《2014年中國互聯(lián)網(wǎng)暗黑世界研究報告》（全文）

《2014年中國互聯(lián)網(wǎng)暗黑世界研究報告》（全文）

一、概述：剛剛過去的2014年，360QVM引擎在全年對近5億臺PC進行安全防護過程中發(fā)現(xiàn)，由于漏洞攻防在2014年逐漸抬頭，各大網(wǎng)站接連發(fā)生數(shù)據(jù)泄露事件、手機ROOT越來越流行、APT攻擊越演越烈，惡意軟件作者對抗意識提高。木馬病毒免殺化、灰色化趨勢明顯，使得流氓推廣、免殺木馬明顯增加。通過對查殺和攔截樣本進行分析發(fā)現(xiàn)，QQ和阿里旺旺文件傳輸功能已成為目前惡意程序最常見的傳播方式，通過QQ傳輸?shù)目蓤?zhí)行程序中超過14%為病毒木馬；外掛類程序帶病毒率超過16%，部分外掛程序帶毒率超過了85%；“敲竹杠木馬”成為2014年爆發(fā)的新的惡意程序類型。QQ盜號、流氓和誘導(dǎo)推廣、外掛和色情網(wǎng)站四大互聯(lián)網(wǎng)暗黑方式已經(jīng)成為侵害PC用戶最主要的手段。在此我們對四種主要互聯(lián)網(wǎng)暗黑方式侵害用戶行為進行了深入分析，以幫助用戶充分了解這些灰色牟利方式的危害，從而提高安全防范意識，養(yǎng)成好的上網(wǎng)和使用電腦習(xí)慣。二、四大暗黑方式分析盜號、流氓和誘導(dǎo)推廣、外掛和黃色網(wǎng)站通過誘導(dǎo)、詐騙或者直接偷盜方式侵占用戶的錢財、虛擬貨幣或者個人隱私數(shù)據(jù)牟利，其中流氓和誘導(dǎo)推廣較前一年增加了8%，成為互聯(lián)網(wǎng)灰色產(chǎn)業(yè)鏈中規(guī)模最大的牟利方式；有意思的是，超過10%的用戶在訪問色情網(wǎng)站時會忽略安全軟件提示和攔截，導(dǎo)致最終受侵害。１、QQ和阿里旺旺等傳輸與盜號安全：QQ/旺旺傳輸惡意程序占比分別超過14%和10%：其中通過QQ傳輸?shù)膼阂獬绦蚨酁镼Q盜號程序，而通過旺旺傳輸?shù)亩酁榫W(wǎng)購類木馬。１）盜號的安全威脅：由于QQ、阿里旺旺等都采用了一站式服務(wù)模式，以QQ為例，使用單一的QQ賬號登錄，用戶可以方便的使用工具類、社交類、休閑娛樂類、網(wǎng)購類等騰訊旗下數(shù)十種服務(wù)。一旦QQ被盜號，將會導(dǎo)致QQ賬號淪陷，帶來眾多的連鎖反應(yīng)。2014年針對QQ的盜號攻擊明顯上升。從360QVM引擎每日處理的新增惡意程序來看，QQ盜號木馬已經(jīng)成為當(dāng)前每日新增最多的免殺對抗惡意程序類型。２）盜號程序類型分布：經(jīng)過分析，超過78%的QQ盜號程序為偽裝型QQ粘蟲。也有部分以刷鉆、刷會員為名，誘騙用戶輸入賬號密碼。大多數(shù)QQ粘蟲會偽裝成PDF、Word文檔、Excel表格或圖片文件的圖標，多以“訂單詳情”、“退款單”、“XX通知”、“聚會相片”、“XX資料”等命名。用戶在遇到此種類型文件時，注意留心擴展名是否為“.exe”或”.scr”，如果是的話，則千萬不可運行。３）盜號方式社工化：QQ盜號方式從最早的加密解密、內(nèi)存注入等技術(shù)手段逐漸向偽造QQ窗口等社工方式轉(zhuǎn)變，使得殺軟更加難以從行為上攔截。2014年使用最多的QQ盜號方式為偽造QQ登錄窗口、偽造QQ掉線，誘使用戶重新輸入密碼。當(dāng)出現(xiàn)異常的QQ登陸框或者掉線提示框時，一定要注意分辨真?zhèn)?。２、流氓推廣和誘導(dǎo)推廣：流氓推廣和誘導(dǎo)推廣并無本質(zhì)區(qū)別，只是在推廣形式上略有不同。流氓推廣采用靜默安裝方式，在用戶無感知且無選擇機會的情況下強行安裝其他軟件；誘導(dǎo)推廣則以某種隱晦方式供用戶選擇，并使用多種掩飾或誘導(dǎo)手段迷惑用戶。１）流氓推廣類型及軟件分布：從我們對2014全年的流氓推廣分析情況來看，目前最多見的流氓推廣類型為播放器推廣，占比超過50%。而在被推廣的軟件中，超過一半的流氓推廣程序會靜默安裝百度殺毒和百度衛(wèi)士，其次愛奇藝也有接近40%的推廣概率。2）誘導(dǎo)推廣類型、收益、軟件分布：誘導(dǎo)推廣來源多為在線電影網(wǎng)站和下載站。分別對應(yīng)各種類型的誘導(dǎo)推廣電影播放器和下載站打包捆綁的軟件下載器。在線電影網(wǎng)站一般會構(gòu)造一個假的電影下載鏈接，實為需要推廣的軟件下載地址。如果用戶分辨力較強，找到了真的鏈接的時候，又會引導(dǎo)用戶去下載在線播放器才能觀看，安裝播放器的過程中也會以誘導(dǎo)的方式誘使用戶安裝推廣軟件。下載站也會構(gòu)造真真假假的下載按鈕，假按鈕指向推廣軟件，即便費盡周折找到了真的下載按鈕，下載下來的也是下載站自己制造的一個下載器。運行之后會在安裝所需軟件的同時，使用誘導(dǎo)的方式誘使用戶安裝推廣軟件。以該網(wǎng)站裝機必備TOP10為例，這10款軟件總下載量超過4000萬。并且每一款都被該下載站的專用下載器捆綁了數(shù)個推廣軟件。假設(shè)只有十分之一的用戶被誘導(dǎo)安裝，該下載站從這十款軟件上就可攫取數(shù)百萬乃至千萬元暴利。我們分析和整理了百余款誘導(dǎo)推廣程序，不計其它導(dǎo)航、游戲與購物鏈接等廣告地址，平均每個誘導(dǎo)推廣程序推廣四個以上軟件。3）推廣行為受侵害地域分布：通過統(tǒng)計受侵害用戶所在地，得知此類推廣行為以廣東省最為泛濫，其次為北京、山東、江蘇、上海、浙江等地區(qū)。３、外掛類型及侵害類型分布：我們從互聯(lián)網(wǎng)上多個熱門外掛網(wǎng)站提取了9612個外掛，其中包括QQ系列外掛（不含LOL/DNF）2436個，魔域外掛160個，英雄聯(lián)盟/DNF外掛共280個，跑跑卡丁車外掛168個，CS外掛264個，勁舞/炫舞外掛432個，西游系列游戲228個，三國系列游戲334個。其中騰訊旗下網(wǎng)游因用戶龐大，導(dǎo)致外掛也極為泛濫。１）外掛帶毒比例接近17%：經(jīng)360QVM工程師鑒定，其中1601個外掛包含了惡意程序或病毒木馬，帶毒率接近17%。我們以某一特定類型外掛帶毒的數(shù)量除以此類型外掛總數(shù)，得到該類型外掛帶毒率。通過分析統(tǒng)計得知，三國系列游戲帶毒率約為30%，英雄聯(lián)盟/DNF外掛帶毒率約為30%，QQ游戲系列的外掛的帶毒率約為32%，跑跑卡丁車外掛帶毒率約為50%，勁舞/炫舞外掛帶毒率約為70%，反恐精英外掛帶毒率約為85%。如此高的帶毒比例意味著用戶在使用外掛時，存在巨大的風(fēng)險，遠超使用其他類型程序后受侵害概率。2）外掛程序帶毒類型分布：我們詳細分析了帶毒外掛的具體行為，發(fā)現(xiàn)38%為木馬程序。換言之，接近4成的帶毒外掛根本不具備外掛功能，是個單純的木馬程序。3）外掛編譯語言概況：通過統(tǒng)計這些外掛程序編譯語言得知，VC作為主流的編譯語言，用戶基數(shù)最多。其次易語言因編程門檻低，逐漸成為外掛作者最為親睞的編譯語言。另外VC統(tǒng)計數(shù)據(jù)中包含了部分自動化工具如按鍵精靈等。4、色情網(wǎng)站收益及危害：色情網(wǎng)站以誘導(dǎo)用戶點擊博彩廣告分成、裸聊視頻室分成、情趣用品分成、網(wǎng)盤利潤分成構(gòu)成等方式形成了龐大的灰色利益鏈，通過色誘、詐騙等方式直接侵害用戶錢財和信息安全，更為惡劣的是通過誘導(dǎo)用戶下載播放器，用木馬方式控制用戶電腦。1）1個色情網(wǎng)站年收益過億：以某國外網(wǎng)站為例，網(wǎng)站中充斥著大量博彩廣告、裸聊視頻室、情趣用品廣告，該網(wǎng)站可以從這些廣告中分成，另外每日新帖中會加入眾多展示廣告及彈出廣告，最終的下載頁面會跳轉(zhuǎn)至某網(wǎng)盤地址，此類網(wǎng)盤會按下載量給資源發(fā)布者利潤分成。根據(jù)Alexa統(tǒng)計，該網(wǎng)站主域名日均訪問量為770萬，IP訪問約43萬。反查得知網(wǎng)站服務(wù)器下還有數(shù)十個綁定域名，真實訪問量可能是此數(shù)值數(shù)倍乃至數(shù)十倍。日均更新片源386部，通過我們分析發(fā)現(xiàn)，平均每部片下載次數(shù)都在2萬次以上。以1000次下載分成10元計，該網(wǎng)站每日通過網(wǎng)盤下載獲得的收入在8萬元左右，年均收入接近3000萬。加之大量的賭博、裸聊、谷歌廣告等，年均總收入將以億計。2）網(wǎng)聊燒錢無底洞，付費比例高達26.3%：用戶通過論壇、貼吧、問答等途徑提出某些問題，答案中會有眾多誘導(dǎo)推廣鏈接。如不慎點擊，則會被引導(dǎo)到偽造的色情網(wǎng)站，下載聊天軟件，最終導(dǎo)致利益受到侵害。以該聊天軟件為例，大多數(shù)功能需要注冊VIP才可使用，通過分析我們得知，使用該聊天軟件的用戶付費率竟然達到了驚人的26.3%。以當(dāng)前在線的45個房間為例，每個房間平均100人，付費額度為600起，僅計算當(dāng)前在線會員付費的金額已經(jīng)超過70萬元。此類聊天軟件騙案頻發(fā)，危害極大。3）偽裝播放器木馬信任比例超10%：隨著快播因傳播非法視頻被查封，今年下半年起出現(xiàn)了眾多的山寨在線電影網(wǎng)站，以“新快播”的名義渾水摸魚。大打擦邊球的同時，侵害用戶電腦安全。以某在線色情網(wǎng)站為例，無論用戶選擇什么方式都無法播放視頻，最后都是以受害告終。通過統(tǒng)計得知，大部分用戶選擇下載播放器，該播放器實則是一個遠控木馬。在運行的時候會被360QVM直接攔截。從我們的監(jiān)控情況來看，僅僅2014年12月就有13萬用戶電腦上運行了該木馬程序。然而更為驚人的是，超過10%的用戶在安全軟件提示病毒之后，選擇了信任放行，隨之電腦淪陷。部分用戶在選擇不安裝播放器之后，將會被靜默安裝一系列推廣軟件，同樣導(dǎo)致電腦被侵害。三、安全建議面對日益隱蔽和更具有活性的侵害方式，用戶需要增強安全防范意識并養(yǎng)成好的使用電腦和互聯(lián)網(wǎng)的習(xí)慣：1、安裝使用360安全衛(wèi)士等安全軟件，開啟相應(yīng)的防護功能并