介绍
这是来自2021年WWW的一篇论文《Demystifying Illegal Mobile Gambling Apps》,作者有:Yuhao Gao, Haoyu Wang, Li Li, Xiapu Luo, Guoai Xu, Xuanzhe Liu。
这篇论文主要讲的是对中国非法赌博应用进行的测量
前置知识
SAN是一种以网络为中心的存储结构,不同于普通以太网,SAN是位于服务器的后端,为连接服务器、磁盘阵列、带库等存储设备而建立的高性能专用网络。在SAN中,包括了多种元素,如适配器,磁盘阵列,交换机等,因此是一个系统而不是独立的设备。
自治系统:autonomous system。在互联网中,一个自治系统(AS)是一个有权自主地决定在本系统中应采用何种路由协议的小型单位。这个网络单位可以是一个简单的网络也可以是一个由一个或多个普通的网络管理员来控制的网络群体,它是一个单独的可管理的网络单元(例如一所大学,一个企业或者一个公司个体)。一个自治系统有时也被称为是一个路由选择域(routing domain)。一个自治系统将会分配一个全局的唯一的号码,有时我们把这个号码叫做自治系统号(ASN)。
CNAME记录,即:别名记录。这种记录允许您将多个名字映射到同一台计算机。 通常用于同时提供WWW和MAIL服务的计算机。例如,有一台计算机名为“host.mydomain.com”(A记录)。 它同时提供WWW和MAIL服务,为了便于用户访问服务。可以为该计算机设置两个别名(CNAME):WWW和MAIL。
数据集来源
首先识别非法的在线赌博网站, 让根据网站收集非法的赌博应用程序。
在线赌博网站:与中国一家主要ISP合作,获取2019年8月至2020年1月一个主要城市所有用户的DNS请求数据, 从数据集中通过关键词检索。
非法赌博应用程序: 从赌博网站中使用半自动化的方式获取赌博应用。部分网站直接提供下载方式, 另一些网站会重定向到隐藏的网站。
测量角度
1.非法赌博网站在真实世界的普遍性测量
1)根据域名和应用进行的关系测量:
赌博应用程序(蓝色)、赌博网站(绿色)、第1类下载服务指下载服务与赌博网站有相同的域名(红色)和第2类下载服务有不同的赌博网站域名(橙色)。赌博网站与2类下载服务之间的边缘表明,赌博网站使用下载服务分发赌博应用。下载服务(类型1或类型2)和赌博应用程序之间的边缘表明该赌博应用程序是从该服务中下载的。
2)Top 10数量的赌博域名
3)滥用第三方应用服务渠道
利用无头浏览器抓取下载网站并进行手动验证,发现一些下载服务是通用的服务,这些服务被部分赌博应用滥用来提供下载渠道。
2.赌博应用程序的特征
1)网站结构
角度1:连接的服务器地址
方法: 先使用DroidBot动态训练识别赌博应用的UI界面, 然后在真实手机运行赌博软件后手机相联系的服务器地址, 最后用TCPdump区别网络流量, 过滤公共服务器之后, 对连接的服务器进行分析。在过滤公共服务器时,采用的方法是通过大规模安卓应用的动态探索收集产生的流量获得公共的域名和利用Alexa的前10,000个域名过滤从赌博软件中收集的域名。
发现赌博应用程序通常连接到许多不同的服务器地址(平均8个)。赌博应用程序的通讯过程更复杂
赌博应用程序com.hmobile.core将在应用程序初始化期间首先连接到hjcxapix.com,并获得一个应用程序设置列表。当用户想要登录时,它会从www.hjcvip.net: 844请求真正的登录功能URL w1.vip66888.com,并向它发送帐户信息。成功登录后,将从w1.vip66888.com返回一个赌博游戏列表。然后用户可以选择一款游戏,该应用程序将从www.hjcvip.net:844请求主游戏URL gci.hjcvg.com及其资源加载URL gc.vpcdn.com。
角度2: 域分析
在赌博应用中顶级域名的分布
Top 10的赌博应用程序服务器的ASN
方法: 使用Qihoo 360和VirusTotal收集相关的IP地址,然后用IP-To-ASN的映射表获取ASN
Top 10的应用程序服务器注册商
Top 10的应用程序服务器注册人电子邮件
2)恶意行为
方法:用VirusTotal识别恶意应用, 然后用AVClass识别恶意软件家族, 56%的赌博软件有恶意行为
Top 10的恶意赌博应用程序排名
3)滥用第三方服务
Top 10滥用第三方域名/第三方库/CNAMEs。
4)支付服务
第三方支付和第四方支付的流程
对10个赌博应用进行手动分析
支付交易平台
3.推断非法赌博应用背后的地下活动, 从而发现更多这样的应用
1)应用程序集群
作者发现很多赌博软件之间存在相同的UI结构, 提出基于代码级相似性及其开发者签名对赌博应用进行聚类分析,以分析赌博应用之间的关系。
方法: 使用了基于代码相似性和资源相似性的应用程序克隆检测工具FSquaDRA2,对所有应用程序之间进行两两比较
Top 10的赌博应用程序集群。#APP表示这个集群中的赌博应用程序的数量,#Cert表示这个集群中使用的开发者证书的数量,%Top-1 Cert表示最流行的赌博应用程序签署证书的比例,#Prefix表示不同类型的包名前缀的数量,%Top-1 Prefix表示最流行的包前缀共享的赌博应用。
2)识别新的赌博应用
基于HTTPS的推理
方法: 使用VirsTotal收集所有赌博域名的最新证书信息,然后提取证书中的SAN数据, 通过分析这些数据识别相关域名。通过这个方法成功地访问总共53,749个网站。之后,选择了1000个网站进行手工验证,发现有961个域名(96.1%)是赌博网站。然后, 利用了virtotal提供的一个功能跟踪与这些赌博服务器通信的应用程序。通过这种方式,我们总共确定了16,973个应用程序。然后, 从virtotal下载了1000个进行手动验证。其中879个实际上是赌博应用程序。
基于应用程序开发者签名的推理
方法: 从赌博软件中收集其签名, 然后用签名在Koodous搜索发布的应用, 寻找相关开发者签名的APP