在巨额利益的驱动下,黑灰产从业者疯狂游走在监管边缘地带,黑产各类攻击资源高度市场化、模块化,产业链不同层级的团伙分工明确又配合严密。网络黑灰产业链在与各方对抗中不断升级,不少企业被迫卷入黑灰产的漩涡。

  “知己知彼”才能打破攻防僵局,推动有效治理。黑灰产业链一直是威胁猎人重点研究的内容,威胁猎人发布《2022年黑灰产业研究报告》(以下简称《报告》),客观呈现2022年黑灰产发展态势,深入分析黑灰产攻击资源、技术、场景并提出针对风险防治思路。

  《报告》统计数据显示,2022年国内黑灰产业仍然非常发达,主要表现为:规模更庞大、产业链结构更清晰、攻击更高效、覆盖场景更广泛。

  2022年,威胁猎人情报平台监测到8亿余条黑灰产相关情报,黑产规模依旧十分庞大。2022年黑灰产业链整体结构可按照供需关系分为资源、服务、变现三个层级,并以此来区分产业链的上中下游:

  2022年黑产从业人员规模更广,从业人员数量较2021年增长了10%左右。

  黑手机卡是十分重要的黑灰产资源,黑产需要囤积大量账号用于营销作弊(如刷分刷赞),而账号的主要来源就是黑手机卡注册。2022年“断卡行动”持续升温,黑产获取国内传统黑手机号的难度越来越大,2022年传统黑手机号增量较2021年下降了约26%。

  黑IP同样是重要黑灰产资源之一,黑灰产利用海量黑IP绕过企业针对IP的风控,并隐藏攻击者的线年黑IP资源整体变化不大,日活跃黑IP的数量较2021年增长了约12%。

  黑银行卡是网络、、诈骗等违法行为洗钱的重要资源。威胁猎人情报平台监测发现,2022年新增的黑银行卡数量较2021年下降了约20%,经研究推断,主要由于2022年“断卡行动”持续升温,各银行对于黑银行卡的治理取得一定成效。

  威胁猎人针对产业链中游服务层进行深入研究及总结,将攻击服务划分为“过身份”、“多身份”、“批量化”三大模块,其中每个模块涉及到多种攻击技术。

  注:针对2022年黑灰产攻击资源、技术的具体分析,将在第二、三章详细讲解。

  1.5 黑灰产作恶形势依旧严峻,涉及营销作弊、虚假刷量等6大重点攻击场景

  2022年黑灰产规模不减,作恶情况依旧严重。威胁猎人围绕营销作弊、虚假刷量、数据泄漏等2022年黑灰产重点攻击场景进行了深入研究,其中营销作弊仍然是黑灰产最主要的攻击场景,此外,刷量产业链不断进化,新型“高级账号”刷量悄然出现。

  据威胁猎人观察,黑灰产通过传统黑手机卡、拦截卡、海外卡等方式为各风险场景作恶提供了充足的“弹药”,体现出黑灰产极强的对抗力和生命力。

  传统黑手机卡指非正常实名的手机SIM卡,渠道多样,有企业匿名卡、历史物联网卡、通信虚拟卡等等,主要特征是“在生命周期内被黑产固定持有”,即在这个期限内无论注册哪个平台,进行何种行为均可判断为恶意。

  2022年传统黑手机卡资源供给并不稳定,每月传统黑手机卡新增数量如下图所示:

  1、受“断卡行动”的持续影响,卡商难以通过营业厅内鬼等渠道批量开新卡,不少卡商只能利用旧卡开展一些新业务;

  2、传统黑手机卡的最主要对接渠道——接码平台,在2022年受公安打击、平台跑路等现实因素影响,加剧了黑卡增量的波动。

  1、部分卡商发掘出新渠道进行批量开卡(如:利用云平台号码隐私保护服务),因此部分时间段供卡量出现增长;

  2、接码平台受多种现实因素影响,卡商逐步聚集到极少数头部接码平台,这些平台的服务器通常架设在海外,打击难度较大;

  3、为了避免被轻易发现,越来越多的卡商采用私密对接的方式,2022年私密对接的接码方式逐渐由“群接码”转变为“网页接码”。

  群接码:卖家在QQ、微信等社交软件中组建的群组容易遭到检测并封禁,因此需频繁组建或更换接码群,因此群接码较不稳定;

  网页接码:有特定黑产团伙负责开发转码软件及网站,卖家可以通过软件生成专属链接,提供给买家用于接收短信内容(俗称接码房间),网页接码更加便捷和隐蔽,其原理如下:

  以下是2022年两种接码方式的走势对比,可以看出,网页接码的规模持续增长,而群接码持续下降。2022年底,网页接码每月接收验证码的数量已达到数千万规模,而群接码几乎消失殆尽。

  拦截卡主要特征是“手机号为自然人持有”,也就是“实名卡”,指在具备通信功能的移动设备上留下后门或植入木马,拦截正常用户手机设备收到的短信内容,利用其开展恶意行为。

  威胁猎人调查发现,2022年上半年拦截卡数量极少,主要因2022年初拦截卡平台集体跑路,从2022年7月份开始,陆续出现多个新的拦截卡平台并持续活跃,因此2022年下半年拦截卡数量明显增长。

  海外黑卡无论是接码平台还是卡源都在海外,因此海外黑卡并未受到专项打击的影响,2022全年海外黑卡数量较为稳定,从海外黑卡的地域分布来看,主要集中在美国、加拿大、东南亚、中国香港等区域。

  数量较为平稳,日活跃的黑IP数量稳定在300万左右。威胁猎人研究员针对黑IP主要类型进行分析(排除掉IP类型未知的数据),发现家庭宽带类型的黑IP占比最高,超过85%;其次是企业专线%左右;而移动网络和校园网络等其他类型的黑IP,占比仅0.35%。

  家庭宽带:黑产所使用的秒拨及动态代理IP基本属于家庭宽带类型,主要利用“家庭宽带拨号每次断线重连,会重新获取一个新IP” 的原理,秒拨及动态代理IP价格便宜、数量大、切换方便,因此成为了黑产大规模攻击的首选黑IP资源。

  企业专线:企业专线类型的黑IP数量在近一两年有所上升,部分黑IP资源供给方通过企业身份申请企业专线IP,并以优质池、独享池等方式进行出售。由于这些黑IP价格昂贵,往往会被某些定向攻击的黑产团伙固定使用,其识别难度更大。

  数据中心:数据中心类型的黑IP资源主要用于秒杀、抢购等营销作弊场景,该类场景往往需要网速更快的IP资源,因此资源供给方会选择租用机房,来满足部分黑产快网速IP资源的需求。

  代理IP平台以及秒拨平台,其中以代理IP平台为主,随着各大应用开始展示用户IP归属地,代理IP的需求激增,无形中促进了代理IP平台的数量增长。同时,代理IP平台和秒拨平台联系紧密,很多动态代理IP都由秒拨平台拨出。

  构成一套IPv6风险识别算法,能为企业检测出业务流量中IPv6流量在活跃时间内的风险值。

  排名上升最快的前10家银行中有8家是农村信用社,由此可见,随着大行打压,赌资洗钱风险有所转移,农村信用社银行卡逐渐被平台规模化利用。

  软件改机:软件改机已经出现多年,其核心技术是通过抓取与设备信息相关的函数并修改函数返回值来达到改机效果。

  以特征文件等检测点为例,LSPosed框架相对不容易被检测出的原因如下:

  原生兼容,所以已有的XPosed模块无需改动即可在LSPosed框架上运行。

  定制ROM改机:从威胁猎人的攻防实践及客户实际测试效果来看,软件改机的成功率并不高,为了提高成功率,黑产也在不断开发更底层的改机技术,其中就包括定制ROM改机。

  一台电器比作改机目标,将控制其电源比拟为改机过程,软件改机则是“入室控制电源”,极易被检测发现,而ROM改机则是”直接控制发电厂”,从根源进行远程破坏,防守者很难与之正面对抗。

  我们以修改设备的IMEI值为例,解释定制ROM改机的技术原理。在Android系统上,获取IMEI值调用的getDeviceID函数,这其实是一个IPC调用。响应方是系统的Phone服务(对应的进程包名是com.android.phone),并最终会调用到Phone.getDeviceID函数。通过改写该函数,根据IPC调用方的uid来判断是否是改机目标应用;如果是,则调用getHookValue返回伪造的IMEI值;如果不是,则返回真实的IMEI值。整个过程如下所示:

  劫持系统位置服务被黑产普遍使用,劫持系统位置服务通过Hook关键函数并伪造函数返回值,因不在目标应用进程空间而难以检测。

  定制ROM劫持摄像头同样通过修改Android源代码来实现,由于这种技术改写了比较底层的Android源代码,因此难以被检测,成为了2022年黑产常用的劫持摄像头的攻击方式。

  云手机虚拟相机也可以绕过人脸认证。目前市面上出现了众多的云手机平台,其中大部分是基于瑞芯微(rockchip)的RK系列芯片开发,部分云手机平台开发并提供了“远程虚拟相机”的功能。从实际测试效果来看,云手机虚拟相机绕过人脸认证的成功率较高。

  专业黑产团伙发起的规模化攻击对企业造成的损失极大,这种攻击往往需要具备以下两个要素:

  1、大量虚假账号:单个账号营销作弊的收益往往不会太高,因此黑产团伙一般通过大量虚假账号来积累收益,虚假账号的主要来源就是黑手机卡,如何有效识别黑手机卡成为对抗营销作弊的关键;

  2、自动化攻击:针对营销活动开发的自动化攻击工具,可以高效完成注册、拉新、助力等活动任务并薅取活动奖励,自动化攻击的主要方式有两种:

  ① 改机+群控:通过改机技术伪造出多台设备,通过群控技术批量操控多台设备,对于这种攻击方式,如何有效识别风险设备环境成为关键。

  ② 协议攻击:破解注册、登录以及跟活动相关的API接口,批量伪造接口请求。对于这种攻击方式,对API接口进行安全加固以及如何识别风险流量成为关键。

  协议刷量:协议刷量是“流量造假”的原始手段,即直接采用“代理IP+用户登录态”来模拟协议并编写代码,实现自动化刷量,简单、直接、技术含量低。

  真人众包刷量:真人众包刷量指刷量者在“真人众包任务平台”或“刷量任务群聊”发布刷量任务,以任务赏金的形式吸引真人用户,并让其按照特定流程进行刷量。

  2022年“协议刷量”明显下降,“真人众包刷量”稳中有升,经研究分析主要原因如下:

  1、协议刷量的难度增加。随着各内容平台安全建设水位的不断提升,无论是协议的破解难度,还是绕过机器流量识别的难度,相比以前都大大增加,而且一旦被发现,会面临平台的严惩;

  2、真人众包刷量效果远超协议刷量。真人众包刷量都是真人操作,难以从技术上进行识别。威胁猎人与国内某头部内容平台合作,进行真人众包刷量测试,实测成功率很高且平均速度很快,完成任务平均用时仅需4分钟;

  3、真人众包刷量任务价格适中。目前真人众包刷量的任务类型主要为:下载、评论、点赞、浏览、收藏、关注、喜欢、投币等。这些任务的价格不算高,单价在0.2元/条左右,买家完全可以接受这个价格;

  4、专项打击对刷量产业链影响较大。在监管部门专项打击活动期间对刷量产业链震慑效果明显,但由于刷量市场需求很强,专项打击过去一段时间后,不少真人众包平台很快恢复了刷量任务的发布,且任务数量持续上升。

  高级账号刷量。其刷量账号具有等级高、内容多、粉丝数量多等特征,如“千粉号”、“万粉号”、“千粉千赞”等,由于这类账号在平台上的可信度和影响力大于一般账号,因此在评分、排名等方面拥有更高的权重,从而可以达到更好的刷量效果。

  1、店铺刷单:店铺刷单指平台卖家付费委托刷单黑灰产,通过刷单工具、真人刷手等方式向指定的平台卖家购买商品、填写虚假好评来提升店铺销量、信用度和评分、获取平台流量。

  黄牛代下指黑灰产雇佣真人远程下单,来批量薅取活动限购的优惠商品,目前也形成了一个成熟的产业链。黑灰产实时监控各个商家的优惠商品,并通过QQ群、微信群等私域群组、报单网站发布代下方案

  真人用户按照黑灰产提供的商品链接和地址下单,并赚取黑灰产提供的佣金,而黑灰产收到商品后进行转卖以获利。黄牛代下导致大量优惠商品被专门的黑产团伙薅取,而正常用户基本享受不到优惠,企业白白耗损大量营销费用,久而久之正常用户甚至会流失到黑产的转卖渠道。

  代下产业链的的核心是:“下单发货到特定地址”。 黄牛中介在不同渠道发布的代下商品方案中,包含下单商品及统一的下单地址,而统一地址背后往往的大型的收货团伙/大货主,收拢来自全国大量分散的代下团伙的代下商品。因此,平台方可以收集分析此类下单地址,针对该类订单/账号实施对应风控策略。

  凑满减指羊毛党通过研究电商平台的满减要求,为以最优惠价格购买目标商品选择另外一款商品凑单达成满减条件,付款后再对凑单商品进行退货操作,可能引发凑单商品短时间内被大量退货的风险,以及商家数据异常和库存压力。

  2022年,威胁猎人检测到“凑满减”相关线万条,涉及到的黑产群组超过1000个,且整体呈上升趋势。值得注意的是,在电商平台大促活动期间,“凑满减”风险尤其普遍且后果更为严重。

  大促期间,平台往往支持跨店凑满减,凑单商品大多可通过口令形式便捷传播、快速下单,同时平台及店铺支持无条件退款。同一个“凑满减”商品线报,往往会被不同的羊毛党生成不同的口令在社交群聊中大肆传播,因此凑单商品将会在短时间内面临大量退货风险。

  恶意赔付指黑灰产或职业打假人利用法律法规、电商相关禁止规则,通过向商家套话或向有关部门举报等方式,下单商品并恶意发起售后申请,向商家及平台施压要求索赔的行为。部分赔付教程通过引流、付费等方式被广泛传播及实操,极大影响了商家和平台的正常运营。

  2022年,威胁猎人通过监测相关黑灰产论坛及社群,挖掘黑灰产恶意赔付方案超30例,主要集中在头部电商平台。通过对方案进一步分析发现,当前的赔付方案主要围绕不发货、商品宣传违禁词、售假、三无、违禁品、食品安全等问题,寻找存在这些漏洞的店铺并发起恶意售后申请。

  该方案展现了赔付思路及操作流程,包括如何筛选赔付商品链接、下单、收货注意要点、赔付话术等,具体内容如下:

  随着金融+互联网的发展,金融行业通过数字化转型为用户提供灵活与便捷服务的同时,也面临着黑产不断迭代演变的各类欺诈威胁。其中以金融信贷欺诈最为严峻,给金融机构带来了坏账和大额经济损失。

  黑产中介利用贷款审批漏洞为贷款者申请贷款,或通过特定话术等方式,为贷款者成功申请延期、减免利息,而中介从中赚取高额提成,这类作恶行为会造成信用机构资金损失、大额坏账。

  等,其最终目的多为通过伪造资质证明,达到过身份的目的。主要的欺诈思路包括但不限于伪造资质及银行流水、利用特定话术反催收等。

  ① 伪造贷款用户资质:黑产通过伪造资料帮助违约用户贷款,其本质是对申请人信息进行造假,常见造假项包括:工作单位、房产信息、公积金、工资流水等。

  ② 仿冒银行APP制作银行流水:黑产通过仿冒假银行APP伪造虚假流水,难以发现异常。

  该方法主要利用了不同银行间的信息差:假设黑产想去A银行申请贷款,并制作伪造B银行的虚假APP及虚假流水,申请过程中黑产会向A银行工作人员展示B银行的虚假APP及流水,因此A银行不仔细分辨的情况下很难发现异常。

  3、与此同时,普通用户通过部分渠道购买打折/低价话费,进行线、聚合支付平台根据充值金额在某些App上发起等额的话费充值请求,生成订单并获取支付链接;

  威胁猎人情报人员发现,非法第四方平台通过聚合第三方支付平台、合作银行及其他服务商接口,对平台提供综合支付结算业务。在此基础上,四方支付平台需生成大量充值订单,极易被充值服务平台识别为异常行为,为了规避充值服务平台的检测与监管,非法四方支付平台常采用“代理IP”的形式隐藏身份,使网络平台支付的违法行为更加隐蔽。

  无论是传统的黑灰产攻击场景,还是最近愈发严重的因API管控不当引发的数据安全问题,都可以以情报为依托,建立风险管理的安全基线

  黑灰产在发起攻击时必然会用到一些资源,比如IP、黑产作恶工具等,利用威胁猎人丰富的黑灰产情报数据

  风险IP画像访问次数、地域、风险等标签信息,以API接口的方式实时输出攻击特征IOC,之后再联动企业其他安全系统及时阻断攻击流量,提高阻断的效率 ,实现多点防御。

  借助“情报”能力,企业可以从全局视角出发,全面、及时感知内部API资产风险及黑灰产团伙的轨迹与动向,精准预警并输出攻击者的IOC情报等,然后联动风控系统、WAF等快速处置攻击风险,面对日益严峻的黑灰产风险与挑战,做到从容应对,有力反击。

  平台声明:该文观点仅代表作者本人,搜狐号系信息发布平台,搜狐仅提供信息存储空间服务。