导读:
2019年9月16日,网络安全宣传周在天津开幕,本次宣传周以"网络安全为人民,网络安全靠人民"为主题。
当前,我国网络空间安全问题异常严峻,个人隐私保护,网络诈骗,网络钓鱼,网络漏洞,恶意代码等问题突出,无时无刻不对人们的正常生产生活造成巨大威胁。
网络安全具有"水桶效应",从物理设备安全、行为安全、数据安全再到内容安全,每一个环节都是网络空间安全不可或缺的一部分。
随着近年来移动互联网的发展,产生了一大批内容平台,但因内容不合规,屡屡传出被下架、被关停的消息,由此可见,网络内容安全问题不容忽视,特别是以非法内容形成的黑色产业链应成为重点打击对象。
视频直播类黑产是指打着视频平台、直播平台的旗号,从事传播色情内容、传播恶意应用等非法内容并以此获利的黑色产业链。
这些黑色产业链条有成熟的运行机制,它们通过涉黄直播、淫秽视频、黄色小说、赌博游戏等内容来吸引用户,通过广告、用户充值消费、诱导用户赌博等手段来获取收益。
为了获取更大利益,有些平台使用录制的直播视频替代真正的主播以降低成本,有些赌博游戏的开奖结果则被牢牢控制。
不仅如此,通过这些非法平台,也催生出了大量的网络招嫖、网络赌博、网络诈骗等犯罪行为。
图1 直播间在线赌博
图
2
网络招嫖信息
通过对该类样本进行分析可知,该类样本主要由防止被封禁、获利、分享推广获取新用户三部分组成,其主要工作原理如图3所示。
图3 程序工作原理图
1. 代码保护
部分程序为了防止被反编译,采用了知名第三方产商的加固系统进行代码加固保护。
图4 程序代码加固保护示例1
图5 程序代码加固保护示例2
程序为了防止被封禁,不断更新升级。
图
6 程序频繁更新
程序为了防止被封禁,准备了大量的域名。
图7 程序更换备用域名
程序通过DNS解析,选择与用户连接条件最好的IP地址提供服务。
图8 DNS解析
部分程序中存在在线赌博内容,以“腾讯分分彩”游戏为例,该赌博游戏声称以QQ实时在线人数的末尾数为开奖结果,用户猜中可以获取到对应赔率的奖励。
图9 在线赌博游戏
通过代码分析可知,程序获取的开奖结果,并非来自QQ实时在线人数,而是由程序服务器下发,结果完全由服务器控制。
图10 程序访问服务器获取开奖结果代码
图11 程序解析服务器下发内容示例
三、黑色产业链分析
因为色情产业的暴利性质,催生了成熟的产业链,产业链各环节流程如图12所示。
图
12 黑色产业链流程图
1. 应用制作
该类程序为了降低开发成本,程序往往采用第三方或开源的直播框架、国外的在线客服系统(或使用QQ客服、邮箱客服等)、第四方支付系统、提前搭建好的服务器组成。
服务器大多架设在国外或者香港地区。
图13 直播框架分布图
图14 服务器站点地域分布图
该类程序往往通过小型应用商店、网盘、网页、论坛等方式获取首批用户,然后通过分享推广返利或招募代理的方式,吸引用户进行推广,企图实现裂变。
图15 应用推广传播
直播主播一般有“家族”和个人两种类型。
其中一个“家族”往往拥有多名主播,在多个平台开设直播,由管理员统一进行管理并从主播的收入中分成,个人主播需要单独通过客服进行实名认证。
图16 主播加入
4. 获利方式
投放广告是该类程序重要的获利途径之一,黑产团队往往有专门的广告客服进行接洽,广告形式主要是诱导用户点击,然后跳转至广告应用下载站点。
图17 从服务器获取广告位配置
广告内容五花八门,主要是一些非法的棋牌赌博APP、色情内容APP、彩票APP、VPN APP等类型的应用推广广告。
图18 投放的广告类型
除了普通的直播外,很多程序还提供了付费的直播形式,包括按观看时长收费、入场收费等多种形式。
图19 付费直播
在直播间内,主播会诱导观众进行打赏,当用户打赏到一定额度时,主播可以开启1对1的直播间或听从用户指示等福利。
图20 直播间打赏
程序对普通用户可以观看的视频等内容进行了限制,将一些更具诱惑的视频设置为VIP专属,诱导用户充值VIP。
图21 诱导充值VIP
程序还提供了各种道具,这些道具大多没有实际用途,在程序中相当于一种身份象征。
图22 购买虚拟道具
程序提供了在线赌博功能,提供多种类型的赌博形式,用户可以进行充值押注,但往往程序可以控制开牌结果。
图23 在线赌博
四、溯源追踪
过滤出的部分应用下载地址域名信息如下:
通过whois域名查询,可知该域名的联系人为路**,联系邮箱为chushoub***[email protected],该邮箱的拼音意为“出售备案域名”。
通过反查联系人和联系邮箱,分别可以查到17个和13315个域名,可以大致推断该域名目前属于第三方域名商。
通过whois域名查询,可知该域名的联系人为何**,联系邮箱为941***[email protected]。
联系邮箱对应的QQ号信息如下:
通过联系人反查和联系邮箱反查,分别可以查询到11个和12个域名,其中通过联系邮箱反查获取到域名如下:
可以看到其中有一个注册者为深圳市**科技有限公司,该公司的法定代表人为何**,该公司的基本信息如下图所示:
通过查询找到了该公司的联系邮箱为268***[email protected],电话号码为153***6439,QQ号和手机号均未能找到有效信息,该公司没有官网,注册地址为深圳市**区**工业八路**大厦*楼*05。
该域名当前为备案状态,备案号为赣ICP备17016885号 ,备案信息如下:
通过whois查询可知该域名的联系人为杨**,联系邮箱为domai***[email protected]。
通过联系人和联系邮箱可以分别反查到4256个和4245个域名,可以推测该域名目前应该属于第三方域名商。
过滤出的部分服务器域名:
使用邮箱前缀的手机号进行搜索,可以查找到改手机号绑定的支付宝账户,但是并未实名认证。
分别通过联系人和联系邮箱进行whois反查,可以分别查询到1643个和13个注册域名,在反查到的域名中,可以关联到大量的联系邮箱,以271***[email protected]为例,找到了邮箱对应的QQ号信息。
通过查看QQ空间可知,“刘*”应该是灰产从业人员,其储备了大量微博账号、互动号、聚美优品号等账号用于出售,推测其储备的大量域名也被用于出售。
通过whois域名查询,可知该域名的联系人为常*,联系邮箱为mobile_23ffa****[email protected],根据联系人和联系邮箱,未反查到其他信息。
访问该域名,发现该域名已经被标记为恶意网站,通过查询该域名的备案信息,可以获取到该网站的其他几个域名,域名信息如下:
这几个域名中大部分都不可访问,其中y***ui.cn可以访问,是一款名为“趣聊”的APP服务器,该应用未见其他恶意行为,其下载地址为http://yw***ou.cn/趣聊.apk。
通过查询备案信息,可知该网站主办单位为杭州**信息技术有限公司,负责人为周**,也是该公司的实际控制人,目前该公司已于2019年7月30日注销。
通过whois查询该域名的信息,可知其目前注册人为陈**,邮箱为626***[email protected],注册时间为2019年8月8日。
通过联系人反查和联系邮箱反查,我们可以查询到该注册人和注册邮箱被分别用于注册了379个和953个域名,其中联系人主要为陈**和陈**。
根据该QQ邮箱,可以找到该QQ号码的信息。
该QQ号码的空间因为被多名用户举报,已无法查看,但该QQ提供了另一个QQ号码826***060,该QQ号码是域名交易平台“**网”的业务QQ。
基于以上推断,域名xmj***hu.cn很可能实际控制者为“**网”,即广州**在线网络科技有限公司,为第三方域名商。
通过whois查询域名信息可知,该域名的联系人为贵州**劳务有限公司,联系邮箱为1144***[email protected]。
通过QQ账号可知,该域名也被域名商掌握,其网站为a**i.com.cn,电话为155***4772。
通过whois反查联系人和联系邮箱,可以分别查询到144个和264个域名,其中不乏有大量的已备案的域名。
通过whois查询域名可知域名联系人为胡**,联系邮箱为bei***[email protected]。
通过whois反查联系人和联系邮箱,可以分别查询到14个和3个域名,查询到的部分域名联系邮箱为444***[email protected],QQ信息如下:
通过whois域名查询到该域名的联系人为白水县**服装设计工作室,联系邮箱为339***[email protected]。
通过QQ空间的信息可以推测该QQ应该为直播平台的客服QQ,处理结算等事宜。
通过whois域名查询,查到该域名的联系人为刘**,联系邮箱为3454***[email protected]。
查询到的QQ账号信息为:
获取到的部分收款账户信息:
|
账户类别
|
收款账户
|
|
支付宝1
|
黄**(**福)
|
|
支付宝2
|
菲*(*红虎)
|
|
支付宝3
|
陈**
|
|
支付宝4
|
