黑灰产情报周报是永安在线开通的新栏目,基于永安在线的业务安全情报平台及长期的黑灰产研究,旨在为风控从业者提供最新的行业趋势分析及动态。
本周热点
1
、某办公软件助力领会员活动攻击门槛低,该活动正在成为黑产免费推广自己的方式。
2
、近一周风险
IP
的平均存活天数为
1.83
天,在生命周期内该
IP
的所有行为都可确定为恶意的。
3
、本周有
80.53%
的恶意
IP
在其生存周期内由一个代理
IP
平台提供,质量较低的代理
IP
会出现在多个代理
IP
售卖平台,即大部分黑产攻击使用的是产业化带来的高质量代理
IP
,规模攻击中使用网络上免费代理
IP
的情况极少。
一、黑产作恶工具风险情报
1
、本周热点工具
——
某办公软件助力领会员,黑产免费推广自己的方式
在
2020
年
5
月份左右,某办公软件推出了
“
每日签到、分享助力得会员
”
的活动,每邀请一人可得一天会员,每天最高可邀请十人助力,
不限制新老用户,不限制每天助力次数,只需要参与一个月即可获得一年会员。
通过对助力工具原理分析,我们发现该类助力工具属于协议类工具,通过拼接不同的
sid
(该软件账号的
token
)到助力报文中即可完成助力行为,只需要
10
个
sid
每天即能完成助力要求,
攻击成本极低
。
实际黑产在该助力活动中,
“
销售战绩不佳
”
,助力收费价格一再下调,最后为了压榨活动的价值,开始在论坛、豆瓣小组、贴吧、群等渠道留下自己的微信助力机器人号,打着免费提供助力服务的口号为自己引流,扩大潜在客户群,为其他助力活动服务积攒客户源。
本次以国内手机号码前九位作为一个号段,探究黑产手机号段聚集率大于或等于
50%
的情况:
•
近一周号段聚集率为
50%
以上的号段共捕获
1831
个,共
121967
个手机号码。其中号段聚集率大于或等于
90%
的号段占比
5.62%
,共
103
个号段,
9594
个电话号码。对于这一部分号码推测这些黑产基本掌握了整个号段。
•
以下举例五个号段聚集率为
90%
以上的手机号段:
2
、近一周号段聚集率大于或等于
50%
的手机号段归属地
Top10
:
图
2-2
号段聚集率大于或等于
50%
的手机号段归属地
Top10
•
由近一周的数据可知,号段聚集率大于或等于
50%
的手机号段归属地以山东、北京、河南、河北为主;而广东、江苏、浙江则分别在第
8
位、
9
位、
10
位。这与黑
IP
刚好相反(黑
IP
归属地中,江苏、浙江、广东三地的黑
IP
总数均在前
5
),推测原因:
3
、近一周号段聚集率大于或等于
50%
的手机号段所属运营商
Top10
:
图
2-3
号段聚集率大于或等于
50%
的手机号段所属运营商
Top10
•
由近一周数据可知,号段聚集率大于或等于
50%
的手机号段运营商以虚拟运营商为主。
以近
7
天的数据为样本,统计可知:过半的黑
IP
存活天数仅为
1
天,存活天数为三天以上的黑
IP
占比仅为
12.07%
;另外,以
7
天为一个周期,通过计算可知,黑
IP
的平均存活天数为
1.83
天,虽然每个
IP
的存活时间不足
2
天,但是在生命周期内该
IP
的所有行为都可确定为恶意的。
2
、近一周,黑产作恶
IP
被多少个代理
(
或秒拨
)
平台使用过的情况统计
图
3-2
黑产作恶
IP
被多少个代理
(
或秒拨
)
平台使用情况
以存活天数为
1
天的黑
IP
为样本,统计
IP
在一天内被多少个代理平台(或秒拨平台)使用过。由统计结果可知,有
80.53%
的黑
IP
在其生存周期内只被一个代理(或秒拨)平台提供过,大部分黑产攻击使用的是产业化带来的高质量代理
IP
,规模攻击中使用网络上免费代理
IP
的情况极少。
3
、近一周,黑产作恶
IP
的
C
段聚集率统计:
从近一周的统计数据上看,有
18.21%
的黑产
IP
具有明显聚集在某些
C
段的特征,这说明这些
C
段的
IP
资源可能完全掌握在黑产资源商手中。
