男子破解博彩網站漏洞，每月“薅羊毛”10多萬

男子破解博彩網站漏洞，每月“薅羊毛”10多萬




浙江省溫州市蒼南警方破獲了一起特殊的網絡博彩案件，2名犯罪嫌疑人利用境外博彩網站的漏洞，自制博彩代理App，薅起了博彩平臺的“羊毛”。在過去一年多時間里，2人利用所謂“核心技術”，招募多名員工，將“業務”拓展到全國。據統計，該團伙每月人均獲利高達10余萬元，涉案賭資超1億元，引起廣泛關注。

事出必有因，到底緣何而起呢？

據報道，犯罪嫌疑人曾某大學畢業后原有一份穩定工作，后來離職創業虧了幾百萬元。

打工是不可能打工的啦~于是曾某就開始“研究”如何“撈偏門”賺快錢。

后來曾某找到了精通計算機的周某，一起“研究”如何利用博彩網站的漏洞“薅羊毛”。

“技術總監”周某研究出一個外掛程序，并基于概率學設置了一個“公式”。外掛軟件根據“公式”投注，最終以押注贏錢或返彩金的方式獲利。

圖片源自網絡新聞報道

掌握了“核心科技”之后，曾某、周某便不再滿足于自己操作，招來了多名“員工”，還開了“分公司”。

“生意”越做越大，為了監督“員工”動態，曾某、周某還“開發”了遠程控制軟件，以便實時控制“分公司”的所有電腦。

曾某等人每周都會通過虛擬幣給員工操盤的150多個博彩賬戶充值，曾某等人平均每個月能夠獲利10萬余元。



圖片源自網絡新聞報道

真刑??！干了我一直想干不能干的事（啊…bushi）

博彩網站的漏洞到底是什么呢？如何實現薅博彩平臺的羊毛，難道平臺沒有風控？

到這里，以反詐一線的視角再去從案件中尋求線索，給大家來做延展分析。

據披露的案件細節，犯罪嫌疑人利用境外博彩平臺投注漏洞，先在博彩平臺注冊大量賬號，再通過“智能下注”軟件操作新賬號，以投注“百家樂”的方式參賭，以此來逐步提升賬號的等級信譽，繼而掌握大量高等級、高信譽博彩賬號。

之后，通過更換IP，抓住博彩網站的漏洞，利用這些高等級、信譽的博彩賬號下注，，從而按照一定比例獲得該博彩網站的返水。

抓捕現場查扣大量作案手機、電腦、賬本等，并獲取相關博彩網站賬號150余個，虛擬幣錢包賬號150余個，發現3個涉境外博彩平臺，涉及賭資近1億元人民幣。

這里面就有幾點重要信息：

①投注漏洞（3個涉境外博彩平臺）

②注冊大量賬號、高等級、信譽的博彩賬號（博彩網站賬號150余個）

③更換IP的軟件

④智能下注

⑤虛擬幣錢包賬號150余個

⑥博彩網站的返水

我想到這里，可以回答這個問題了

博彩網站的漏洞到底是什么呢？

此類薅羊毛的行為在黑灰產行業里被稱為博彩套利，通過以往的相關研究，其可能用到以下技術手段。

與此同時，這幾個關鍵詞也分別代表著頭部博彩平臺、博彩養號、IP代理、投注分析軟件、虛擬貨幣、博彩運營模式。

頭部博彩平臺

首先是博彩網站的數量，僅有3個，但賭資流水過億，說明其選擇的是個頭部博彩網站，穩定性比較好。

相較于殺豬盤，目前博彩平臺的穩定性和攻防性較好，上線前會邀請安服公司進行滲透測試，提升安全等級，同時每年會開展云上博弈博覽會，通過博彩的品牌、平臺的擔保商、流量，發現頭部博彩平臺并不是一件難事。

博彩代理內部傭金分成

去年在對博彩代理分析時，我們發現過內部的代理傭金比例，可以看出傭金比例高達30%-50%，即下線代理越多，投注金額越多，到手的傭金也就越多。



我們假設一個場景：

A成為博彩平臺代理，成功拉到B和C兩個賭客分別充值100元

這兩個賭客在博彩平臺參與同一個項目，例如猜大小，即2個人中，B贏錢，C輸錢

如果代理傭金按照30%（30元）計算，分別收益是：

總成本：200元（總成本）

代理A的收益：30元+30元=60元

賭客B的收益：100元（成本）+*元（投注盈利）

賭客C的收益：100元（成本）-100元=0元

如果ABC為同一個人，那么最后收益60元+100元（成本）+*元-200元（總成本）=*元-40元

這就意味著，只要A盈利的部分超過40元，即可“薅羊毛”成功

同樣的方式，利用多個賬戶，在博彩充值后，獲得其返水（博彩網站為了鼓勵玩家多玩而設置的一項優惠。根據玩家在網站上的有效投注額，分時間段按比例的返回一些彩金給你），故其使用博彩掛機軟件提高投注率及勝率。

博彩掛機軟件智能下注

這里的博彩掛機軟件可以實現智能下注，以過去研究的發現的七彩掛機應用為例：

七彩掛機軟件主要是模擬投注、外接計劃、開某投某、冷熱號碼、隨機出號、自動倍投、推波計算、批量編輯。另外還有高級功能：自動生成掛機方案、邏輯倍投方案設置、方案推送等。



如何解決IP代理風控問題

在博彩平臺注冊多個賬號并下注，會引起平臺風控，那么如何在不引起風控的前提下，快快樂樂的“薅羊毛”呢？分析發是用到了指紋瀏覽器+IP代理結合技術。

首先了解一下，什么是“瀏覽器指紋”

瀏覽器指紋指網站通過瀏覽器的各種信息，如時區、UserAgent、屏幕分辨率、語言、字體、、Canvas、AudioContext、Cookie等，交叉對比生成設備ID，用于用戶標識。

故由于網站指紋的存在，即使更換IP，我們也很可能被網站判定為同一個用戶。如果能夠對瀏覽器指紋涉及的識別內容進行修改，就會讓瀏覽器認為我們是個新用戶。

這里以套利人員使用的反瀏覽器指紋的vmlogin為例：

其宣稱的是“突破多臺設備管理賬號的痛點，一臺電腦即可實現同時多開，指紋環境相互獨立，不關聯，可將指紋分享給團隊，方便多人協作”。

安裝此軟件后，可以修改目前已知的瀏覽器指紋攻防涉及的識別板塊，例如操作系統、語言、Canvas、AudioContext等，特別是添加IP代理后，還可根據IP自動匹配不同的時區，防止時區與IP所在地不同，被發現身份偽造。

有了反指紋關聯軟件后，即可以注冊出大量的博彩賬號，充值、參賭的過程中也因指紋的不同，不會被發現是同一個人員操作。



以此可以看出，薅博彩憑條羊毛，就是生成大量的博彩賬號，利用遠控、反指紋瀏覽器、在博彩平臺充值/投注，獲得博彩平臺的返水或傭金，本質還是賭客。



最后大家都關注的問題，這種薅博彩平臺羊毛的“黑吃黑”行為，到底是否犯罪？

不少網友聲稱：“我騙騙子錢，有什么錯？”

但其實即使是薅博彩平臺羊毛，實際上也是變相參賭，屬于違法犯罪行為。正確做法應該是，發現網賭平臺及時報警。普通用戶也千萬不要妄想做那個“大聰明”，效仿反薅博彩平臺羊毛，結局可想而知。

Black Hat 2022上最值得關注的十大議題

包括電網惡意軟件Industroyer2深入分析、全新Android漏洞利用鏈披露、現代安全芯片漏洞研究、APT雇傭兵披露、近五年CI/CD違規真實案例分析……

一年一度的安全盛會黑帽大會（Black Hat）正在拉斯維加斯召開，本周大家都將把目光聚焦到炎熱的索諾蘭沙漠，關注會場上的技能培訓、黑客演示、學術演講及令人眼前一亮的最新安全產品。第25屆黑帽大會正在美國時間8月6日至11日舉行，其中主峰會將在10日（今天晚上）開始。今年的大會將組織超過80場演講，主題涉及硬件/固件黑客攻擊、零日惡意軟件發現，以及重量級APT前沿研究等廣泛領域。本文為大家篩選出本屆黑帽美國大會上最值得關注的10場演講。下面，就讓我們一窺這些即將登上新聞頭條的重要專題：

RollBack：針對汽車無鑰匙系統

與時間無關的新型重放攻擊

演講人：新加坡大學與NCS Group的研究人員汽車遠程無鑰匙進入（RKE）系統采用的是一次性滾動代碼，意味著我們每次按下遙控鑰匙所發射出的指令都獨一無二，能夠有效防止簡單的重放攻擊。然而，事實證明RollJam可以破壞一切基于滾動代碼的系統。通過精心設計的信號干擾、捕捉與重放序列，攻擊者能夠預測出尚未被實際使用的后續有效解鎖信號。而RollJam唯一的缺陷就是需要始終保持“待機”，直至被實際使用。否則，只要合法車主在RollJam監視之外使用過遙控鑰匙，它之前捕捉的信號就將失效。本次演講提到的RollBack，是一種針對當前大多數無鑰匙進入系統的新型重放與重新同步攻擊方法。研究人員發現，即使滾動代碼系統中的一次性代碼已經用完失效，也仍有辦法利用并重放之前捕捉到的信號，用以觸發無鑰匙系統中類似于回滾的機制。換句話說，滾動代碼可以被重新同步為繼續使用先前代碼，這樣已知被使用過的后續信號也將再次正常生效。另外，受害者的正常使用感受不受任何影響，所以察覺不出攻擊前后會有任何差異。為何值得關注？根據之前的相關報道，這些針對現代汽車的實際攻擊已經出現，相關研究將幫助我們在受到廣泛沖擊之前，盡早發現并修復這類問題。

Industroyer2：Sandworm團伙發起

網絡戰再次針對烏克蘭電網

演講人：ESET公司，Robert Lipvsky與Anton Cherepanov
Industroyer是目前公開領域唯一真正引發電力中斷的惡意軟件。作為它的后繼者，新版本Industroyer2在本次俄烏戰爭期間被部署使用。與2016年初的Industroyer一樣，2代版本的目標也是通過網絡攻擊引發大規模停電。這次的組件設計威脅更大、影響范圍超過200萬人，也讓恢復變得愈發困難。研究人員們認為，該惡意軟件的作者與攻擊策劃者正是臭名昭著的Sandworm APT團伙。美國司法部將該團伙歸因為俄羅斯情報機構GRU。本演講涉及大量技術細節：對Industroyer2的逆向工程，以及2代與原始版本間的比較。Industroyer的獨特之處，在于它能夠使用專用工業協議和變電站工業控制系統硬件（斷路器與保護繼電器）進行通信。Industroyer中包含四種協議實現，而Industroyer2只保留一種協議：IEC-104。期待這場演講能對攻擊方的作案過程展開更加宏觀的分析，并討論攻擊為何大多未能成功。Industroyer最令人費解的一點，就是極高的復雜性與非常一般的攻擊實效間的倒錯：夜間連續停電一小時，絕對不是這樣一種強大惡意軟件所能達成的破壞力極限。而Industroyer2甚至還沒達到初版的攻擊效果。為何值得關注？演講點明了此前曾使用高破壞性惡意軟件工具的頂級惡意黑客?？紤]到這些惡意攻擊引發的重大地緣政治影響，任何最新披露都應受到密切關注。

怎么感覺有點眼熟：

揭示商業產品中的被盜算法

演講人：約翰霍普金斯大學，Patrick Wardle、Objective-See與Tom McGuire
在本次演講中，研究人員將討論影響整個網絡安全社區的一大系統性難題：由企業實體實施的算法盜竊與未授權使用行為。而且不只是普通企業，很多網絡安全組織本身也在“知法犯法”。首先，研究人員將介紹各種能夠自動識別出商業產品中未授權代碼的搜索技術。之后，演講還將展示如何通過逆向工程與二進制比較技術，對這些發現做出嚴格證明。接下來，研究人員將結合實際安全討論這些方法的實際應用。作者將以來自非營利組織的一款流行工具為例，該工具已經被多個實體進行過逆向工程，相關核心算法在未經授權的情況下被還原并應用在多種商業產品當中。為何值得關注？這場演講將提供可供借鑒的要點、建議和戰略方針，幫助受害者應對故意盜用算法的商業實體（及其法律團隊）。有了這些理論作為指導，相信廠商會以更加務實誠懇的態度對待安全社區。

誰來監管間諜軟件廠商：

深挖2021年Android利用鏈漏洞

演講人：谷歌安全工程團隊過去12個月來，谷歌威脅分析小組（TAG）及Android安全團隊已經發現并分析了來自監控提供商的多個1day/0day漏洞。這場演講主要分享關于CVE-2021-0920漏洞的技術細節。這是一個在野0day Linux內核垃圾收集漏洞，雖然知名度不高，但也因此更顯得復雜而神秘。演講將探討利用到CVE-2021-0920漏洞的監控服務提供商，將多個Android 0day/1day漏洞利用樣本與該提供商聯系起來。這家提供商曾嘗試向Google Play軟件商店提交惡意應用程序，并率先利用Bad Binder漏洞。通過分析提供商的漏洞利用行為，研究人員發現了一條針對Android設備的完整鏈條。這條漏洞利用鏈憑借CVE-2020-16040和CVE-2021-38000等1day漏洞，以及CVE-2021-0920 0day漏洞，通過瀏覽器對Android設備進行遠程root。為何值得關注？隨著NSO Group、Candiru和Cytrox等公司先后登上全球新聞頭條，私營商業間諜軟件提供商已經卷入危險的監控渦流當中。此番谷歌研究團隊帶來的監視行業秘辛，相信能成就一場看點滿滿的火爆演講。

劍指Titan M：

現代安全芯片的漏洞研究

演講人：Quarkslab，Damiano Melotti和Maxime Rossi Bellom
Titan M芯片是由谷歌在自家Pixel 3智能手機上發布的處理器。在之前的研究中，技術人員已經分析了這款芯片，并展示了其內部結構與保護措施。以此為背景，本次新演講將主要關注如何在信息有限的情況下，立足特定目標開展軟件漏洞研究。演講將深入研究黑盒模糊器的工作原理及相關限制，并展示基于仿真的解決方案如何超越純硬件方案的限制。通過將覆蓋引導的模糊器（AFL++）、仿真器（Unicorn）和針對目標的特定優化結合起來，研究人員成功發現了一個有趣的漏洞。該漏洞只允許將單個字節設置為1，在偏移量方面也有著諸多限制。盡管看似難以利用，但研究人員還是設法借此實現了代碼執行，并暴露出芯片安全模塊中隱藏的秘密。為何值得關注？Quarkslab移動安全研究團隊堪稱全球最強團隊之一，他們在演講中展示的Pixel RCE相信會引爆全場。

美國網絡安全審查委員會：

研究事件，推動系統性變革

演講人：美國國土安全部副部長、網絡安全審查委員會主席，Rob Silvers有史以來第一個網絡安全審查委員會（CSRB）項目，關注的是影響范圍極廣的Log4j漏洞危機。他們將確定哪些差距會持續存在，并為組織提供可操作建議，盡量避免今后出現類似的0day爆雷。本次來自審查委員會的演講將由Rob Silvers（國土安全部負責政策的副部長，兼網絡安全審查委員會主席）和Heather Adkins（谷歌安全工程副總裁，兼委員會副主席）帶來，著重討論Log4j漏洞審查、委員會的主要調查結果，以及行業和政府應如何實施這些建議。為何值得關注？網絡安全審查委員會是個相當獨特的項目，也很高興能看到網絡安全界的領導者們分享如何通過委員會推動網絡安全的轉型變革。委員會的首批建議已經在業內公布，后續還有更多爭議事務有待解決。

“天降橫禍”：

APT可能捏造證據將你投入監獄

演講人：SentinelLabs，Juan Andres Guerrero-Saade與Tom Hegel
國家支持的網絡威脅指向的可不只是物，也有可能是人。雖然我們已經習慣將這類攻擊行為跟間諜活動、知識產權盜竊或者經濟利益聯系起來，但其中還有另一類更加隱蔽的動機——由APT組織捏造證據，通過陷害將目標投入監獄。本次演講的案例來自ModeifiedElephant。ModifiedElephant惡意團伙與商業監控行業間已經至少勾連了十年。演講將通過取證報告討論該團伙如何植入證據，導致眾多社會活動家被定罪并關押至今。除此之外，演講還將展示各地區的惡意黑客如何在受害者入獄之后，繼續對他們開展追蹤。這一系列行為，讓我們意識到政府有可能濫用技術以壓制持政治異見者們的聲音。這是個向來被嚴重低估的問題，希望本次演講能促使威脅研究人員盡快行動起來。為何值得關注？黑客“傭兵”行業跟國家支持威脅團伙的融合，正在惡意軟件領域掀起新的浪潮，而且已經開始對公民社會產生現實影響。

谷歌重新構想了一部手機

作為紅隊，我們將全力護它安全

演講人：谷歌紅隊研究人員
盡管市面上的手機廠商著實不少，但大多數Android設備能夠選擇的SoC提供商就只有那么幾家。谷歌決定用Pixel 6打破這種模式。從安全角度來看，這意味著多年的測試與代碼使用的保障已成為過去式，而是從源頭建立一個新的高價值設備固件堆棧，將隱患消滅在搖籃當中。本次演講將討論谷歌如何在重新構想的Pixel 6發布前，對這款手機產品加以保護，而且重點關注Android紅隊的觀點。該團隊將演示如何使用模糊測試、黑盒仿真器、靜態分析和手動代碼審查等方法，發現關鍵組件中的高權限代碼執行隱患。例如，該團隊將公布Titan M2芯片上的首個端到端概念證明，并介紹能夠繞過硬件密鑰證明的完全持久Android啟動加載器（ABL）。為何值得關注：像谷歌這樣的科技巨頭其實很少派出紅隊親自下場，向大家介紹漏洞與安全缺陷。在本場演講中，Android紅隊將帶來多個安全關鍵演示，講解紅隊在產品發布周期中的重要價值。

由瀏覽器驅動的Desync攻擊：

HTTP請求走私攻擊的新前沿

演講人：PortSwigger公司，James Kettle
近來，HTTP請求走私攻擊快速興起并引發一系列嚴重后果，導致許多主要網站幾乎被徹底攻陷。但之前，威脅范圍還僅限于攻擊者通過反向代理前端所能訪問到的系統……而現在，情況已經進一步惡化。本場演講將向大家展示如何將受害者的網絡瀏覽器變成desync交付平臺，以暴露單服務器網站和內部網絡的方式轉移請求走私的邊界。觀眾將學會如何將跨域請求與服務器缺陷結合起來，借此污染瀏覽器連接池、安裝后門并釋放desync蠕蟲。利用這些技術，即可破壞包括Apache、Akamai、Varnish、Amazon及多種Web VPN等目標。為何值得關注？HTTP請求走私攻擊是一種常見的黑客技術，已經導致Web App的安全風險顯著提升。James Kettle和PortSwigger的同事們一直走在相關研究領域的前沿，通過各類課程和演示向大家普及HTTP請求走私的危害。

RCE即服務：從過去五年的

真實CI/CD管道違規中吸取教訓

演講人：NCC Group，Iain Smart與Viktor Gazdag
過去五年來，兩位研究人員在測試過的幾乎每家企業的生產CI/CD管道中，都見證過無數次供應鏈攻擊。無論是小型公司，還是不同細分市場及垂直行業的財富五百強企業，都曾先后幾十次淪為攻擊活動的受害者。本場演講將向大家解釋，為什么說CI/CD管道已經成為軟件供應鏈中最危險的潛在攻擊面。為此，研究人員將討論目前最常用的技術類型、相關使用方式，以及它們為什么會成為企業整體基礎設施中權限最高、價值最大的目標。之后，演講將分享在自動化管道中濫用預期功能的特定示例（附帶演示），介紹如何將構建管道從簡單的開發者實用程序轉化成遠程代碼執行（RCE）即服務。為何值得關注？軟件供應鏈安全已經成為當下的熱門議題。對CI/CD管道攻擊面的研究，也無疑值得大家給予最高級別的關注。