黑灰產(chǎn)業(yè)研究報告

錄s前言 3一、2022年黑灰產(chǎn)發(fā)展現(xiàn)狀 5二、2022年黑灰產(chǎn)攻擊資源分析 12三、2022年黑灰產(chǎn)攻擊技術(shù)分析 26四、2022年黑灰產(chǎn)攻擊場景分析 35五、風(fēng)險對抗思路 50前言業(yè)超200平年齡23市規(guī)高達1100億”是自國聯(lián)協(xié)關(guān)“灰市規(guī)”一統(tǒng)數(shù)。巨利的動灰從者狂走監(jiān)邊地帶產(chǎn)類擊源度場塊業(yè)不層的伙工確配嚴(yán)絡(luò)灰業(yè)在各對中斷級少業(yè)迫入灰的渦。己彼能破防局動效理灰業(yè)一是脅人點究內(nèi)，脅人布2022黑產(chǎn)研報》以簡《告）客呈現(xiàn)2黑產(chǎn)展勢深分黑產(chǎn)擊源技、景提針風(fēng)防思。狀一、2022年黑灰產(chǎn)發(fā)展現(xiàn)狀報計據(jù)示2國的灰業(yè)然常達要現(xiàn)為模龐、業(yè)結(jié)更晰攻更效覆場更泛。2大22脅人報臺測到8余灰相情報產(chǎn)模舊分大22黑產(chǎn)業(yè)整結(jié)可照需系為源務(wù)現(xiàn)個級以來分產(chǎn)鏈上下：源：為游把黑產(chǎn)惡底基資；務(wù)：為游整上資和身術(shù)為游擊供種務(wù)持；現(xiàn)：為游也是際產(chǎn)擊體對務(wù)行擊最實利變。2較1長%2黑從人規(guī)更廣2黑產(chǎn)業(yè)員量較1增了%右。2少手卡十重的灰資論營作還刷刷等產(chǎn)需囤大量號賬的要源是手卡冊2“卡動續(xù)溫產(chǎn)取國傳黑機的度來大2022傳黑機增較2021下了約26。黑P同樣是重要黑灰產(chǎn)資源之一，黑灰產(chǎn)利用海量黑P繞過企業(yè)針對P的風(fēng)控并隱藏攻擊者的真實P202年黑P資源整體變化不大日活躍黑IP數(shù)量較2021年增長了約12。黑銀行卡是網(wǎng)絡(luò)賭博色情詐騙等違法行為洗錢的重要資源威脅獵人情報臺監(jiān)測發(fā)現(xiàn)202年新增的黑銀行卡數(shù)量較201年下降了約2%經(jīng)研究推斷主要由于202“斷卡行動持續(xù)升溫各銀行對于黑銀行卡的治理取一定成效。產(chǎn)擊務(wù)分三模塊身份身份“量”威脅獵人針對產(chǎn)業(yè)鏈中游服務(wù)層進行深入研究及總結(jié)將攻擊服務(wù)劃分“過身份”、“多身份”、“批量化”三大模塊，其中每個模塊涉及到多種攻擊技術(shù)過身份利用偽造身份人臉等方式繞過平臺認(rèn)證可以注冊虛假賬號并正常與平臺業(yè)務(wù)和活動；多身份利用多開改機改定位等技術(shù)偽造多“正常設(shè)備從而繞過平對于單身份的限制；自動化：利用自動化腳本或群控工具，批量完成注冊、登錄、點擊等業(yè)務(wù)操作。注針對202年黑灰產(chǎn)攻擊資源技術(shù)的具體分析將在第二三章詳細講黑灰產(chǎn)作惡形勢依舊嚴(yán)峻涉及營銷作弊虛假刷量等6大重點攻擊場景202年黑灰產(chǎn)規(guī)模不減，作惡情況依舊嚴(yán)重。威脅獵人圍繞營銷作弊、虛假刷量數(shù)據(jù)泄漏等202年黑灰產(chǎn)重點攻擊場景進行了深入研究其中營銷作弊仍然是黑灰產(chǎn)最主要的攻擊場景，此外，刷量產(chǎn)業(yè)鏈不斷進化，新型“高級賬號刷量悄然出現(xiàn)。注：更多黑灰產(chǎn)攻擊場景分析將在第四章詳細講解。析二、2022年黑灰產(chǎn)攻擊資源分析12大威獵觀灰通統(tǒng)手卡截外方為風(fēng)場作提供充的藥”體出灰極的抗和命。傳統(tǒng)黑手機卡傳統(tǒng)黑手機卡指非正常實名的手機SM卡，渠道多樣，有企業(yè)匿名卡、歷史物聯(lián)網(wǎng)卡通信虛擬卡等等主要特征在生命周期內(nèi)被黑產(chǎn)固定持有即這個期限內(nèi)無論注冊哪個平臺，進行何種行為均可判斷為惡意。202年傳統(tǒng)黑手機卡資源供給并不穩(wěn)定，每月傳統(tǒng)黑手機卡新增數(shù)量如下圖示：威獵情專分，量動大原主有點：卡動持影響商以過業(yè)內(nèi)等道量新少商只利舊開一新務(wù)；統(tǒng)手號的主對渠道—碼臺在2受安擊臺路等實素響加了卡量波。對管臺重出，產(chǎn)伙出了種對數(shù)：分商掘新道行量（用平號隱保服務(wù)此分間供量現(xiàn)長；碼臺多現(xiàn)因影響商步集極數(shù)部碼臺些臺服務(wù)通架在外打難較；為避被易現(xiàn)越越的商用密接方，2私對的碼式漸“接”變“頁碼。接家在QQ信社軟中建群容遭檢并禁此頻組建更接群群碼不定；頁碼特黑團負(fù)開轉(zhuǎn)軟及站家以過件成屬接提給家于收信容俗接房）網(wǎng)接更便和蔽其理下：下是2兩接方的勢比以出頁碼規(guī)持增長群碼續(xù)降2底頁碼月收證的量達千規(guī)模群碼乎失盡。攔截卡截主特機為然持就名在備信能移動備留后或入馬截常戶機備到短內(nèi)用開惡行，們稱為截卡。脅人查現(xiàn)2上年截數(shù)極，要因2初截平集跑從2年7份始續(xù)現(xiàn)個的截平并續(xù)躍此2下半攔卡量顯長。海外黑卡外卡論接平還卡都海此外卡未到項擊影22年外卡量為定海黑的域布看要中在國拿大港、南區(qū)。2黑P在0黑P位一2黑IP源量為穩(wěn)活的黑IP量定在0左脅人究員對黑IP要型行析排掉IP型知數(shù)）發(fā)家寬類的黑IP占最，過85其是業(yè)線數(shù)中，比在68%右而動絡(luò)校網(wǎng)等他型黑I占僅0.35。家庭寬帶：黑產(chǎn)所使用的秒撥及動態(tài)代理IP基本屬于家庭寬帶類型，主要利用“家庭寬帶撥號每次斷線重連會重新獲取一個新P”的原理秒撥及動態(tài)理IP價格便宜數(shù)量大切換方便因此成為了黑產(chǎn)大規(guī)模攻擊的首選黑P源。企業(yè)專線企業(yè)專線類型的黑P數(shù)量在近一兩年有所上升部分黑P資源供方通過企業(yè)身份申請企業(yè)專線，并以優(yōu)質(zhì)池、獨享池等方式進行出售。由于這些黑P價格昂貴，往往會被某些定向攻擊的黑產(chǎn)團伙固定使用，其識別難度更大。數(shù)據(jù)中心：數(shù)據(jù)中心類型的黑P資源主要用于秒殺、搶購等營銷作弊場景，類場景往往需要網(wǎng)速更快的P資源，因此資源供給方會選擇租用機房，來滿部分黑產(chǎn)快網(wǎng)速P資源的需求。2022年代理IP需求激增，黑IP的資源供給方以代理IP平臺為主202年，黑P的資源供給方主要是不合規(guī)的代理IP平臺以及秒撥平臺，其中以代理IP平臺為主，隨著各大應(yīng)用開始展示用戶P歸屬地，代理P的需求激增無形中促進了代理P平臺的數(shù)量增長同時代理P平臺和秒撥平臺聯(lián)緊密，很多動態(tài)代理P都由秒撥平臺撥出。IP6日漸普及，支持IP6的秒撥平臺數(shù)量逐年增加Iv6國日普，黑IP源給持產(chǎn)影。前雖代理IP臺未提供Iv6代理I自19起撥臺經(jīng)供持Iv6秒機時持Iv6秒平數(shù)逐增。對分持v6秒機經(jīng)脅人報家試分發(fā)：得于Iv6大過Iv4地空，Iv6撥撥的Iv6址復(fù)非低攻者全以到次擊用同IP址這黑IP識帶了的戰(zhàn)；然Iv6撥每撥來的Iv6址一在址配仍遵著定規(guī)脅人過察秒平對Iv6址配規(guī)律合獲產(chǎn)用的Iv6據(jù)行析成別則成套v6險別法為業(yè)測業(yè)流中Iv6量活時內(nèi)風(fēng)值。著聯(lián)的速展普，球Iv4址瀕枯。而Iv6為代Iv4下一代IP議在IP址量全動性務(wù)量方有巨優(yōu)勢業(yè)要時關(guān)黑在IP源給的化并時取對略。源有部統(tǒng)前國法博數(shù)過萬年內(nèi)出賭金一億元嚴(yán)威國經(jīng)安對網(wǎng)博分違平臺脅人報究經(jīng)長調(diào)查數(shù)分發(fā)，2網(wǎng)洗的要道下：銀行卡行仍是主的絡(luò)錢道其針網(wǎng)賭洗渠道從2下年，銀卡現(xiàn)速升勢在界期月增超過5。過比兩銀涉卡量比排變發(fā)名升快前10銀中有8是村用此見著行壓資錢險所移村用銀卡逐被博臺模利。虛擬貨幣于名、以蹤特，擬幣期黑用洗等下易付道。22，于錢虛貨活數(shù)較穩(wěn)，于2年1世杯組期達峰，活量過5。充值繳費PP產(chǎn)意用些P話費費充繳功過價他充繳完洗，2，值費洗方被多產(chǎn)利。代電為，2下年過繳費行錢虛賬數(shù)呈速升趨。2..4數(shù)字人民幣字民錢作一新的付式從2年7起遍網(wǎng)賭平用收洗，現(xiàn)明上趨。字民錢主分四低限四錢包于名包戶憑機號可通匿賬之可任轉(zhuǎn)，為博臺過付管新充方。脅人查現(xiàn)于字民“四錢需定戶份息手號可冊錢伙利專提手小并收證的臺量冊字民錢賬直租買通眾數(shù)人幣戶于取資將資行移注數(shù)人幣號從規(guī)監(jiān)。析三、2022年黑灰產(chǎn)攻擊技術(shù)分析灰在行惡采各攻技進批動攻達短間獲更收的的2黑產(chǎn)要擊術(shù)括機術(shù)定技臉證過技。制RM流機黑大模惡依的要術(shù)段主指過定技，改機品牌、號碼IEIAC址設(shè)信裝一新設(shè)備產(chǎn)以過機量造設(shè)來過控目，機具型要括：件機、RM機、件機。軟件改機中，LPod框架因隱蔽性高成為主要改機框架件機件機經(jīng)現(xiàn)年核技是過取設(shè)信相的數(shù)修函返值達改效。件機般會到ok架ok架括osd架Losd架其中Losd架近年起不成，2年Loed架經(jīng)為軟改使用主框，比oed架，Loed架難被測。特文等測為，Losed架對容被測的因下：外Losed架有下些勢：Losd設(shè)之就慮了對osd生容以有的osd塊需動可在Losd架運。對開者言，Loed舊用psed發(fā)開模，有外學(xué)成本，輕在Loed架開想的塊。目前Losd架護更比穩(wěn)不擔(dān)可性題。定制ROM改機成為目前最主流的改機方式制RM機威獵的防踐客實測效來看件機成率不，了高功，產(chǎn)在斷發(fā)底的機術(shù)其就括制ROM機。位ROM不新術(shù)核原是過改ndod代進改機2定制ROM機術(shù)加熟方面專團負(fù)維各品手的ROM括驅(qū)）另方，業(yè)伙責(zé)各品手的備。多配與熟作下，需零造案具”前定制RM機經(jīng)為最流改方。軟改相，制RM機優(yōu)如：、ROM機修的代并運在標(biāo)用程，此守?zé)o在測與之面抗；、ROM機需Rot機因防方法過測Rot境標(biāo)設(shè)風(fēng)；、ROM機以易改備任信，穩(wěn)性。制RM機何以測？果臺器作機標(biāo)控其源擬改過件機室制電易檢發(fā)現(xiàn)而ROM機是接制電廠根進遠破防者難之面抗。體技原如：們修設(shè)的IEI為釋制ROM機技原在ndod統(tǒng)獲取IEI調(diào)的gtevceID數(shù)其是個IC用應(yīng)是統(tǒng)的hne服（應(yīng)進包是cm.ndod.phone，最會用到hon.geDevcID函。過寫函，據(jù)IC用的ud判是是機標(biāo)用如是則調(diào)用gtooVaue回造的IEI果是返真的IEI值個程下示：用定修設(shè)可于位信息括GSwi站而設(shè)裝到定地。定技被泛用各業(yè)欺行，：造假司出記騙平補；定改特地并過交件的近人能行情流；定區(qū)與營活，過改位破制得動格。改GS位要以幾方：比初的式將位息入目標(biāo)pp通過okGtLtLocin或GtLsKnwnLocton數(shù)偽返的緯信。種式較易檢，產(chǎn)經(jīng)少用；過制ROM術(shù)可偽造GS息理與機似種式前未黑普使；前持統(tǒng)置務(wù)黑普使持統(tǒng)置務(wù)過ok鍵數(shù)偽函返值因在標(biāo)用程間難檢。持統(tǒng)置務(wù)黑普使，技原及體驟下：理在ndod統(tǒng)，取GS息調(diào)系的置務(wù)而服運行在semsrver程應(yīng)的ava是cm.ndrid.eve.Loctonnagrevce，此過持LctnMnagrevce的關(guān)數(shù)可達偽定的果。驟：向semsrvr程入意塊；意塊入代過as.oName射用到Lctonnagrevce象；okLctnMnagrevce象多函數(shù)中包括gtLtLocin數(shù)：劫的gtLtLocin數(shù)中斷否要定位果是造個Lcton象填偽的緯信并回如不，調(diào)原的gLatLcaon數(shù)并回。制RM式臉證過產(chǎn)臉人著來多應(yīng)進實認(rèn)同時用臉別術(shù)產(chǎn)于臉證過術(shù)使更普體括制RM持像、手虛相。制RM持像頭樣過改ndod代來現(xiàn)由這技改了較底的ndod代，此以檢，為了2黑常的持像的擊方。制RM持像過如：當(dāng)用用像能，調(diào)用mea.pen數(shù)打前或后攝頭并最進入Ntve的bndodrunim.so用ndodhadwr_cmr.navestup數(shù)；、nvestup數(shù)會構(gòu)一個NICmeCntet象相上文，過操這對使攝功；持像的制ROM寫了NIamrCntxt象源碼其造數(shù)主加了個意塊；這惡模集了mpeg（款秀視編碼）通調(diào)用mpeg，開要換視文對件行碼其換攝頭制視流式進替，終到持果。外脅人過軍防踐現(xiàn)手虛相也以過臉證前面上現(xiàn)眾的手平其大分基瑞微occhp)的RK列片發(fā)部分手平開并供程擬機功實測效來手虛相機過臉證成率高。對機定位臉證過日猖的產(chǎn)術(shù)業(yè)難單技角與正對以情維及監(jiān)并析用技的類產(chǎn)源時行對防。析四、2022年黑灰產(chǎn)攻擊場景分析2景業(yè)展銷動往投現(xiàn)物虛商等種勵吸用同也引大的產(chǎn)與動薅獎22營作仍是灰最要攻場，擊標(biāo)蓋行，下是2較常的動型：202型名前活類中立金外他年都名列減是種放用的金，客消時以行扣。2各業(yè)了激費減成了要營活類型家行曾出種式立金動于乏銷弊防經(jīng)和段活參資及現(xiàn)式為松單便易到灰的擊。某行減活遭到作攻為例與活的戶，人領(lǐng)取5立金黑找了活的現(xiàn)徑發(fā)了大模續(xù)擊預(yù)造的銷用失近0，擊過如：業(yè)產(chǎn)伙起規(guī)化擊企造的失大種擊往要備下個要：1量假號個號銷弊收往不太此產(chǎn)伙般過量虛賬來累益假號主來就黑機何效別手卡為抗?fàn)I作的鍵；2動攻對銷動發(fā)自化擊具以效成冊新力等動務(wù)薅活獎，動攻的要式兩：①機控：過機術(shù)造多設(shè)，過控術(shù)量控臺備對這攻方，何效別險備境為鍵。②議擊解冊錄及活相的PI口量造口求于種擊式對I口行全固及何別險量為鍵。現(xiàn)如量王時代量成互網(wǎng)業(yè)照宣規(guī)則于大容臺閱量絲數(shù)贊等據(jù)為響的判準(zhǔn)容布為提排獲更的光，惜造假流數(shù)。流思的導(dǎo)據(jù)假氣行2年容臺假量度舊量方除議量和人包量外還生了型級號量式。議量議量量假原手直采“理I+戶錄模協(xié)并寫碼實自化量簡、接技含低。人包量人包量刷者人包務(wù)臺量務(wù)聊布刷任，任賞的式引人戶并其照定程行量。議量真眾刷在1年8至2年2的度勢下可清看到議量體現(xiàn)顯降勢真眾刷在2初明下降研分主是到信朗列項擊動影在2年2以呈出步復(fù)上的勢。2022年議量”顯降“人包量中升經(jīng)究析要因下：1議量難增著內(nèi)平安建水的斷升論協(xié)的解難是過器量別難比前大增加且旦發(fā)現(xiàn)面平的懲；2人包量果超議量人包量是人作以技上行別。脅人國某部容臺作行人包量試測功很且均度快完任平用僅需4鐘；3人包量務(wù)格中前人包量任類主為載論贊、覽收、注喜、幣。些務(wù)價不高單在.2元左，家全以受個格；4項擊刷產(chǎn)鏈響大監(jiān)部專打活期對量業(yè)震效果顯由刷市需很強項擊去段間后少人包臺快復(fù)了量務(wù)發(fā)，任數(shù)持上。2年人包量為黑刷的主方外對部容臺產(chǎn)刷衍出一新刷手級號量刷賬具等高容多絲量等征“粉“粉粉贊于類號平上可度影力于般號此評分名方擁更的重而以到好刷效。段2電場因平風(fēng)日完善器弊果益差人弊為灰的要弊段而險要中鋪單、牛下滿減意付個分景。1鋪單鋪單平賣付委刷黑產(chǎn)過單具人手方式指的臺家買品寫假評提店銷用和分取臺量。鋪單僅導(dǎo)費的物策發(fā)鋪公競會重響臺正運。2度威獵監(jiān)到電平相的單報過5，較1增了.5%。2022店刷作的要式下：單法法紹人單人手受務(wù)向定平賣購商、寫假評來升鋪量信度評分播流單播其播的品窗低值利而商主商，購鏈指作商過引人戶買評提店整排，程需鋪合碼可。2牛下牛下黑產(chǎn)傭人程單批薅活限的惠品目也成一成的業(yè)?；覍嵄O(jiān)各商的惠品并過QQ、微群私群單站布下案人戶照灰提的品接地下，賺黑產(chǎn)供傭，黑產(chǎn)到品進轉(zhuǎn)以利。牛下致量惠品專的產(chǎn)伙取正用基享不優(yōu)業(yè)白耗大營費，而之常戶至流到產(chǎn)轉(zhuǎn)渠。下業(yè)的核是“單貨特地”。牛介不渠發(fā)的下品案含單品統(tǒng)的單址統(tǒng)地背往的型收團/貨，攏自國量散代團的下品因，臺可收分此下地址，對類單號施應(yīng)控略。3滿滿指毛通研電平的減求以優(yōu)價購目商品擇外款品單成減件款再湊商進退操能發(fā)單商短間被量貨風(fēng)，及家據(jù)常庫壓。2，脅人測到滿減關(guān)報量過8條涉到黑群超過0個整呈升勢得意是電平大活期滿減險其遍后更嚴(yán)。大期平跨“滿”例：促間平往支跨湊減湊商大可過令式捷播快下單，時臺店支無件款一“滿品報往被同羊黨成同口在交聊大傳，此單品會短間面大退風(fēng)。4意付意付黑產(chǎn)職打人用律規(guī)商關(guān)止則過向家話向關(guān)門報方單品惡發(fā)售申請商及臺壓求賠行分付程過流費方被泛播實操大響商和平的常營。2，脅人過測關(guān)灰論及群挖黑產(chǎn)意付案超0，要中頭電平。過方進步析現(xiàn)當(dāng)?shù)母栋敢@發(fā)貨、品傳禁假無禁品品全問題找在些洞店并起意后請。某商臺無品付”案例：方展了付路操流括何選付品接單貨意點賠話等具內(nèi)如：失著融+聯(lián)的展融業(yè)過字轉(zhuǎn)為戶供活便服的時也臨黑不迭演的類詐脅中金信欺最嚴(yán)金機帶來壞和額濟失。融貸詐產(chǎn)介用款批洞貸者請款通特話等式為款成申延免息中從賺高提成類惡為造信機構(gòu)金失大壞。前貸詐景產(chǎn)業(yè)結(jié)如：游要掌作渠或術(shù)人，責(zé)供貸道技；游要信中群，責(zé)弊案傳，進實的理作游要騙群，為際貸者騙群主分幾：沒資而銀拒的戶；進退、費操的戶；中教或惡隱而行款用。信欺中產(chǎn)攻場可細為貸催債募通提額息費最目多通偽資證到身的的要欺思包但不于造質(zhì)銀流、用定術(shù)催等。貸詐具作思如：-①造款戶質(zhì)：產(chǎn)過造料助約戶款其質(zhì)對請信進行假常造項括工單、產(chǎn)息公金工流等。②冒行PP作行水產(chǎn)過冒銀行PP造假水以現(xiàn)常。方主利了同行的息：設(shè)產(chǎn)去A行請款并作造B銀的假P虛流，