(電子商務(wù)研究中心訊)序言

病毒木馬的演變史，就是一部互聯(lián)網(wǎng)黑產(chǎn)演變史。病毒木馬從最初的以炫技為目的，逐步過渡到與利益相關(guān)：哪里有流量，哪里能夠獲利，哪里便會有黑產(chǎn)聚集。

2018年，伴隨移動應(yīng)用的影響力超過電腦應(yīng)用，主要互聯(lián)網(wǎng)黑產(chǎn)也遷移到手機平臺。騰訊安全反詐騙實驗室觀測數(shù)據(jù)表明，以持續(xù)多年的暗扣費黑產(chǎn)、惡意移動廣告黑產(chǎn)、手機應(yīng)用分發(fā)黑產(chǎn)、App推廣刷量黑產(chǎn)為典型，這些移動端的互聯(lián)網(wǎng)黑產(chǎn)，給用戶和軟件開發(fā)者帶來了巨大的經(jīng)濟損失。

同時，2018年是區(qū)塊鏈大年，幾乎所有的新興產(chǎn)業(yè)，都繞不開區(qū)塊鏈這個關(guān)鍵詞。與之相應(yīng)，2017年下半年至今，互聯(lián)網(wǎng)病毒木馬的主流也都圍繞區(qū)塊鏈、比特幣、以太坊、門羅幣而來。由于比特幣具備交易不便于警方追查的特性，全球范圍內(nèi)的黑市交易，大多選擇比特幣充當交易貨幣。由比特幣等數(shù)字貨幣引發(fā)的網(wǎng)絡(luò)犯罪活動繼續(xù)流行，挖礦木馬成為了2018年影響面最廣的惡意程序。對于挖礦而言，除了大規(guī)模投入資本購買礦機自建礦場，黑產(chǎn)的作法是控制盡可能多的肉雞電腦組建僵尸網(wǎng)絡(luò)進行挖礦。而僵尸網(wǎng)絡(luò)除了可以挖礦牟利，控制肉雞電腦執(zhí)行DDoS攻擊也是歷史悠久的黑產(chǎn)贏利模式之一。

為此，騰訊安全聯(lián)合實驗室整理了2018年上半年互聯(lián)網(wǎng)黑產(chǎn)攻擊數(shù)據(jù)和發(fā)展現(xiàn)狀，分別從移動端和PC端兩個方面詳細解讀黑色產(chǎn)業(yè)鏈的具體特征、攻防技術(shù)和發(fā)展態(tài)勢，為大家揭開互聯(lián)網(wǎng)黑產(chǎn)的面紗。

一、移動端黑產(chǎn)規(guī)模宏大，惡意推廣日均影響用戶超千萬

2018年上半年，手機病毒類型多達幾十種，大部分病毒都屬于資費消耗、惡意扣費和隱私獲取這三種類型，占比分別為32.26%、28.29%和20.40%。此外，手機病毒的功能日益復(fù)雜化，一款病毒往往兼具多種特性和惡意行為。4月初騰訊TRP-AI反病毒引擎曾捕獲一款名為“銀行節(jié)日提款機”的惡意木馬，偽裝成正常的支付插件，在用戶不知情的情況下，私自發(fā)送訂購短信，同時上傳用戶手機固件信息和隱私，給用戶造成資費損耗和隱私泄露。

1.四大主流黑產(chǎn)鏈條

1.1暗扣話費黑產(chǎn)：日掠奪千萬的“搶錢”產(chǎn)業(yè)鏈

暗扣話費是非常古老的互聯(lián)網(wǎng)黑產(chǎn)。大部分用戶會預(yù)充值一些話費用于支付套餐的消耗，平時也很少再關(guān)注話費，實際上，這些預(yù)存的話費余額還可以用來訂閱各種增值服務(wù)。移動黑產(chǎn)正是利用這一點，串通利益共同體一起竊取用戶話費余額并牟取暴利。

據(jù)騰訊安全反詐騙實驗室數(shù)據(jù)顯示，每天互聯(lián)網(wǎng)上約新增2750個左右的新病毒變種，偽裝成各種打色情擦邊球的游戲、聊天交友等應(yīng)用誘導(dǎo)用戶下載安裝。此類手機惡意應(yīng)用每天影響數(shù)百萬用戶，按人均消耗幾十元話費估算，日掠奪話費金額數(shù)千萬，可謂掘金機器。受暗扣話費影響的最多的省份有廣東、河南、江蘇等地。

騰訊安全反詐騙實驗室研究發(fā)現(xiàn)，此類黑產(chǎn)以稀缺的SP提供商為上游，SDK根據(jù)掌握的不同SP資源開發(fā)相應(yīng)的SDK，并將這些SDK植入到偽裝成色情、游戲、交友等容易吸引網(wǎng)民的應(yīng)用中。實現(xiàn)暗扣話費變現(xiàn)后，利潤通過分成的方式被整個產(chǎn)業(yè)鏈瓜分。此類黑產(chǎn)核心的扣費SDK開發(fā)團隊大概有20家左右，主要分布在北京、深圳、杭州等地。

據(jù)騰訊安全反詐騙實驗室觀測，暗扣話費的手機惡意軟件的影響近期又呈增長之勢。

1.2廣告流量變現(xiàn)：九大家族控制數(shù)百萬廣告流量牟取暴利

當前中國網(wǎng)民對手機應(yīng)用中廣告的態(tài)度整體較為寬容，國內(nèi)消費者為應(yīng)用付費的習(xí)慣尚待養(yǎng)成，正規(guī)的軟件開發(fā)者同樣需要通過廣告流量來獲利收益。然而，某些內(nèi)置于各類應(yīng)用中的惡意廣告聯(lián)盟，主要通過惡意推送廣告進行流量變現(xiàn)的形式來牟利，平均每天新增廣告病毒變種257個，影響大約676萬的巨大用戶群。這些惡意廣告聯(lián)盟推送的廣告，內(nèi)容更加無底線，在某些時候突然推送出色情擦邊球應(yīng)用、博彩甚至手機病毒也不足為奇。

騰訊安全反詐騙實驗室的監(jiān)測數(shù)據(jù)表明，越是經(jīng)濟發(fā)達的地區(qū)，惡意廣告流量變現(xiàn)的情況也越發(fā)嚴重。珠三角、長三角、京津冀遭受惡意廣告流量的影響遠大于全國其他區(qū)域。

1.3手機應(yīng)用分發(fā)黑產(chǎn)：沉默但不簡單的地下軟件分發(fā)渠道

在應(yīng)用市場競爭日益激烈的情況下，軟件推廣的成本也在升高。一些初創(chuàng)公司較難在軟件推廣上投入大量成本，部分廠商便找到了相對便宜的軟件推廣渠道：通過手機應(yīng)用分發(fā)黑產(chǎn)，采用類似病毒的手法在用戶手機上安裝軟件。據(jù)騰訊安全反詐騙實驗室監(jiān)測數(shù)據(jù)顯示，軟件惡意推廣地下暗流整體規(guī)模在千萬級上下，主要影響中低端手機用戶。例如部分用戶使用的手機系統(tǒng)并非官方版本，經(jīng)常會發(fā)現(xiàn)手機里莫名其妙冒出來一些應(yīng)用，這就是地下軟件黑產(chǎn)的杰作。

通過手機惡意軟件后臺下載推廣應(yīng)用，是手機黑產(chǎn)的重要變現(xiàn)途徑。騰訊安全反詐騙實驗室的研究數(shù)據(jù)表明，手機惡意推廣的病毒變種每天新增超過2200個，每天受影響的網(wǎng)民超過1000萬。

1.4 App刷量產(chǎn)業(yè)鏈：作弊手段騙取開發(fā)者推廣費

為了將自己開發(fā)的手機應(yīng)用安裝在用戶手機上，軟件開發(fā)者會尋找推廣渠道并為此付費。一部分掌握網(wǎng)絡(luò)流量的人，又動起歪腦筋：利用種種作弊手段去虛報推廣業(yè)績，欺騙軟件開發(fā)者。根據(jù)騰訊安全反詐騙實驗室對App刷量產(chǎn)業(yè)鏈的研究，該產(chǎn)業(yè)鏈主要有三個階段：

第一階段：機刷時代(模擬刷、群控)

前期通過模擬器模擬出大量手機設(shè)備偽裝真實用戶，隨著對抗后期則主要通過購買部分真實手機設(shè)備通過群控系統(tǒng)來實現(xiàn)。模擬器易被檢測，群控規(guī)模有限，加上開發(fā)商對抗技術(shù)的升級，該模式逐漸沒落，刷量產(chǎn)業(yè)和開發(fā)者也處于長器的博弈之中。

第二階段：眾籌肉刷

常常以手機做任務(wù)就可以輕松賺錢為噱頭吸引用戶入駐平臺，用戶可以通過APP提供的各種任務(wù)來獲取報酬，比如安裝某個應(yīng)用玩十分鐘可以獲取一塊錢。然而這些平臺由于失信太多，騙用戶做任務(wù)又不愿意付費，導(dǎo)致愿意參與此類游戲的網(wǎng)友數(shù)量越來越少，模式已逐漸消亡。

第三階段：木馬技術(shù)自動刷量

人工刷量需要大量的真實用戶帳號，或者較多的設(shè)備，還得人肉操作，導(dǎo)致效率較低。2018年有一批聰明的開發(fā)商已經(jīng)開始布局木馬自動刷量平臺。木馬SDK通過合作的方式植入到一些用戶剛需應(yīng)用中進行傳播，然后通過云端控制系統(tǒng)下發(fā)任務(wù)到用戶設(shè)備中自動執(zhí)行刷量操作。

2.三大新興攻擊手段

2.1黑產(chǎn)利用加固技術(shù)進程在加速

加固技術(shù)開發(fā)的本來目的是用于保護應(yīng)用核心源代碼不被竊取，隨著病毒對抗的不斷提升，越來越多的病毒應(yīng)用開始采用加固來保護自己的惡意代碼不被安全軟件發(fā)現(xiàn)。

目前國內(nèi)外有很多成熟的加固方案解決廠商，這些廠商存在很多先進的加固技術(shù)和較完善的兼容性解決方案，但是這些方案解決商的這些優(yōu)點正成為黑產(chǎn)很好的保護傘。根據(jù)騰訊安全反詐騙實驗室的數(shù)據(jù)顯示，進入2018年以后利用這些知名加固解決方案的病毒應(yīng)用正在快速增加。

從病毒家族的維度看，社工欺詐類、惡意廣告類、色情類、勒索類等對抗更激烈的病毒家族更喜歡使用加固技術(shù)來保護自己。

2.2黑產(chǎn)超級武器云加載進入3.0時代

隨著惡意應(yīng)用開發(fā)商與安全廠商的攻防日趨激烈和深入，惡意軟件的開發(fā)者傾向于使用將惡意代碼隱藏在云服務(wù)器并采用云端控制的方式下發(fā)惡意功能，最終通過本地框架進行動態(tài)加載來達到最佳隱藏惡意行為的效果，云加載技術(shù)是目前對抗傳統(tǒng)安全軟件最好的對抗手段。

根據(jù)騰訊安全反詐騙實驗室大數(shù)據(jù)顯示，目前使用動態(tài)加載技術(shù)的應(yīng)用中，接近一半都是病毒。云加載技術(shù)正在成為病毒開發(fā)者最喜歡的攻擊手段，色情、惡意應(yīng)用分發(fā)、游戲暗扣等最賺錢的病毒家族，普遍標配云加載攻擊技術(shù)來實現(xiàn)利益最大化。

該技術(shù)在病毒黑產(chǎn)中的作惡特點是：剝離惡意代碼封裝成payload，客戶端上傳特定的信息流交由云服務(wù)器控制是否下發(fā)執(zhí)行payload功能，下發(fā)的代碼最終在內(nèi)存中加載執(zhí)行，惡意代碼可及時清理并保證惡意文件不落地，防止傳統(tǒng)安全客戶端感知。騰訊安全專家把這種利用技術(shù)成為“云加載”技術(shù)。

近年來，隨著開發(fā)人員對Android系統(tǒng)架構(gòu)和動態(tài)加載技術(shù)的理解的深入，各種代碼熱更新方案和插件化框架被發(fā)明并且免費開源，為病毒技術(shù)開發(fā)者實施云控作惡提供了技術(shù)基礎(chǔ)，云控技術(shù)已經(jīng)成為絕大多數(shù)高危木馬的標配，騰訊安全反詐騙實驗室近期也發(fā)現(xiàn)了若干使用云控技術(shù)的病毒家族。

云加載技術(shù)目前已經(jīng)更新到3.0版本，該版本框架病毒開發(fā)者不僅可以通過地域、運營商、機型、設(shè)備等維度限制感染用戶群，還能利用VA等虛擬加載技術(shù)徹底剝離惡意代碼，通過一個白框架來按需加載擴展各種惡意功能，普通安全廠商很難再捕獲到病毒的惡意行為。

2.3黑產(chǎn)滲透更多的供應(yīng)鏈，供應(yīng)鏈安全風(fēng)險加劇

回顧整個Android應(yīng)用供應(yīng)鏈相關(guān)的重大安全事件可以發(fā)現(xiàn)，針對供應(yīng)鏈攻擊的安全事件在用戶影響、危害程度上絕不低于傳統(tǒng)的惡意應(yīng)用和針對操作系統(tǒng)的0day漏洞攻擊，騰訊安全專家研究發(fā)現(xiàn)針對Android應(yīng)用供應(yīng)鏈的攻擊的呈現(xiàn)以下趨勢：

1）針對供應(yīng)鏈下游（分發(fā)環(huán)節(jié)）攻擊的安全事件占據(jù)了供應(yīng)鏈攻擊的大頭，受影響用戶數(shù)多在百萬級別，且層出不窮。類似于XcodeGhost這類污染開發(fā)工具針對軟件供應(yīng)鏈上游（開發(fā)環(huán)境）進行攻擊的安全事件較少，但攻擊一旦成功，卻可能影響上億用戶。

2）第三方SDK安全事件和廠商預(yù)留后門也是Android供應(yīng)鏈中頻發(fā)的安全事件，這類攻擊大多采用了白簽名繞過查殺體系的機制，其行為也介于黑白之間，從影響用戶數(shù)來說遠超一般的漏洞利用類攻擊。

3）從攻擊的隱蔽性來講，基于供應(yīng)鏈各環(huán)節(jié)的攻擊較傳統(tǒng)的惡意應(yīng)用來說，隱蔽性更強，潛伏周期更久，攻擊的發(fā)現(xiàn)和清理也都比較復(fù)雜。

4）針對供應(yīng)鏈各環(huán)節(jié)被揭露出來的攻擊在近幾年都呈上升趨勢，在趨于更加復(fù)雜化的互聯(lián)網(wǎng)環(huán)境下，軟件供應(yīng)鏈所暴露給攻擊者的攻擊面越來越多，并且越來越多的攻擊者也發(fā)現(xiàn)針對供應(yīng)鏈的攻擊相對針對應(yīng)用本身或系統(tǒng)的漏洞攻擊可能更加容易，成本更低。

二、PC端黑色產(chǎn)業(yè)鏈日趨成熟，攻擊更加精準化

1.勒索病毒解密產(chǎn)業(yè)鏈，對企業(yè)及公共機構(gòu)造成嚴重威脅

2018年，大量企業(yè)、政府機關(guān)和公共服務(wù)機構(gòu)由于遭遇勒索病毒，生產(chǎn)系統(tǒng)數(shù)據(jù)被加密破壞，重要業(yè)務(wù)系統(tǒng)陷入崩潰。勒索病毒攻擊者利用各種手段嘗試入侵重要機構(gòu)網(wǎng)絡(luò)系統(tǒng)，例如通過弱口令漏洞入侵企業(yè)網(wǎng)站，再將企業(yè)Web服務(wù)器作為跳板，滲透到內(nèi)網(wǎng)，然后利用強大的局域網(wǎng)漏洞攻擊工具將勒索病毒分發(fā)到內(nèi)網(wǎng)關(guān)鍵服務(wù)器，將企業(yè)核心業(yè)務(wù)服務(wù)器、備份服務(wù)器數(shù)據(jù)加密。

病毒一旦得手，企業(yè)日常業(yè)務(wù)立刻陷于崩潰狀態(tài)，關(guān)鍵業(yè)務(wù)因此停擺。如果企業(yè)網(wǎng)管發(fā)現(xiàn)連備份系統(tǒng)也一樣被破壞了。那基本只剩下一條路：繳納贖金。眾所周知，勒索病毒的加密技術(shù)是高強度的非對稱加密，除非得到密鑰，解密在理論上都是不可能的。正因為如此，騰訊御見威脅情報中心監(jiān)測發(fā)現(xiàn)了這個不為人知的奇葩產(chǎn)業(yè)鏈：勒索病毒解密產(chǎn)業(yè)鏈。

該產(chǎn)業(yè)鏈的從業(yè)者甚至通過購買搜索引擎關(guān)鍵字廣告來拓展業(yè)務(wù)。

當受害企業(yè)尋求解決辦法時，正規(guī)的安全廠商往往會回復(fù)，“沒有備份數(shù)據(jù)就找不回來了”。而受害企業(yè)通過互聯(lián)網(wǎng)上的方法尋找到的解密服務(wù)商，這些人充當了受害企業(yè)聯(lián)系勒索病毒傳播者的中介，相對受害企業(yè)，更熟悉虛擬數(shù)字幣的交易，在一番討價還價之后，代理受害企業(yè)買回解密密鑰，從而解密數(shù)據(jù)。某些情況下，亦不能排除負責(zé)解密的中介機構(gòu)，是否和勒索病毒傳播者之間存在某些聯(lián)系。

除此之外，勒索病毒傳播鏈本身也有專業(yè)分工，有人負責(zé)制作勒索病毒生成器，交給有網(wǎng)站資源的人分發(fā)，各方參與利益分成。

2.控制肉雞挖礦產(chǎn)業(yè)鏈，游戲外掛成挖礦木馬“重災(zāi)區(qū)”

去年年底，溫州市區(qū)一家公司的網(wǎng)站被惡意攻擊，網(wǎng)警梳理線索時，發(fā)現(xiàn)犯罪嫌疑人徐某有重大嫌疑，經(jīng)過調(diào)查，警方果然發(fā)現(xiàn)一個利用漏洞安裝挖礦木馬的犯罪團伙。該團伙有12名成員，利用漏洞攻擊別人電腦，獲利控制權(quán)之后，植入挖礦木馬。專案組查明，這一團伙共租賃20余臺服務(wù)器遠程控制了5000余臺“肉雞”，非法挖礦1000余枚門羅幣等數(shù)字貨幣（價值約60余萬元）。

無獨有偶，2017年底，騰訊電腦管家通過安全大數(shù)據(jù)監(jiān)測發(fā)現(xiàn)，一款名為“tlMiner”的挖礦木馬在2017年12月20日的傳播量達到峰值，當天有近20萬臺機器受到該挖礦木馬影響。此次發(fā)現(xiàn)的“tlMiner”挖礦木馬，植入在“吃雞”游戲（steam版絕地求生）外掛“吃雞小程序”中。由于“吃雞”游戲?qū)﹄娔X性能要求較高，黑產(chǎn)團伙瞄準“吃雞”玩家、網(wǎng)吧的高配電腦，搭建挖礦集群。

騰訊電腦管家團隊立即配合守護者計劃將該案線索提供給警方，協(xié)助山東警方于2018年3月初立案打擊“tlMiner”木馬黑產(chǎn)。據(jù)分析，“tlMiner”木馬作者在“吃雞”游戲外掛、海豚加速器（修改版）、高仿盜版騰訊視頻網(wǎng)站（dy600.com）、酷藝影視網(wǎng)吧VIP等程序中植入“tlminer”挖礦木馬，通過網(wǎng)吧聯(lián)盟、QQ群、論壇、下載站和云盤等渠道傳播。

騰訊電腦管家安全團隊繼續(xù)加深對挖礦木馬黑產(chǎn)鏈條的研究，協(xié)助警方深挖，進一步分析挖掘到木馬作者上游：一個公司化運營的大型挖礦木馬黑色產(chǎn)業(yè)鏈。4月11日，警方在遼寧大連一舉查封該挖礦木馬黑產(chǎn)公司。

該公司為大連當?shù)馗咝录夹g(shù)企業(yè)，為非法牟利，搭建木馬平臺，招募發(fā)展下級代理商近3500個，通過網(wǎng)吧渠道、吃雞外掛、盜版視頻軟件傳播投放木馬，非法控制用戶電腦終端389萬臺，進行數(shù)字加密貨幣挖礦、強制廣告等非法業(yè)務(wù)，合計挖掘DGB（極特幣）、HSR（紅燒肉幣）、XMR（門羅幣）、SHR（超級現(xiàn)金幣）、BCD（比特幣鉆石）、SIA（云儲幣）等各類數(shù)字貨幣超過2000萬枚，非法獲利1500余萬元。

3.DDoS攻擊技術(shù)不斷演進，團伙作案趨勢明顯

DDoS攻擊在分工上由工具開發(fā)者向人員多維化發(fā)展，也出現(xiàn)了技術(shù)、銷售、渠道等分工，在DDoS攻擊產(chǎn)業(yè)鏈中一般稱為接發(fā)單人、擔(dān)保商、肉雞商、攻擊軟件開發(fā)人員等。隨著DDoS的新技術(shù)不斷的被挖掘出來，DDoS攻擊正在規(guī)模化、自動化、平臺化的發(fā)展。由于DDoS在技術(shù)與平臺上始終是站在互聯(lián)網(wǎng)的最前沿，往往我們看到一個峰值的出現(xiàn)，便是互聯(lián)網(wǎng)的一場災(zāi)難。

每一個攻擊類型的出現(xiàn)或每一個攻擊類型的技術(shù)的更新，都是一場攻擊者的狂歡，例如今年的Memcached反射放大攻擊，不僅僅在技術(shù)上達到了5萬倍的反射放大效果，而且在流量上更是達到了1.7Tbps的峰值效果。

1）DDoS的攻擊類型

SYN Flood做為早期的攻擊類型，占比近20%，主要原因是其攻擊效果有良好的穿透力，無論是在攻擊服務(wù)器，還是中間的基礎(chǔ)網(wǎng)絡(luò)設(shè)施上，都能在到良好的效果。

同樣UDP Flood以其數(shù)據(jù)包構(gòu)造靈活的特點仍占有大量比重。占比最大的是排名第一的反射放大攻擊（占比60%），反射放大以其攻擊成本小、構(gòu)造發(fā)包簡單、反射倍數(shù)高、在自動化平臺后端調(diào)用方便等特點，成為流量攻擊中的首選。

在流行的DDoS攻擊類型占比統(tǒng)計中，以IoT設(shè)備為反射源的SSDP反射放大已連續(xù)幾年都占比最高，今年的一支新秀Memcached反射也沒有蓋過其占比的鋒芒。

因為攻擊手法的增多，DDoS攻擊效果立竿見影，利用DDoS進行勒索、攻擊競爭對手的情況越來越普及；催生了DDoS黑色產(chǎn)業(yè)鏈越來越細化，除發(fā)單人、擔(dān)保商、黑客軟件作者外，又增加了肉雞商、接單人、資源提供者、接發(fā)單平臺幾個維度。

在巨大經(jīng)濟利益面前，DDoS攻擊黑產(chǎn)在多個環(huán)節(jié)逐漸完成自動化，使整個鏈條無需人工參與，發(fā)單人直接在DDoS平臺下單，我們稱這樣的平臺為“頁端DDoS攻擊平臺”。

“頁端DDoS攻擊平臺”包括用戶注冊、套餐付費、攻擊發(fā)起等一系列操作，且在用戶側(cè)都可以完成，不需要其他人員參與。頁端DDoS攻擊平臺在發(fā)起攻擊時，是以API形式調(diào)用發(fā)包機或支持API的C2服務(wù)器進行攻擊，延遲時間一般小于10秒；對比傳統(tǒng)DDoS 攻擊來看，已完成了全自動的無人值守攻擊方式。頁端DDoS攻擊平臺其高度集成管理，在成單率、響應(yīng)時長、攻擊效果等方面都得到了可行的解決。

在平臺化外，DDoS攻擊類型也有長足的發(fā)展。例如IoT（物聯(lián)網(wǎng)）僵尸網(wǎng)絡(luò)的典型代表mirai針對互聯(lián)網(wǎng)基礎(chǔ)架構(gòu)服務(wù)提供商Dyn DNS(如今的Oracle DYN)進行功擊。今年3月份的Memcached反射更是一劑強心針，以5萬的反射放大倍數(shù)、1.7Tbps的流量峰值再一次刷新了DDoS的認知。

2）DDoS攻擊典型案例–“暗夜”攻擊團伙案

DDoS攻擊黑產(chǎn)會嚴重影響企業(yè)線上業(yè)務(wù)開展，騰訊云鼎實驗室曾配合公安機關(guān)破獲暗夜DDoS攻擊團伙案，該團伙攻擊對某客戶的游戲業(yè)務(wù)產(chǎn)生嚴重影響，玩家訪問緩慢，登錄掉線，甚至完全沒有響應(yīng)。

騰訊云鼎實驗室根據(jù)系統(tǒng)日志判斷為大流量持續(xù)DDoS攻擊，單日攻擊流量峰會達462G，該團伙掌握的DDoS攻擊資源十分龐大。騰訊云鼎實驗室通過努力，最終在該團伙控制的其中一臺C2服務(wù)器發(fā)現(xiàn)可疑線索，通過流量、日志、關(guān)聯(lián)等多維度的數(shù)據(jù)分析，最終定位到證據(jù)所在，公安機關(guān)根據(jù)這些信息在境外將暗夜DDoS黑產(chǎn)團伙一網(wǎng)打盡。

三、互聯(lián)網(wǎng)黑產(chǎn)對抗的技術(shù)趨勢與實踐

1.人工智能成移動端黑產(chǎn)對抗技術(shù)突破口

移動黑產(chǎn)以趨利為目的，為了保護自己的利益，黑產(chǎn)從業(yè)人員會想盡一切辦法來隱藏自己，與安全廠商之間的對抗也愈發(fā)激烈。根據(jù)多年積累的對抗經(jīng)驗，騰訊安全團隊認為移動黑產(chǎn)對抗技術(shù)發(fā)展主要有以下幾個方向：

1）立體式安全檢測體系

從應(yīng)用傳播、應(yīng)用安裝、應(yīng)用運行、應(yīng)用變現(xiàn)等維度，將各種安全檢測手段融入到應(yīng)用的不同生命周期。如接入URL安裝檢測引擎可以在下載階段即可阻斷惡意行為繼續(xù)，又如行為檢測引擎可以在病毒執(zhí)行敏感操作時候及時阻止避免進一步破壞操作。

2）用戶端側(cè)的主動防御

安全廠商使用的傳統(tǒng)靜態(tài)引擎由于缺乏真實的行為數(shù)據(jù)，黑產(chǎn)團伙很容易就可以突破其防線。不管黑產(chǎn)采用多少種先進的對抗手段，其最終的目的還是通過執(zhí)行惡意行為來實現(xiàn)牟利的目的，手機廠商通過系統(tǒng)層原生集成應(yīng)用敏感行為檢測點，真實的捕獲到惡意行為。數(shù)據(jù)脫敏以后可以輔助深度學(xué)習(xí)等方法實現(xiàn)更快，更準確的檢測效果。

3）引入人工智能算法，智能識別未知樣本

傳統(tǒng)殺毒引擎從病毒的發(fā)現(xiàn)到檢出會存在一段時間的空窗期(比如樣本的收集)。安全研究人員可以將豐富的人工經(jīng)驗，通過深度學(xué)習(xí)技術(shù)，泛化成通用的病毒檢測模型，提升未知病毒的檢出能力。

騰訊安全團隊基于第三種思路研發(fā)的騰訊TRP-AI反病毒引擎已經(jīng)在騰訊手機管家云引擎中得到應(yīng)用，并且該技術(shù)通過深入集成的方式在魅族Flyme7系統(tǒng)中率先全面應(yīng)用。集成TRP反病毒引擎的系統(tǒng)新病毒發(fā)現(xiàn)能力提升8.3%，新檢出病毒中使用云加載技術(shù)的占比60.1%，使用加固加殼技術(shù)的占比12.%，并且病毒平均潛伏期為35min。

2.化被動為主動的PC端黑產(chǎn)對抗技術(shù)

伴隨互聯(lián)網(wǎng)產(chǎn)業(yè)的加速發(fā)展，PC端黑產(chǎn)技術(shù)也在不斷進化。為了最大限度獲利，黑產(chǎn)會盡可能在用戶電腦駐留存活更長時間。同時，2018年區(qū)塊鏈的火爆令加密山寨幣迅速成為黑色產(chǎn)業(yè)地下流通的硬通貨，通過挖礦獲取山寨虛擬加密幣，使得黑產(chǎn)變現(xiàn)鏈條更加直接。為了更好地狙擊PC端黑產(chǎn)，安全廠商的對抗技術(shù)主要包括以下方面：

1）更快速的安全漏洞響應(yīng)機制

安全漏洞始終是網(wǎng)絡(luò)攻擊的絕佳通道，0day漏洞往往被應(yīng)用在高價值目標的精準攻擊上。2018年“永恒之藍”漏洞攻擊包被經(jīng)常提起，這個武器級的漏洞攻擊包在被黑客完全公開后，一度被黑產(chǎn)廣泛使用，成為入侵企業(yè)網(wǎng)絡(luò)、傳播勒索病毒，植入挖礦木馬的利器。

網(wǎng)絡(luò)黑產(chǎn)可以在極短的時間內(nèi)將Windows已經(jīng)發(fā)布補丁的高危漏洞迅速利用起來，然而，目前仍有大部分的網(wǎng)民因為使用盜版系統(tǒng)等種種原因，補丁安裝率普遍不高。這種現(xiàn)狀使得漏洞攻擊工具在補丁發(fā)布之后很長時間，都大有用武之地。殺毒軟件更新補丁修復(fù)功能，對于幫助這類用戶排除干擾，修補系統(tǒng)漏洞起到了關(guān)鍵作用。

對于一些突然爆發(fā)的0day漏洞，也需要安全軟件進行提前防御。2018年，Office公式編輯器漏洞和Flash 0day漏洞是黑產(chǎn)利用最廣泛的攻擊武器，利用此類漏洞進行攻擊，用戶打開一個Office文檔或瀏覽一個網(wǎng)頁也可能立即中毒。騰訊電腦管家針對攻擊者的這一特性集成“女媧石”防御技術(shù)，可以讓電腦在即使遭遇部分0day攻擊時，也能夠?qū)崿F(xiàn)有效攔截。補丁修復(fù)方案的升級，讓騰訊電腦管家用戶電腦的漏洞修復(fù)率大幅上升，黑產(chǎn)作案的技術(shù)成本也明顯提升。

2）對抗勒索病毒破壞的數(shù)據(jù)備份機制

2017年，以WannaCry為首的勒索病毒采取相對盲目的廣撒網(wǎng)式破壞，卻并未因勒索病毒的廣泛傳播而取得足夠的經(jīng)濟回報：絕大多數(shù)的普通用戶在遭遇勒索病毒攻擊之后，放棄了繳納贖金解鎖數(shù)據(jù)，而是選擇重裝系統(tǒng)。對于網(wǎng)絡(luò)黑產(chǎn)來說，這類廣撒網(wǎng)式攻擊損人不利己，攻擊者開始轉(zhuǎn)向針對高價值目標的精確打擊。通過系統(tǒng)漏洞、社會工程學(xué)欺騙、精心設(shè)計的釣魚郵件來誘使目標用戶運行危險程序。

然而，勒索病毒的感染量下降了，勒索病毒造成的損失卻依然嚴重：許多重要信息系統(tǒng)被勒索病毒破壞，受害者被迫支付贖金。面對勒索病毒越來越精準的打擊，高價值用戶需要更加完善的數(shù)據(jù)保護方案，騰訊電腦管家迅速升級“文檔守護者”功能，通過充分利用用戶電腦冗余的磁盤空間自動備份數(shù)據(jù)文檔，既使電腦不幸染毒，數(shù)據(jù)文檔被加密，也能通過文檔守護者來恢復(fù)文檔，盡最大可能減小損失。

3）能夠揭示黑產(chǎn)全貌的威脅情報系統(tǒng)

為逃避殺毒軟件的查殺，病毒木馬的行為變得更加隱蔽，病毒樣本的更新、木馬控制服務(wù)器的變化的速度都比以往更快，部分攻擊者甚至?xí)拗茞阂獬绦驍U散的范圍，黑產(chǎn)的攻擊正在變得愈發(fā)難以捕捉和缺少規(guī)律性。

騰訊御見威脅情報系統(tǒng)基于安全大數(shù)據(jù)分析的處理系統(tǒng)，通過分析成千上萬個惡意軟件的行為并創(chuàng)建一系列的規(guī)則庫，再利用這些規(guī)則去匹配每個新發(fā)現(xiàn)的網(wǎng)絡(luò)威脅，像完成一幅拼圖一樣，將一個個分散的病毒木馬行為完整拼接，從中發(fā)現(xiàn)木馬病毒的活動規(guī)律，追溯病毒木馬傳播的源頭。2018年，騰訊御見威脅情報系統(tǒng)已成功協(xié)助警方破獲多起網(wǎng)絡(luò)黑產(chǎn)大案，成為打擊黑產(chǎn)的有力武器。

四、2018年下半年的安全趨勢分析

1.MAPT攻擊威脅持續(xù)上升，移動設(shè)備或成重大安全隱患

2018年隨著互聯(lián)網(wǎng)+進程的不斷推進，通過智能設(shè)備我們可以享受到非常便捷的移動互聯(lián)網(wǎng)服務(wù)，如移動醫(yī)療服務(wù)，社保服務(wù)，電子身份證，電子駕照等政府貼心的民生服務(wù)。同時也有大量的企業(yè)和政府部門開始習(xí)慣通過智能終端來管理內(nèi)部工作，這些基于智能手機的服務(wù)方便大眾的同時，也暴露出巨大的安全隱患：移動互聯(lián)網(wǎng)時代的智能手機承載著全面而巨量的個人和組織的隱私數(shù)據(jù)，一旦個人智能手機被操控，黑客團伙通過這個設(shè)備獲取到各種敏感數(shù)據(jù)，從而導(dǎo)致不可估量的損失。

雖然目前主流關(guān)于APT的討論仍集中于PC電腦，但是趨勢表明APT攻擊組織正在往網(wǎng)絡(luò)軍火庫中添加MAPT(Mobile Advanced Persistent Threat)武器以獲得精準而全面的信息。比如APT-C-27組織從2015年開始更新維護基于安卓的RAT工具，利用這些工具來收集用戶手機上的文檔、圖片、短信、GPS位置等情報信息。Skygofree會監(jiān)控上傳錄制的amr音頻數(shù)據(jù)，并嘗試root用戶設(shè)備以獲取用戶whatsapp.facebook等社交軟件的數(shù)據(jù)。Pallas則全球部署試圖攻擊包括政府、軍隊、公用事業(yè)、金融機構(gòu)、制造公司和國防承包商的各類目標。

全平臺覆蓋加上國家級黑客團隊攻擊技術(shù)的加持，無邊界智能辦公時代被忽視的移動智能設(shè)備正在成為重大安全隱患，MAPT正在威脅企業(yè)，重點機構(gòu)乃至政府部門。它們需要擁有移動/PC一體化反APT安全解決方案。

2.惡意應(yīng)用的檢測和反檢測對抗將愈發(fā)激烈，安全攻防進入焦灼局勢

黑產(chǎn)團伙對抗技術(shù)日趨完善，安全攻防進入焦灼局勢，并且傳統(tǒng)安全監(jiān)測方案正在逐漸處于劣勢的一方。一方面在巨大利益的驅(qū)使下企業(yè)化運作的黑產(chǎn)團伙有更多的財力開發(fā)基于云加載技術(shù)的惡意應(yīng)用(惡意代碼變得很難捕獲)，并且有充沛的人力進行免殺對抗(傳統(tǒng)引擎基于特征檢測，很容易被免殺繞過)。另一方面一些供應(yīng)鏈的廠商也在知情或不知情的情況下成為黑產(chǎn)團伙的保護傘，在自己的框架中引入包含惡意功能的SDK，導(dǎo)致有大量的惡意應(yīng)用潛伏一年甚至數(shù)年才被新技術(shù)手段發(fā)現(xiàn)。

3.黑產(chǎn)團伙拓寬安卓挖礦平臺市場，移動挖礦應(yīng)用或迎來爆發(fā)

相比電腦平臺，移動智能設(shè)備普及率高，使用頻率極高，但是移動設(shè)備受限于電池容量和處理器能力，而且挖礦容易導(dǎo)致設(shè)備卡頓、發(fā)熱、電池壽命下降，甚至出現(xiàn)手機電池爆漿等物理損壞，移動平臺似乎并不是一個可用于可持續(xù)挖礦的平臺。

隨著移動設(shè)備性能不斷提升，2018年黑產(chǎn)團伙還在嘗試利用手機平臺生產(chǎn)電子貨幣。比如HiddenMiner潛伏于三方應(yīng)用市場誘導(dǎo)用戶下載，然后控制用戶手機設(shè)備竊取Monero，又如ADB.Miner通過端口掃描的方式發(fā)現(xiàn)基于安卓的TV設(shè)備進行挖礦，還發(fā)現(xiàn)過多起Google play官方應(yīng)用市場應(yīng)用包含挖礦惡意代碼的事件，這些事件的不斷發(fā)生預(yù)示這黑產(chǎn)團伙正在拓寬安卓挖礦平臺市場。

4.勒索病毒攻擊更加趨向于精準化的定向打擊

御見威脅情報中心監(jiān)測發(fā)現(xiàn)，勒索病毒正在拋棄過去無差別的廣撒網(wǎng)式盲目攻擊，而是轉(zhuǎn)向高價值的攻擊目標進行精確打擊。攻擊者利用系統(tǒng)漏洞或精心構(gòu)造的釣魚郵件入侵企業(yè)網(wǎng)絡(luò)，滲透到企業(yè)內(nèi)網(wǎng)之后，選擇最有可能敲詐成功的高價值數(shù)據(jù)來加密勒索

2018年上半年較多的教育機構(gòu)、醫(yī)療機構(gòu)、進出口貿(mào)易企業(yè)、制造業(yè)等高價值目標的計算機系統(tǒng)被勒索病毒攻擊，這一趨勢正變得日益明顯。同時，這意味著高價值目標需要加強安全防護，特別重要的是做好系統(tǒng)漏洞修補和關(guān)鍵業(yè)務(wù)數(shù)據(jù)的備份。5.挖礦病毒比重明顯增大，手段更加隱蔽

挖礦病毒正在成為最常見的病毒類型，因為區(qū)塊鏈相關(guān)產(chǎn)業(yè)的火爆，各種流行的虛擬加密貨幣可以在交易所直接獲利。除非區(qū)塊鏈相關(guān)的空氣幣泡沫破滅，否則挖礦病毒都將是最直接的黑產(chǎn)贏利模式，遠超前幾年流行的盜號木馬。

比特幣挖礦需要高性能的礦機運行，成本高昂，對控制肉雞挖礦來說，性價比太低。挖礦病毒大多利用受害電腦的CPU資源挖山寨幣，而且為了避免被受害者發(fā)現(xiàn)，很多挖礦病毒對系統(tǒng)資源的消耗控制更嚴。

監(jiān)測發(fā)現(xiàn)，大量挖礦病毒會限制CPU資源消耗的上限，當用戶在運行高資源消耗的程序時，暫時退出挖礦；在用戶系統(tǒng)閑置時全速挖礦等等。挖礦病毒也基本限于三種形式：普通客戶端木馬挖礦、網(wǎng)頁挖礦（入侵網(wǎng)站，植入挖礦代碼，打開網(wǎng)頁就挖礦），入侵控制企業(yè)服務(wù)器挖礦。

6.高級可持續(xù)性APT攻擊威脅距離普通人越來越近

高級可持續(xù)性威脅（簡稱APT），是利用先進的攻擊手段對特定目標進行長期持續(xù)性網(wǎng)絡(luò)攻擊的攻擊形式。安全廠商近期披露的跨國APT組織，利用高價值安全漏洞，構(gòu)造精準欺詐郵件，利用所有可能的方式入侵目標網(wǎng)絡(luò)，竊取情報，破壞目標系統(tǒng)。

除了以上高價值目標，騰訊御見威脅情報中心發(fā)現(xiàn)，部分商業(yè)化的黑客組織，可能正在使用APT攻擊的方式針對普通企業(yè)，目標是獲得商業(yè)情報，出售給特定買家。使得比較接近高價值目標的商業(yè)機構(gòu)，也成為下一個APT攻擊的領(lǐng)域。而普通企業(yè)的網(wǎng)絡(luò)安全防護體系，遠弱于國家、政府、大型企業(yè)網(wǎng)絡(luò)，更容易成為APT攻擊的受害者。

7.刷量刷單類灰色產(chǎn)業(yè)依然嚴重

互聯(lián)網(wǎng)創(chuàng)新企業(yè)容易遭遇羊毛黨的攻擊，國家實行實名制對網(wǎng)絡(luò)服務(wù)帳號嚴格管理，但隨著物聯(lián)網(wǎng)的興起，大量未實行實名制的物聯(lián)網(wǎng)卡流入市場。羊毛黨大量買入物聯(lián)網(wǎng)卡，注冊大量帳號待價而沽。這些虛假帳號在刷單刷量的薅羊毛產(chǎn)業(yè)中普通使用，打造虛假繁榮，給相關(guān)企業(yè)造成嚴重損失。

（來源：199IT 文/騰訊安全 編選：電子商務(wù)研究中心）