腾讯安全2018上半年互联网黑产研究报告

目录序言.................................................................................................................4一、移动端黑产规模宏大，恶意推广日均影响用户超千万...............................51.四大主流黑产链条....................................................................................................................61.1暗扣话费黑产：日掠夺千万的“抢钱”产业链...............................................................61.2广告流量变现：九大家族控制数百万广告流量牟取暴利..............................................81.3手机应用分发黑产：沉默但不简单的地下软件分发渠道............................................101.4App刷量产业链：作弊手段骗取开发者推广费............................................................122.三大新兴攻击手段..................................................................................................................152.1黑产利用加固技术进程在加速..........................................................................................152.2黑产超级武器云加载进入3.0时代..................................................................................162.3黑产渗透更多的供应链，供应链安全风险加剧.............................................................19二、PC端黑色产业链日趋成熟，攻击更加精准化.........................................211.勒索病毒解密产业链，对企业及公共机构造成严重威胁................................................212.控制肉鸡挖矿产业链，游戏外挂成挖矿木马“重灾区”................................................263.DDoS攻击技术不断演进，团伙作案趋势明显.................................................................28三、互联网黑产对抗的技术趋势与实践.........................................................331.人工智能成移动端黑产对抗技术突破口.............................................................................332.化被动为主动的PC端黑产对抗技术..................................................................................34四、2018年下半年的安全趋势分析..............................................................361.MAPT攻击威胁持续上升，移动设备或成重大安全隐患...............................................362.恶意应用的检测和反检测对抗将愈发激烈，安全攻防进入焦灼局势...........................373.黑产团伙拓宽安卓挖矿平台市场，移动挖矿应用或迎来爆发........................................384.勒索病毒攻击更加趋向于精准化的定向打击.....................................................................385.挖矿病毒比重明显增大，手段更加隐蔽.............................................................................396.高级可持续性APT攻击威胁距离普通人越来越近...........................................................397.刷量刷单类灰色产业依然严重..............................................................................................40序言病毒木马的演变史，就是一部互联网黑产演变史。病毒木马从最初的以炫技为目的，逐步过渡到与利益相关：哪里有流量，哪里能够获利，哪里便会有黑产聚集。2018年，伴随移动应用的影响力超过电脑应用，主要互联网黑产也迁移到手机平台。腾讯安全反诈骗实验室观测数据表明，以持续多年的暗扣费黑产、恶意移动广告黑产、手机应用分发黑产、App推广刷量黑产为典型，这些移动端的互联网黑产，给用户和软件开发者带来了巨大的经济损失。同时，2018年是区块链大年，几乎所有的新兴产业，都绕不开区块链这个关键词。与之相应，2017年下半年至今，互联网病毒木马的主流也都围绕区块链、比特币、以太坊、门罗币而来。由于比特币具备交易不便于警方追查的特性，全球范围内的黑市交易，大多选择比特币充当交易货币。由比特币等数字货币引发的网络犯罪活动继续流行，挖矿木马成为了2018年影响面最广的恶意程序。对于挖矿而言，除了大规模投入资本购买矿机自建矿场，黑产的作法是控制尽可能多的肉鸡电脑组建僵尸网络进行挖矿。而僵尸网络除了可以挖矿牟利，控制肉鸡电脑执行DDoS攻击也是历史悠久的黑产赢利模式之一。为此，腾讯安全联合实验室整理了2018年上半年互联网黑产攻击数据和发展现状，分别从移动端和PC端两个方面详细解读黑色产业链的具体特征、攻防技术和发展态势，为大家揭开互联网黑产的面纱。一、移动端黑产规模宏大，恶意推广日均影响用户超千万2018年上半年，手机病毒类型多达几十种，大部分病毒都属于资费消耗、恶意扣费和隐私获取这三种类型，占比分别为32.26%、28.29%和20.40%。此外，手机病毒的功能日益复杂化，一款病毒往往兼具多种特性和恶意行为。4月初腾讯TRP-AI反病毒引擎曾捕获一款名为“银行节日提款机”的恶意木马，伪装成正常的支付插件，在用户不知情的情况下，私自发送订购短信，同时上传用户手机固件信息和隐私，给用户造成资费损耗和隐私泄露。1.四大主流黑产链条1.1暗扣话费黑产：日掠夺千万的“抢钱”产业链暗扣话费是非常古老的互联网黑产。大部分用户会预充值一些话费用于支付套餐的消耗，平时也很少再关注话费，实际上，这些预存的话费余额还可以用来订阅各种增值服务。移动黑产正是利用这一点，串通利益共同体一起窃取用户话费余额并牟取暴利。据腾讯安全反诈骗实验室数据显示，每天互联网上约新增2750个左右的新病毒变种，伪装成各种打色情擦边球的游戏、聊天交友等应用诱导用户下载安装。此类手机恶意应用每天影响数百万用户，按人均消耗几十元话费估算，日掠夺话费金额数千万，可谓掘金机器。受暗扣话费影响的最多的省份有广东、河南、江苏等地。腾讯安全反诈骗实验室研究发现，此类黑产以稀缺的SP提供商为上游，SDK根据掌握的不同SP资源开发相应的SDK，并将这些SDK植入到伪装成色情、游戏、交友等容易吸引网民的应用中。实现暗扣话费变现后，利润通过分成的方式被整个产业链瓜分。此类黑产核心的扣费SDK开发团队大概有20家左右，主要分布在北京、深圳、杭州等地。据腾讯安全反诈骗实验室观测，暗扣话费的手机恶意软件的影响近期又呈增长之势。1.2广告流量变现：九大家族控制数百万广告流量牟取暴利当前中国网民对手机应用中广告的态度整体较为宽容，国内消费者为应用付费的习惯尚待养成，正规的软件开发者同样需要通过广告流量来获利收益。然而，某些内置于各类应用中的恶意广告联盟，主要通过恶意推送广告进行流量变现的形式来牟利，平均每天新增广告病毒变种257个，影响大约676万的巨大用户群。这些恶意广告联盟推送的广告，内容更加无底线，在某些时候突然推送出色情擦边球应用、博彩甚至手机病毒也不足为奇。腾讯安全反诈骗实验室的监测数据表明，越是经济发达的地区，恶意广告流量变现的情况也越发严重。珠三角、长三角、京津冀遭受恶意广告流量的影响远大于全国其他区域。1.3手机应用分发黑产：沉默但不简单的地下软件分发渠道在应用市场竞争日益激烈的情况下，软件推广的成本也在升高。一些初创公司较难在软件推广上投入大量成本，部分厂商便找到了相对便宜的软件推广渠道：通过手机应用分发黑产，采用类似病毒的手法在用户手机上安装软件。据腾讯安全反诈骗实验室监测数据显示，软件恶意推广地下暗流整体规模在千万级上下，主要影响中低端手机用户。例如部分用户使用的手机系统并非官方版本，经常会发现手机里莫名其妙冒出来一些应用，这就是地下软件黑产的杰作。通过手机恶意软件后台下载推广应用，是手机黑产的重要变现途径。腾讯安全反诈骗实验室的研究数据表明，手机恶意推广的病毒变种每天新增超过2200个，每天受影响的网民超过1000万。1.4App刷量产业链：作弊手段骗取开发者推广费为了将自己开发的手机应用安装在用户手机上，软件开发者会寻找推广渠道并为此付费。一部分掌握网络流量的人，又动起歪脑筋：利用种种作弊手段去虚报推广业绩，欺骗软件开发者。根据腾讯安全反诈骗实验室对App刷量产业链的研究，该产业链主要有三个阶段：第一阶段：机刷时代(模拟刷、群控)前期通过模拟器模拟出大量手机设备伪装真实用户，随着对抗后期则主要通过购买部分真实手机设备通过群控系统来实现。模拟器易被检测，群控规模有限，加上开发商对抗技术的升级，该模式逐渐没落，刷量产业和开发者也处于长器的博弈之中。第二阶段：众筹肉刷常常以手机做任务就可以轻松赚钱为噱头吸引用户入驻平台，用户可以通过APP提供的各种任务来获取报酬，比如安装某个应用玩十分钟可以获取一块钱。然而这些平台由于失信太多，骗用户做任务又不愿意付费，导致愿意参与此类游戏的网友数量越来越少，模式已逐渐消亡。第三阶段：木马技术自动刷量人工刷量需要大量的真实用户帐号，或者较多的设备，还得人肉操作，导致效率较低。2018年有一批聪明的开发商已经开始布局木马自动刷量平台。木马SDK通过合作的方式植入到一些用户刚需应用中进行传播，然后通过云端控制系统下发任务到用户设备中自动执行刷量操作。2.三大新兴攻击手段2.1黑产利用加固技术进程在加速加固技术开发的本来目的是用于保护应用核心源代码不被窃取，随着病毒对抗的不断提升，越来越多的病毒应用开始采用加固来保护自己的恶意代码不被安全软件发现。目前国内外有很多成熟的加固方案解决厂商，这些厂商存在很多先进的加固技术和较完善的兼容性解决方案，但是这些方案解决商的这些优点正成为黑产很好的保护伞。根据腾讯安全反诈骗实验室的数据显示，进入2018年以后利用这些知名加固解决方案的病毒应用正在快速增加。从病毒家族的维度看，社工欺诈类、恶意广告类、色情类、勒索类等对