【黑产大数据】2023年第三季度互联网黑灰产研究报告
AI智能总结
1 目录 Contents 前言3 一、2023年第三季度黑灰产攻击资源分析5 1.1、第三季度黑手机卡新增量分析5 1.2、第三季度风险IP捕获量分析8 1.3、第三季度风险邮箱捕获量分析10 1.4、第三季度网络洗钱资源分析13 二、2023年第三季度业务欺诈场景分析18 2.1、黑灰产接入AI机器人,社交引流话术更智能18 2.2、AI发展使得换脸成本降低,人脸验证安全性需警惕19 2.3、黑灰产账号注册及绕过检测形式愈加多样化21 2.4、黑灰产结合贷款平台和虚拟货币,转移洗钱风险22 2.5、黑灰产利用云手机平台提供的iOS云设备,降低iOS群控成本25 三、2023年第三季度数据泄漏场景分析28 四、结语35 前言 近年来黑灰产业链不断成熟壮大,其攻击技术、资源快速更新,企业与黑产的对抗愈发激烈。“面临哪些黑产攻击”、“黑产会使用哪些技术/资源进行攻击”、“面临哪些风险”等问题仍然困扰着企业内部安全运营人员。 依托于黑产情报的长期监测、挖掘以及黑产攻防研究,威胁猎人针对企业潜在风险,从2023年第三季度黑灰产攻击资源、业务欺诈场景、数据泄露场景等维度进行全面梳理及分析,期望帮助更多企业深入了解黑灰产业,有效防控各类攻击风险,避免损失。 4 01 2023年第三季度 黑灰产攻击资源分析 一、2023年第三季度黑灰产攻击资源分析 1.1第三季度黑手机卡新增量分析 1.1.1第三季度黑手机卡捕获总量较第二季度下降26.27% 据威胁猎人业务风险情报平台数据显示,2023年第三季度黑手机卡捕获总量较第二季度下降26.27%。 经威胁猎人情报专家分析,持续下降的主要原因是: 8月初某头部接码平台被关停,导致大量黑手机卡供应商和使用黑手机卡的黑产团伙无法正常供应和使用黑手机卡,从而影响了黑手机号的流通。受此影响,第三季度黑手机卡“每月新增量”亦持续下降。 1.1.2第三季度拦截卡新增数量持续下降 2023年第三季度拦截卡新增数量持续下降,第三季度拦截卡新增数量仅为第二季度的47%。 经威胁猎人情报专家分析,下降的主要原因是:自2023年4月起,三个头部接码平台提供的新拦截卡数量持续减少,进而导致新增的拦截卡数量持续下降。 1.1.3第三季度季度192号段使用量较第二季度上升123% 据威胁猎人业务风险情报平台数据显示,2023年第三季度,192号段黑手机卡的使用量是第二季度的2.23倍。 经威胁猎人情报专家分析,第三季度新增量较大的主要原因是:自第一季度起,各黑卡供应渠道持续投入新的192号段手机卡。同时自第三季度开始,有4个供应渠道进一步增大192号段手机卡的投入规模,使得第三季度新增量进一步增加。 1.2第三季度风险IP捕获量分析 1.2.1第三季度风险IP捕获总量较第二季度上升2.8% 2023年第三季度风险IP捕获总量较第二季度上升2.8%,数据并未出现明显波动。 1.2.2木马伪装成正常软件后将正常用户IP上传至代理平台 威胁猎人研究人员在第三季度发现正常用户IP出现在代理IP平台的IP池中,并呈现出明显上升的趋势。该情况会导致一个IP在短时间内的操作行为同时包含正常用户行为及黑产作恶行为。 这类IP在业务上的表现为:大部分时间是正常用户进行操作,如点击、充值、浏览等行为均正常,少量时间会出现短暂的作恶行为。因此对于甲方风控来说,平台会认定该用户为正常用户,进而忽视其短暂的作恶行为,给黑产可乘之机。 同时,威胁猎人研究员溯源到了背后的作恶工具,这类工具将木马伪装成正常软件供用户下载使用。用户安装并首次运行工具后,木马即可上传正常用户的IP至代理平台供黑产作恶使用。 以捕获到的一个“xx加速器”工具为例,其作恶流程为: (1)正常用户在电脑上安装"xx加速器"后,程序释放木马文件到指定位置; (2)木马对特定进程进行注入,劫持用户IP进行任意操作; (3)木马通过特定方式维持其运行权限,达到“加速器关闭后木马仍能运行”的目 的; (4)运行真正的加速器程序,供用户使用。 研究人员通过技术分析提取出三个可执行程序,分别记作样本A、B、C:样本A:一个实现木马加载功能的可执行程序 样本B:一个维持木马驻留权限的可执行程序样本C:一个真实的加速器客户端 样本A: 通过分析,从功能上可以判定样本A是一个木马加载器,它具备解密二进制代码、内存加载PE的功能。 样本B: 通过分析,从功能上可以判定样本B的主要功能是创建服务,维持木马驻留权限。 1.3第三季度风险邮箱捕获量分析 1.3.1第三季度风险邮箱捕获总量较第二季度上升71.16% 2023年第三季度,威胁猎人持续覆盖及监测临时邮箱网站,统计发现第三季度风险邮箱捕获总量较第二季度上升71.16%。 1.3.2被黑产用来作恶的临时邮箱,呈现明显的团伙聚集性 在海外,电子邮箱注册依旧是主要的账号注册方式之一。而临时邮箱由于具有低成本、可匿名、一次性等特点,成为了黑产对企业海外业务实施攻击的首选物料。 威胁猎人研究人员针对捕获的46737个有效临时邮箱域名样本进行MX、IP及域名注册信息分析,发现有66.65%(共计31150个)邮箱域名均存在特征共性,能关联到多个作恶团伙。 对上述31150个邮箱域名进行团伙分类,可整理出六个黑产团伙,且相同团伙下的多个临时邮箱往往呈现出特征的聚集性。有的团伙是“强关联”特征,只要出现就可以判定是来自同一团伙;有的团伙是“弱关联”特征,需要多个特征结合来判定: 以关联临时邮箱最多的一个团伙为例:有10085个邮箱域名解析到同一MX(mail.***.kr),邮箱后缀基本为xxx.kr,可直接判定来自同一团伙。该团伙关联到的邮箱特征如下: 1.4第三季度网络洗钱资源分析 1.4.1第三季度网络洗钱资源各渠道中,第三方支付平台占比达72.63% 2023年第三季度洗钱资源渠道中,占比最高的为第三方支付平台账号,其次为虚拟货币交易平台账号、银行卡、数字人民币账号。 1.4.2第三季度数字人民币捕获量在9月出现明显增长,月增幅超270% 威胁猎人发现黑产利用数字人民币进行洗钱的情况整体呈上升趋势,尤其是9月,月增幅超过了270%。 经威胁猎人情报专家分析,出现较大增幅的主要原因是:9月份出现了大量新的支持数字人民币洗钱的四方支付平台,较8月份增加了39个平台。 此外,虽然第二季度的四方支付平台数量与第一季度相近,但威胁猎人情报专家发现:自5月起,已有部分四方支付平台开始增加数字人民币这一渠道的洗钱频率,使得数字人民币洗钱记录捕获数开始上升。 1.4.3第三季度涉及洗钱的对公账户捕获总量较第二季度上升37.86% 银行对公账户具有收款额度大、转账次数多等特点,这使得“对公账户”常常作为黑钱转账的集中点及发散点,在黑产洗钱链条中担任极其重要的位置。 在打击洗钱犯罪过程中,银行对涉及洗钱的对公账户进行风控也是十分重要的一环。因为一个对公账户的收款额度往往在几百万到几千万不等,及时发现涉嫌洗钱的对公账户并进行针对性风控,往往能中断某个黑产团伙的某一洗钱链条。 自2023年3月起,威胁猎人持续覆盖及监测黑产在洗钱过程中所使用的银行对公账户资源,发现涉及洗钱的对公账户数量持续上升。 17 02 2023年第三季度 业务欺诈场景分析 二、2023年第三季度业务欺诈场景分析 2.1黑灰产接入AI机器人,社交引流话术更智能 威胁猎人情报研究员在第三季度发现,黑灰产在社交引流场景已经接入AI机器人,使得引流聊天更智能。以捕获的一款自动聊天工具“AiTuLing”为例,该工具除了常规的“基于预设话术进行引流”外,还支持接入AI机器人,同时该工具支持市面上近百个社交平台的自动引流。 与传统的预设话术进行回复引流相比,两者的特点如下: 在使用成本上,AI机器人的接入成本也极为低廉,最低只需19.9元/月即可。目前此类引流工具多被黑灰产用于社交场景上的引流下载、色情诈骗目标的初步筛选,对社交平台的内容风控提出了新的挑战。 2.2AI发展使得换脸成本降低,人脸验证安全性需警惕 针对近期热度较高的基于AI换脸技术进行诈骗的案例,威胁猎人研究人员对相关作恶工具及作恶流程进行了研究,并最终成功绕过某银行的人脸认证。 研究发现,黑灰产在作恶时使用的工具如下: 威胁猎人研究员的攻击复现流程如下: (1)首次登录,测试人员使用自己的人脸模拟攻击者登录受害者银行账号,未成功通过人脸认证。 (2)第二次登录,测试人员使用受害者的AI换脸视频,并通过特定方式使得“换脸视频的画面”作为登录设备摄像头获取到的画面,再次登录受害者的银行账号,最终通过人脸认证并成功登录。 2.3黑灰产账号注册及绕过检测形式愈加多样化 账号是黑灰产针对平台实施攻击的基础,但由于APP之间登录方式不同、APP的风控程度松紧不一等原因,不同的“账号使用方法”会使得账号在平台上的使用寿命长短不一。为了最大限度延迟作恶账号的使用时间,黑产针对不同的情况推出不同的账号注册、绕过检测的方法。 以下为威胁猎人整理的部分黑产作恶账号使用方式: 以备份包号登录社交APP为例,其使用流程如下: 2.4黑灰产结合贷款平台和虚拟货币,转移洗钱风险 威胁猎人研究员在2023年第二季度发现部分黑产开始利用贷款平台进行洗钱,涉及贷款平 台27家,在第三季度发现受影响平台上升至41家,较第二季度增长51.85%。 黑产将贷款平台与虚拟货币结合,借助第三者协助,将贷款平台贷出来的钱用于购买较难监管的虚拟货币,再把黑钱作为还贷资金,转账给贷款平台,将洗钱的风险转嫁至贷款平台处。 在过往的洗钱方式中,会存在黑产直接使用黑钱在虚拟货币交易平台中大量购买虚拟货币的情况,这使得黑产的虚拟货币账户很容易被交易平台发现并进行风控。 基于“将贷款平台与虚拟货币结合”的方式,黑产能将购买虚拟货币这一操作转移到第三者身上,同时由于第三者用于购买虚拟货币的资金来源渠道是正常的,能极大降低虚拟货币交易平台察觉的可能性。 关于此类洗钱方式,威胁猎人研究员总结的流程如下: 该洗钱方式带来的最终结果是: 2.5黑灰产利用云手机平台提供的iOS云设备,降低iOS群控成本 威胁猎人研究员发现部分黑产使用IOS云手机进行作恶,针对此情况,研究人员对目前市面上提供IOS云手机服务的云手机平台进行了相关调研。调研结果如下: iOS云手机作恶带来的风险如下: (1)黑产获取iOS设备进行攻击作恶的成本降低。以往进行攻击,往往需要购买几百到上千元不等的真实iPhone,而现在只需花费几十元/月租用iOS云手机即可。 (2)节省了黑产安装、配置作恶环境所需的时间,提高了黑产的攻击效率。购买的iOS云手机已越狱、能安装不同的越狱插件,还自带改机工具,节省黑产安装、配置作恶环境的时间。 此外,由于iOS系统对应用权限申请的严格限制,使得大部分互联网公司在iOS设备上获取设备信息的难度远大于安卓端设备,这在一定程度上可能会使得平台在iOS设备上进行风控识别的难度更高,具体表现为:相同的攻击流程下,黑产使用iOS设备进行攻击被平台发现的可能性更低,导致黑灰产把iOS云手机作为主要的攻击设备之一。 针对此类情况,威胁猎人建议企业应及时获取此类平台样本,进行相关样本分析和防御。 27 03 2023年第三季度 数据泄露场景分析 三、2023年第三季度数据泄漏场景分析 3.1第三季度数据泄露事件较第二季度季度增加153% 2023年第三季度,威胁猎人风险情报平台监测到数据泄露相关情报7300多万条,梳理出有效的数据泄露事件共计5110起,较第二季度增加153%。 3.2第三季度数据泄露类型仍以用户信息为主,占比达92.74% 第三季度发生的数据泄露类型仍以用户信息为主,占比达92.74%。此外还有内部文件文档、内部员工信息及敏感代码等泄露信息类型。 3.3第三季度数据泄露涉及行业广泛,金融、物流行业仍是重灾区 从行业分布来看,
