（非法）行业工具：Mock API - InQuest

简介

在2024年的互联网环境中，各类廉价且易用的工具层出不穷，这些工具极大地简化了开发任务。然而，这些工具的广泛可用性也带来了潜在的安全隐患，尤其是被不法分子利用的风险。在近期的安全事件中，假冒或模拟API服务的使用逐渐成为一个值得关注的问题。CERT-UA的研究表明，这些服务已被用于国家支持的APT（高级持续性威胁）活动中，尤其是在俄罗斯-乌克兰战争相关的网络攻击中。这一现象表明，威胁行为者可能早已在暗中利用这些技术。随着这些工具的进一步普及，区分合法使用与恶意滥用变得尤为重要，这对于事件处理和威胁防御至关重要。

为什么使用模拟API？

模拟Web开发人员设计的，用于模拟API端点以便进行测试和调试。如果配置得当，这些服务可以模拟后端环境，从而提供快速且一致的反馈，帮助开发者快速发现并修复问题。此外，模拟API可以减轻测试复杂系统的压力，仅需测试必要的端点即可。通过模拟环境，后端和用户界面（UI）元素可以并行开发和测试，只需确保模拟环境尽可能接近生产环境。

根据所选的服务，用户可以自定义HTTP响应、传递和接收基于文本的有效载荷，并监控端点的流量。例如，Mocky.io等服务无需注册即可使用，并支持通过秘密令牌或指定名称进行管理。这种便捷性不仅对开发者有益，也为攻击者提供了快速搭建活动基础设施的工具，同时具备一定的匿名性。

Mockbin.io 的使用示例

为了展示模拟API设置和使用的便捷性，我们以Mockbin.io为例。通过该平台，用户可以自定义HTTP响应代码、标头和正文内容。以下是一个简单的操作示例：

通过Mockbin.io创建模拟后，用户将进入一个管理页面，该页面会记录所有请求数据：

Mockbin.io的一个显著特点是免费开源，且无需用户注册。模拟数据存储在本地浏览器中，用户通过浏览器访问模拟链接时会记录一个GET请求，并显示预期的消息。

以下是一个简单的请求示例：

curl -X POST -H "Content-Type: text/html" -d "过滤后的用户数据到此为止" https://14c47ec4faef4c1f8006f83439e144e0.api.mockbin.io/

在管理页面中，可以清晰地看到发送的请求及其数据。

模拟API在网络犯罪中的应用

模拟API服务在网络犯罪中的应用主要体现在攻击活动的早期阶段。例如，攻击者可能通过初始访问文件将目标设备指向提供侦察数据的模拟API端点。CERT-UA的研究显示，APT28曾利用LNK文件执行脚本，与Mocky.io托管的模拟API交互。这些交互可以通过无头浏览器实现，从而降低被普通用户察觉的可能性。

攻击者通过收集目标设备的操作系统信息和外部IP地址，能够根据需要向目标分发定制的有效载荷。这种方法比传统的C2服务器通信更隐蔽，尤其是在开发者频繁使用模拟API服务的环境中。

以Zscaler报道的“Steal-It”活动为例，攻击链中使用了两个模拟API服务：

• Mocky.io：用于验证操作系统和IP地址，满足条件后下载LNK文件以推进攻击。
• Mockbin.org：用于为溢出数据提供端点。

结束语

任何通用工具都有可能被用于恶意目的。模拟API服务本是为了帮助开发者提高效率，但也被威胁行为者用来节省时间和资源。尽管防守者无法完全阻止攻击者利用新技术，但通过早期发现和预警，可以有效减少威胁的影响。尤其是在复杂的攻击活动中，及时检测并中断关键阶段的攻击行为，能够显著降低数据泄露和其他安全风险。

建议

为了防范模拟API服务被滥用，建议采取以下措施：

• 监控流行的模拟API服务流量，如：
  • Mockbin.io：免费开源，因mockbin.org转向付费结构而创建。
  • Mocky.io：免费开源，曾被APT28使用。
  • Insomnia（前身为Mockbin.org）：需要注册，APT28曾使用其免费版本。
• 加强对API流量的分析，识别异常行为。
• 教育开发者，提高对模拟API服务潜在风险的认识。

通过这些措施，可以在一定程度上遏制模拟API服务的恶意使用，为网络安全提供更强的保障。

原文链接: https://inquest.net/blog/tools-of-the-trade-mock-api/