证明，并介绍能够绕过硬件密钥证明的完全持久Android启动加载器（ABL）。为何值得关注：像谷歌这样的科技巨头其实很少派出红队亲自下场，向大家介绍漏洞与安全缺陷。在本场演讲中，Android红队将带来多个安全关键演示，讲解红队在产品发布周期中的重要价值。



由浏览器驱动的Desync攻击：



HTTP请求走私攻击的新前沿



演讲人：PortSwigger公司，James Kettle

近来，HTTP请求走私攻击快速兴起并引发一系列严重后果，导致许多主要网站几乎被彻底攻陷。但之前，威胁范围还仅限于攻击者通过反向代理前端所能访问到的系统……而现在，情况已经进一步恶化。本场演讲将向大家展示如何将受害者的网络浏览器变成desync交付平台，以暴露单服务器网站和内部网络的方式转移请求走私的边界。观众将学会如何将跨域请求与服务器缺陷结合起来，借此污染浏览器连接池、安装后门并释放desync蠕虫。利用这些技术，即可破坏包括Apache、Akamai、Varnish、Amazon及多种Web VPN等目标。为何值得关注？HTTP请求走私攻击是一种常见的黑客技术，已经导致Web App的安全风险显著提升。James Kettle和PortSwigger的同事们一直走在相关研究领域的前沿，通过各类课程和演示向大家普及HTTP请求走私的危害。



RCE即服务：从过去五年的



真实CI/CD管道违规中吸取教训



演讲人：NCC Group，Iain Smart与Viktor Gazdag

过去五年来，两位研究人员在测试过的几乎每家企业的生产CI/CD管道中，都见证过无数次供应链攻击。无论是小型公司，还是不同细分市场及垂直行业的财富五百强企业，都曾先后几十次沦为攻击活动的受害者。本场演讲将向大家解释，为什么说CI/CD管道已经成为软件供应链中最危险的潜在攻击面。为此，研究人员将讨论目前最常用的技术类型、相关使用方式，以及它们为什么会成为企业整体基础设施中权限最高、价值最大的目标。之后，演讲将分享在自动化管道中滥用预期功能的特定示例（附带演示），介绍如何将构建管道从简单的开发者实用程序转化成远程代码执行（RCE）即服务。为何值得关注？软件供应链安全已经成为当下的热门议题。对CI/CD管道攻击面的研究，也无疑值得大家给予最高级别的关注。