2022年黑灰产业研究报告
AI智能总结
威胁猎人以情报构筑数字化安全基石 2022年黑灰产业 研究报告 出品方:威胁猎人 THREHTHLNER以客户为中心|正直|求真 威胁猎人以情报构筑数字化安全基石 目录 Contents 前言 2022年黑灰产发展现状 、2022年黑灰产攻击资源分析.12 三、2022年黑灰产攻击技术分析..26 四、2022年黑灰产攻击场景分析.35 五、风险对抗思路50 2 威胁猎人以情报构筑数字化安全基石 前言 “从业者超200万,平均年龄23岁,市场规模高达1100亿” 这是来自中国互联网协会关于“黑灰产市场规模”的一项统计数据。 在巨额利益的驱动下,黑灰产从业者疯狂游走在监管边缘地带,黑产各类攻击资源高度市场化、模块化,产业链不同层级的团伙分工明确又配合严密。网络黑灰产业链在与各方对抗中不断升级,不少企业被迫卷入黑灰产的漩涡。 知己知彼”才能打破攻防僵局,推动有效治理。黑灰产业链一直是威胁猎人重点研究的内 容,威胁猎人发布《2022年黑灰炭产业研究报告》(以下简称《报告》),客观呈现2022 年黑灰产发展态势,深入分析黑灰产攻击资源、技术、场景并提出针对风险防治思路。 01 黑灰产发展现状 威胁猎人以情报构筑数字化安全基石 一、2022年黑灰产发展现状 《报告》统计数据显示,2022年国内的黑灰产业仍然非常发达,主要表现为:规模更庞大、 产业链结构更清晰、攻击更高效、覆盖场景更广泛。 1.1八亿余条黑灰产相关情报,2022年黑灰产规模依然庞大 2022年,威胁猎人情报平台监测到8亿余条黑灰产相关情报,黑产规模依旧十分庞大。2022 年黑灰产产业链整体结构可按照供需关系分为资源、服务、变现三个层级,并以此来区分产业链的上中下游: 资源层:作为上游,把控黑灰产作恶的底层基础资源; 服务层:作为中游,整合上游资源和自身技术,为下游攻击提供各种服务支持; 变现层:作为下游,也就是实际黑产攻击群体,对业务进行攻击并最终实现利益变现。 黑灰产产业链组织及分工细致 黑产需求黑产解决方案或配套服务产业 黑卡(手机sm卡)卡商产业:虚拟运营商等票通大量开卡 黑名单外的代理IP代理IP平台:集合宽带、基站IP等动态IP 资源设备信息改机工具、IME白库:伤造滤假设备播纹、购买白库 身份资料木马等方式获取 企业资质资料料商:倒卖、内造企业资质 收发验盗码换码乎台:对接卡商,代收发赠信验证码 过人机验证打码平台:A成人工等方式过人机验证 批量攻击群控岗设备:研发多设备批量执行功带 交易平台发卡、略网:半开故或隐肤交易平台 企业资质资料洗钱产业线上店铸、众包等洗链服务 网络诈弱 恶意引流 锅羊毛 刷量作葬 资号洗号 广告联监作界 都件木马 静默木马 索病毒 刷单作养 网络彩票 区块链诈销 游戏外挂 色情诈骗 网络博 变现 威胁猎人以情报构筑数字化安全基石 1.22022年黑灰产从业人员规模更广,较2021年增长10% 2022年黑产从业人员规模更广,2022年黑灰产从业人员数量较2021年增长了10%左右。 黑产从业人数年度对比 3000000 2500000 2000000 1500000 1000000 500000 0 2021年2022年 1.3受“断卡行动”持续影响,2022年黑产资源新增数量减少 黑手机卡是十分重要的黑灰产资源。无论是营销作弊还是刷粉刷赞等,黑产都需要囤积大量账号,而账号的主要来源就是黑手机卡注册。2022年“断卡行动”持续升温,黑产获取国内传统黑手机号的难度越来越大,2022年传统黑手机号增量较2021年下降了约26%。 6 威胁猎人以情报构筑数字化安全基石 传统黑手机卡年增量对比 8000000 7000000 6000000 5000000 4000000 3000000 2000000 1000000 0 2021年2022年 黑IP同样是重要黑灰产资源之一,黑灰产利用海量黑IP绕过企业针对IP的风 控,并隐藏攻击者的真实IP。2022年黑IP资源整体变化不大,日活跃黑IP的 数量较2021年增长了约12%。 黑IP日活跃量年对比 3500000 3000000 2500000 2000000 1500000 100000 500000 0 2021年2022年 威胁猎人以情报构筑数字化安全基石 黑银行卡是网络赌博、色情、诈骗等违法行为洗钱的重要资源。威胁猎人情报平 台监测发现,2022年新增的黑银行卡数量较2021年下降了约20%,经研究推 断,主要由于2022年“断卡行动”持续升温,各银行对于黑银行卡的治理取得 一定成效。 黑银行卡年增量对比 500000 450000 400000 350000 300000 250000 200000 150000 100000 50000 2021年2022年 1.4黑产攻击服务划分为三大模块:“过身份”、“多身份”、“批量 化" 威胁猎人针对产业链中游服务层进行深入研究及总结,将攻击服务划分为“过身份”、“多身份”、“批量化”三大模块,其中每个模块涉及到多种攻击技术。 8 威胁猎人以情报构筑数字化安全基石 黑产演化能力极强,技术不断进步 V 中P盗IPV6,IPv4、秒 号码资源私接、网页接码、按码平台 过身份认证特过手机摄像头动特,高清视预据放 日设备改机配改机ROM改机手机改机Hook改机 设备多开手机能摄机云手机能联客器,彩统分身 多身份 定位修改ROM包刷机改定位、云手机定位,Hook改定位 批量化 名群控 技键精灵、auto.js、胶动精灵、积木编程 TotalControl,减星,离眼眠 过身份:利用伪造身份、人脸等方式绕过平台认证,可以注册虚假账号并正常参 与平台业务和活动; 多身份:利用多开、改机、改定位等技术伪造多个“正常”设备,从而绕过平台 对于单身份的限制; 自动化:利用自动化脚本或群控工具,批量完成注册、登录、点击等业务操作。 注:针对2022年黑灰产攻击资源、技术的具体分析,将在第二、三章详细讲解。 1.5黑灰产作恶形势依旧严峻,涉及营销作弊、虚假刷量等 6大重点攻击场景 威胁猎人以情报构筑数字化安全基石 2022年黑灰产规模不减,作恶情况依旧严重。威胁猎人围绕营销作弊、虚假刷量、数据泄漏等2022年黑灰产重点攻击场景进行了深入研究,其中营销作弊仍然是黑灰产最主要的攻击场景,此外,刷量产业链不断进化,新型“高级账号"刷量悄然出现。 2022年黑灰产重点攻击场景 攻击场景攻击对象 营销作全行业 虚假刷量社交媒体资讯等行业 电商作MNE电商行业 信贷欺诈金融行业 网络洗钱银行、支付等行业 数据泄漏全行业 注:更多黑灰产攻击场景分析将在第四章详细讲解。 10 02 黑灰产攻击资源分析 威胁猎人以情报构筑数字化安全基石 二、2022年黑灰产攻击资源分析 2.12022年黑手机卡资源增量波动较大 据威胁猎人观察,黑灰产通过传统黑手机卡、拦截卡、海外卡等方式为各风险场景作恶提供了充足的“弹药”,体现出黑灰产极强的对抗力和生命力。 2.2.1传统黑手机卡 传统黑手机卡指非正常实名的手机SIM卡,渠道多样,有企业匿名卡、历史物联网卡、通信虚拟卡等等,主要特征是“在生命周期内被黑产固定持有”;即在这个期限内无论注册哪个平台,进行何种行为均可判断为恶意。2022年传统黑手机卡资源供给并不稳定,每月传统黑手机卡新增数量如下图所 示: 2022年传统黑手机卡每月增量 1000000 900000 800000 700000 600000 500000 400000 300000 200000 100000 1月2月3月5月6月7月8月9月10月11月12月 12 威胁猎人以情报构筑数学化安全基石 经威胁猎人情报专家分析,增量波动较大的原因主要有两点:1、受“断卡行动”的持续影响,卡商难以通过营业厅内鬼等渠道批量开新卡,不少卡商只能利用旧卡开展一些新业务;2、传统黑手机号卡的最主要对接渠道一接码平台,在2022年受公安打击、平台跑路等 现实因素影响,加剧了黑卡增量的波动。 面对监管平台的重拳出击,黑产团伙也出现了各种应对招数:1、部分卡商发掘出新渠道进行批量开卡(如:利用云平台号码隐私保护服务),因此部分时间段供卡量出现增长;2、接码平台受多种现实因素影响,卡商逐步聚集到极少数头部接码平台,这些平台的服务器通常架设在海外,打击难度较大;3、为了避免被轻易发现,越来越多的卡商采用私密对接的方式,2022年私密对接的接码方式逐渐由“群接码”转变为“网页接码”。 群接码:卖家在QQ、微信等社交软件中组建的群组容易遭到检测并封禁,因此需频繁组建或更换接码群,群接码较不稳定; 网页接码:有特定黑产团伙负责开发转码软件及网站,卖家可以通过软件生成专属链接,提 供给买家用于接收短信内容(俗称接码房间),网页接码更加便捷和隐蔽,其原理如下: 13 威胁猎人以情报构筑数字化安全基石 网页接码原理 猫池转码软件网页接码 3000-9909909 猫池服务Socket通信 HUN 利用猫池提供的服务,接收手机卡收到的短信通过Socket通信,将短信内容转发到指定网页 以下是2022年两种接码方式的走势对比,可以看出,网页接码的规模持续增长,而群接码持续下降。2022年底,网页接码每月接收验证码的数量已达到数干万规模,而群接码几乎消失殆尽。 2022年群接码/网页接码走势对比 网页接码群接码 120000040000000 100000 35000000 3000000 威聊猎人 800000 HRERTHLINTE 25000000 60000020000000 400000 15000000 1000000 200000 月2月3月4月5月6月7月8月明10月11月12月 14 500000 威胁猎人以情报构筑数字化安全基石 2.2.2拦截卡 拦截卡主要特征是“手机号为自然人持有”,也就是“实名卡”,指在具备通信功能的移动设备上留下后门或植入木马,拦截正常用户手机设备收到的短信内容,利用其开展恶意行为,我们简称其为“拦截卡” 威胁猎人调查发现,2022年上半年拦截卡数量极少,主要因2022年初拦截卡平台集体跑路,从2022年7月份开始,陆续出现多个新的拦截卡平台并持续活跃,因此2022年下半年拦截卡数量明显增长。 300000 250000 2022年拦截卡每月增量 威胁猎 200000 150000 100000 50000 0 3月4月5月6月7月8月9月10月11月12月 2.2.3海外黑卡 15 威胁猎人以情报构筑数字化安全基石 海外黑卡无论是接码平台还是卡源都在海外,因此海外黑卡并未受到专项打击的影响,2022 全年海外黑卡数量较为稳定,从海外黑卡的地域分布来看,主要集中在美国、加拿大、香港、 东南亚等区域。 2022年海外黑卡每月增量 1400000 1200000 1000000 800000 600000 400000 200000 1月2月3月4月5月6月7月8月9月10月11月12月 2022年海外黑卡地域分布 ■美国/加大 马来西亚 印尼 中国香港 其他 2.22022年黑IP日活量稳定在300万左右,家庭宽带黑IP占比位 居第一 16 威胁猎人以情报构筑数字化安全基石 2022年黑IP资源数量较为平稳,日活跃的黑IP数量稳定在300万左右。威胁猎人研究员 针对黑IP主要类型进行分析(排除掉IP类型未知的数据)发现家庭宽带类型的黑IP占 比最高,超过85%;其次是企业专线和数据中心,占比在6%-8%左右;而移动网络和校 园网络等其他类型的黑IP,占比仅0.35%, 2022年活跃黑IP各类型占比 85%■家庭宽带 8%企业专线 % 数据中心 其他 家庭宽带:黑产所使用的秒拨及动态代理IP基本属于家庭宽带类型,主要利用“家庭宽带拨号每次断线重连,会重新获取一个新IP”的原理,秒拨及动态代理IP价格便置、数量大、切换方便,因此成为了黑产大规模攻击的首选黑IP资 源。 企
