威胁猎人 | 2018年上半年短视频行业黑灰产研究报告
声明:
本报告版权属于威胁猎人情报中心,并受法律保护。转载、摘编或利用其它方式使用本报告文字或者观点的,应注明“来源:威胁猎人”。违反上述声明者,将追究其相关法律责任。
一、报告要点:
1、黑灰产业的发展从最早期的纯刷人气,刷粉丝,刷赞模式转向纯粹的为刷量和解决刷量的存在业务模式。
2、黑灰产的从业门槛逐渐降低,从最早期的专供上游工具,已经流向中下游。
3、2018年上半年刷量任务的需求主要依靠最火的自建站点模式完成刷量任务。
4、刷量相关群成员大多以工作室命名。同时工作室的数量也远高于去年。
5、账号售卖产业链成本正仍在增加。
6、新一代的改机工具,不仅价格低于早期,同时集成了代理IP+虚拟定位的功能。
7、同去年相比,产业链模式无明显变换,更多的是工具功能的开发,如改机工具新增的虚拟定位。
8、账号注册成本的降低,接码平台的曝光。越来越多的黑灰产入门人员开始涉入号商角色。
9、随着短视频行业的流量加剧,刷量产业链带来的账号需求远高于早期。
10、通过监控相关黑灰产群,热门教程逐渐成为仅次于刷量,刷粉、出售工具的热门话题。
11、短视频在上半年度(2018年)的总体风险评价为:高。
12、和去年相比,虚拟运营商的上卡数量远高于2017年。
13、2018年上半年捕获黑IP数量约占27.10%。
二、基本概念
1、报告中涉及到的术语
(1)引流:将短视频平台用户转到其他利于变现平台,包括但不限于微信、QQ。
(2)刷量:对短视频相关业务,采取作弊手段(刷作品播放量、刷粉丝、刷人气、刷赞等)。
(3)批量注册:利用改机工具,刷新设备指纹达到单部手机的复用,进而批量注册短视频平台账号。
2、报告中涉及到的行话/黑话
(1)接码平台:提供手机号,获取注册,解封,换绑短信的验证码平台。
(2)猫池:猫池厂家负责生产猫池设备,并将设备卖给卡商使用。猫池是一种插上手机卡就可以模拟手机进行收发短信、接打电话、上网等功能的设备,在正常行业也有广泛应用,如邮电局、银行、证券商、各类交易所、各类信息呼叫中心等。猫池设备可以实现对多张手机卡的管理。
(3)改机工具:刷新设备指纹,解决单台设备注册上限的问题。
(4)卡商:卡商指通过各种渠道(如开皮包公司、与代理商打通关系等)从运营商或者代理商那里办理大量手机卡,通过加价转卖下游卡商赚取利润的货源持有者。
(5)养号:将批量注册的小号,不断发作品,关注用户,修改头像,主要目的是为了降低账号被封的概率。
(6)白号:指接入接码平台直接用手机号注册的账号,也称直登号。
(7)跳转号:指适用QQ号或者微博快捷登陆后,激活绑定转换而成的号码。
(8)直播号:开了直播权限,以及实验室有锁、无锁的账号。
(9)单双参号:指除账号密码携带其他参数的账号,一般用作于刷量。
(10)活粉:带有作品,个签,个人头像,模拟真实用户操作的一批账号。
(11)死粉:又称僵尸粉,这类账号,只是带有简单的个签和个人头像,账号活跃度低。
(12)刷粉:短时间内提高账号的粉丝数量。
(13)出粉:将个人无法消耗的人气流量,以交易“人头数”的形式,获取报酬。
(14)协议:通过通信协议进行,直接模拟接口通信进行攻击的工具。
3、报告中涉及到的情报术语
(1)开源情报:通过对公开的信息进行深度的挖掘分析,确认具体的威胁或事件,从而直接指导这些威胁或事件的具体决策和行动。
(2)闭源情报:通过对内部平台所监控到信息进行深度的挖掘分析,确认具体的威胁和事件,从而直接指导这些威胁或事件的具体决策和行动。
(3)工具情报:通过对黑灰产工具做深入的逆向分析,了解其攻击原理和攻击方式方法,然后通过聚类以及关联分析的方式挖掘出这个工具背后一系列的黑色产业链、黑产团伙、攻击目标和变种工具等等,从而描绘出一个以工具为源头的黑灰产产业链关系图谱。其能有效定位企业当前所处的风险状态,还原攻击特征迭代风控规则。
4、数据来源及取样说明
本报告的主要数据来源包括:
(1)文本类数据;通过定向监控手段获取的黑灰产交易与沟通信息,以及部分热点事件信息。
(2)样本类数据:通过广谱监控手段获取的黑灰产工具样本。
(3)流量类数据:通过蜜罐监控手段获取的黑灰产攻击流量数据。
(4)黑卡类数据:通过定向监控手段获取的手机黑卡数据。
(5)黑IP类数据:通过第三方合作、蜜罐监控手段获取的黑IP数据。
(6)风险账号类数据:通过蜜罐监控和暗网监控手段获得的风险账号数据。
(7)其他类数据:通过其他第三方合作和监控手段获得的黑灰产相关数据,包括但不限于上述的数据类型。
5、数据取样说明
本报告的数据取样主要采取以下几种方式:
(1)关键词取样:根据特定的关键词及关键词组合,从全集数据中提取与特定分析对象或特定分析场景有关的数据子集。主要用于数据统计或趋势分析。
(2)相似度采样:根据文本或样本数据的相似度,从全集数据中提取具有较高相似度的数据子集。主要用于数据分类统计或案例分析。
(3)随机采样:对未知类型或内容数据进行简单随机采样,抽样比例根据具体的分析场景决定,主要用于情报线索发现或关键词校验。
(4)分层采样:对已知工具/事件数据按既定的标签规则分为若干子集,对每个子集中的数据随机抽取部分数据进行分析,抽样比例根据具体分析场景决定,主要用于案例分析或关键词校验。
受限于数据获取的渠道、数据本身的变化、抽样概率的限制及样本噪点的影响,基于上述数据取样方式所得的数据分析结果与实际情况之间可能存在一定的偏差。因此,部分分析结果会采取人工经验判断方式进行修正,这部分数据我们会加以注明。
三、黑灰产链条定义
1、产业链上游及相关角色
产业链上游根据中游和下游的需求,生产和提供各类黑灰产资源。其主要相关角色包括:
(1)工具开发者:开发各类黑灰产工具,具备一定的研发能力,大多使用Python、Lua、易语言,有较强的反侦查能力,大多有固定的中游销售渠道,多为兼职。
(2)卡源卡商:多以正常业务为幌子,通过各种渠道从运营商或代理商获取手机卡资源向接码平台、号商等出售,并定期回收销号。其提供的手机卡按类型可分为:虚拟卡/实卡、语音卡/短信卡、海外卡/国内卡、流量卡/注册卡。
(3)猫池厂商:向接码平台提供猫池设备,可分为2G、3G、4G猫池。
(4)号商:大量注册平台账号,并以人工或工具方式养号,借助账号代售平台出售账号。
(5)黑客:通过技术或社会工程学手段发起攻击,多以窃取用户数据为主要目的,再通过地下黑市出售。
2、产业链中游及相关角色
产业链中游负责将上游生产和提供的各类黑灰产资源进行包装和批量转售,多以各类平台或服务的形式存在。其主要相关角色包括:
(1)接码平台:负责连接卡商和羊毛党、号商等有手机验证码需求的群体,提供软件支持、 业务结算等平台服务,通过业务分成获利。
(2)打码平台:为软件开发者、工作室、普通用户提供即时、精准的图片识别答题服务,通过识别验证码服务获利。
(3)帐号代售平台:对工作室、普通用户提供相对应需求的账号,通过抽取相对应的佣金获利。
(4)工具代售平台:对工作室、普通用户提供解决刷量需求的工具,通过抽取相对应的佣金获利。
(5)地下黑市:相关的黑灰产业群、论坛,为工作室、普通用户提供一个需求解决场所。
3、产业链下游及相关角色
产业链下游负责直接执行黑灰产行为,多以工作室形式存在。其主要相关角色包括:
(1)刷量工作室:通过解决普通用户的刷量需求获利。
(2)引流工作室:解决客户的需求短时间内将大量快手用户引向其他平台,对引流人数和引向的平台设置不同的门槛,抽取佣金。
(3)主播工作室:主要服务于高人气主播,利用相关工具刷人气短时间内吸引其他用户观看,通过假聊工具营造人气火爆的场景。
四、黑灰产业链分类
1、以账号为核心的黑灰产业链
1.1 核心产业链一:虚假注册
参考钻石模型,我们对虚假注册产业链的运转模式做出如下分析:
1.1.1 攻击者:开发者团队
(1)主要操作:通过出售批量注册、自动养号脚本;通过出售改机工具;通过售卖云控平台使用权获利。