|
【新朋友】点击标题下面蓝字「皮鲁安全之家」关注 【老朋友】点击右上角,分享或收藏本页精彩内容 |
文档下载链接:PDF https://551796.lt.yunpan.cn/lk/cE2yBgrwP4hn6
Word https://6dce2f.lt.yunpan.cn/lk/cE2y6madEmNEq
第一章 冰山一角
随着互联 的迅猛发展和规模不断扩大,计算机 络不仅在工业、银行、科研教育等各个领域发挥重要作用,而且与我们的日常出行、购物、娱乐、 交等生活密不可分。 络在给我们带来便利的同时,也让一些不法分子嗅到了金钱的味道,产生了诸如钓鱼 站、DDOS攻击、DNS劫持、 络流量作弊、恶意程序分发等等黑色产业链。
一、 异常流量
络流量监测作为计算机 络的基础部分,在互联 大数据下通过对流量曲线的检测和分析,可以在第一时间获取特定时期内的 络负载情况、负载变化情况,直观的评估 络环境的健康程度,对于发现 络流量中的异常行为,可以提早发现问题和 络威胁,组织防范或恢复措施,避免带来严重的问题和损失。
360烽火实验室8月底发现了三组异常流量曲线,流量曲线呈现存活时间短,连续3天此消彼长的态势,访问量集中最高峰值达到近2万次。
图1.1 异常流量曲线图
二、 可疑链接
我们通过持续关注和分析,发现了更多(只列举其中10个)存在相似行为的 络主机,并且发现了相似的URL链接。
这些可疑链接指向的文件均为名称具有诱惑性、图标暴露的色情播放器类恶意软件,并且链接都包含固定的“list/日期”格式。
三、 链接重定向
链接重定向[1]就是把一个URL重定向到另一个URL上去。重定向即是把一个目录或者文件的访问请求转发至另外一个目录或者文件,当用户发出相应的访问请求时将自动跳转到指定的位置,常见的重定向有301(永久重定向)及302(暂时重定向)两种。
图1.3 重定向示意图
每个独立的下载链接之间看似不相干,但实际上都是存在相互关联的。经过一段时间的观察,我们发现客户端在不同时间内请求同一个链接时,返回的重定向页链接是不同的,并且从抽取的流量包中还发现这些 络流量中所返回的Set-Cookie的值都有一个十分明显的固定特征“cdm=http”。这种链接重定向跳转机制导致出现了上面提到的大量可疑下载链接。
图1.4 请求同一链接重定向到不同的地址
四、 分发模式
(一) 分层
通过可疑下载链接的表现形式、利用的HTTP协议302码暂时重定向特性以及流量包中的固定特征“cdm=http”,我们关联出更多 络主机间的关系
图1.5 更多 络主机关系
它们之间关系表现为分层结构主要分为三层,中间层向上指向同一IP,向下指向多个下载链接,我们将上层命名为“IP层”,中层命名为“跳转层”,下层命名为“下载层”。
图1.6 三层结构
(二) 控制模型
从上面的实例分析,我们抽象出一个三层控制模型,通过控制模型实现对色情播放器类恶意软件的传播。
图1.7 三层控制模型
下载层:表现为链接每天频繁地变化,出现和消亡的周期短,短时间内访问集中爆发;
跳转层:表现为采用HTTP协议302码暂时重定向,灵活切换控制下载层,与下载层相比数量相对收敛;
IP层:表现为对跳转层的集中控制管理,与下载层和跳转层相比更为收敛,变化程度小。
第二章始作俑者
一、重要线索
我们通过 络流量的分析,在“mppay.net”域名下,发现了一个APK包的渠道分发状态后台。后台页面清楚得展示出400多个渠道编 、更新日期时间和对应的下载链接。
图2.1分发后台
页面分发的软件全部为色情播放器类软件归属与Trojan.Dropper.Android.FakeDebuggerd.B同一恶意家族,并且分发的软件每天都在更新,我们选取了一段时间内下载的软件进行了统计,其中包括“91爱妹视频”、“成人i影院”、“91爱色院线”等等。
图2.2 分发后台下载统计
“mppay.net”域名的备案信息显示, 站名称为“安卓图片”,注册人为汤某,官 地址为“www.mppay.net”。
图2.3 备案信息
图2.4辉煌国泰 页
官 看似正常,但是我们发现几个细节比较可疑。首先,官 名称为“辉煌国泰”主要销售车载多媒体与备案名称信息不符;其次,官 所有的链接都为无效链接点击无效,并且在 页源码中我们发现“saved from url=(0038)http://www.xinpinhang.com/cn/index.php”
图2.5辉煌国泰 页源码
这个链接指向另一个名为“鑫品航电子”的 站,这个 站的链接跳转正常。“辉煌国泰”与“鑫品航电子”两个 站从架构到内容都高度相似。“辉煌国泰”仿冒他人 站内容作为掩护,实际上背后是色情播放器类恶意软件的分发平台。
图2.6鑫品航电子 页
通过数据查询,汤某还注册了多个域名,我们发现其他几个也都是一些仿冒 站,域名下存在管理后台暗中推广色情播放器类恶意软件行为。
图2.7 域名注册信息
二、 产业链
(一) 制作
1. 恶意模块集成
开发者利用一些Root Exploit SDK部署恶意模块,从而达到窃取隐私、恶意扣费、静默安装等多种恶意行为。
图2.8 寻求Root SDK合作
2. 免杀
开发者不仅在软件名称、包名、签名进行混淆,还对代码进行加固保护,试图绕过杀软的查杀策略,达到免杀目的。
图2.9 Android木马逃逸术-软件名称混淆[2]
3. 视频教程
上还有一些教授如何制作下载页面后台和替换下载链接的视频教程。
图2.10 制作视频教程
4. 申请支付ID
开发者为了牟取暴利,在软件中还会集成支付插件,支付插件需要申请支付ID,一般申请条件分为:
为了申请的代价低,开发者一般会选用支持个人申请的支付插件进行嵌入。
(二) 传播
经过我们调查,色情播放器类恶意软件背后的产业链主要由开发者、广告主、广告联盟和 站主四部分组成,他们之间的运作方式如下:
图2.11 运作方式示意图
开发者将制作的恶意软件提供给广告主;
广告主负责寻求推广资源;
站主负责接收推广任务;
广告联盟作为广告信息发布平台,将广告主的需求和 站主的资源联系在一起,负责恶意软件的投放并且管理分发统计后台,将推广数据提供给广告主查看。
1. 广告联盟
广告联盟在整个产业链运作中扮演着重要的角色,成为色情播放器类恶意软件的背后推手。
图2.12广告联盟 页推荐色情播放器软件
图2.13 火爆TV推广联盟页面
2. 投放途径
1) 页诱导
利用诱惑的 站信息,诱导用户主动点击链接触发。
图2.14 以预览图的方式诱惑点击链接
2) 页挂马
在页面中嵌入java代码,在页面被访问时弹框下载
图2.15 页面嵌入的恶意链接
3) 广告推广
在APP中植入广告,通过联 控制的方式进行展现推广。
图2.16 APP请求广告内容
4) APP捆绑
在APP代码中直接嵌入链接,后台私自下载,捆绑安装。
图2.17 捆绑在其他软件中
5) 论坛
在论坛上使用一些吸引人的字眼和贴图,欺骗点击量。
图2.18 投放到论坛中
6) 热门影视
图2.19 投放到热门影视的信息中
3. 控制模型的利用
以 页挂马方式投放的链接“hxxp://vi.junm*.com/A627_kCFfNGrE”为例,该链接会通过302码进行重定向到实际的下载链接。
图2.20使用控制模型传播
从我们抽取的页面链接看,投放的链接一般处于控制模型的跳转层,访问后会重定向到真实的下载链接,所以在不同时间内,同一链接可以重定向到多个下载链接,灵活控制下载的恶意软件。
4. 逃避审查
色情 站一直是有关部门的重点打击对象,在Symbian手机时代通过切换手机 络接入点,造成访问同一个 址在PC上显示正常,而手机访问是色情 站,逃避审查的目的。
进入Android和IOS手机时代,我们发现主要是通过检查浏览器UA标识来逃避审查。
图2.21电脑访问
图2.22 Android(左)和iPhone(右)访问
(三) 收益
图2.23 资金流向示意图
1. 明扣:诱惑充值
图2.24 用户投诉案例[3]
2. 暗扣:恶意扣费
图2.25 扣费包宣传页面
3. 每日收益
图2.26 每笔25元
图2.27 一些渠道每日的收益
图2.28 每笔收入28到38元
图2.29 支付记录
4. 产业链规模
2016年全年360烽火实验室捕获色情播放器类恶意软件超过800万,平均每天捕获超过2万余个。
图2.30 2016年每月新增数量统计
在移动平台上,抽取了一周色情链接访问情况。色情链接一周的访问流量高达830万余次,以此估算平均每天访问接近120万次。
图2.31 色情链接一周访问流量统计
三、 组织画像
(一) 开发者
开发者即产品的设计制作人员,不仅要具备正常研发人员的设计、编码和测试能力,还要了解杀软的查杀策略,具备一定的免杀技术。
图像处理软件能力:通过专业的图像处理,针对典型的色情播放器类恶意软件设计诱惑图标内容,达到吸引用户安装的目的;
编码能力:具备一定的语言编码调试能力,能够在不同的编译环境下使用;
开源代码利用能力:具备利用一些开源的漏洞利用代码,并且还能够集成一些恶意广告的SDK的能力;
免杀能力:能够分析或猜测杀软查杀原因,通过基础信息混淆和核心代码保护的方式,试图绕过杀软查杀特征;
掌握色情 站资源:用试看的方式诱导用户进行付费;
搭建服务器能力:用来测试和存储研发的软件;
图2.32 开发者画像
(二) 广告主
广告主即广告信息的发布者,希望通过发布 络广告来推广自己的 站、产品或服务,并为承担相关法律责任的法人。广告主在广告平台发布广告信息,并按照所发布的广告的总数量及单位价格向广告平台支付广告费用。
掌握推广软件资源:作为软件的推广基础;
掌握广告联盟资源:作为软件的推广去向,影响软件的推广效果;
有一定的经济基础:需要钱来维持整个推广的运作;
具备数据统计分析能力:能够分析衡量钱和推广效果的转化率;
具备议价能力:了解行业内的推广价格,进行合理的金钱投入。
图2.33 广告主画像
(三) 站主
站主是广告交易双方的其中一方,即 站的拥有者,具有修改、新增、删除 站内容的权力,并承担相关法律责任的法人。在自已 站上投放广告主的广告后,并按照平台规定通过本平台收取佣金。
掌握广告联盟资源:作为 站挣钱的方式之一,影响着 站主的收益;
域名管理能力:在维持 站正常运行的同时,能够提供后台页面,方便进行分发、统计;
域名注册资源: 站主名下有多个域名;
访问流量基础:针对搜索引擎进行了SEO优化,有一定的访问量。
图2.34 站主画像
第三章 追根溯源
在调查整个产业链的过程中,我们从众多广告联盟中发现了 “北辰互联”、“7540流量联盟”和“常德中旭”这三家广告联盟。从表面上看这三家公司相互独立没有任何关联,但是通过对其流量数据的分析发现,他们之间“相互推广,合作共赢”,这也是色情播放器类恶意软件产业规模庞大的一个原因。
一、 北辰互联
www.8782.net是北辰互联的官方地址,表面看上去是一家普通的广告联盟平台。从备案信息看是一家在贵州备案的个人 站。
图3.1 北辰互联官
图3.2 北辰互联 站备案信息
通过对8782.net域名下数据流量的分析,发现其一直在推广色情播放器类恶意软件,涉及软件数量高达108万余个,下面列举了涉及的软件前10个恶意软件名称。
图3.3 北辰互联推广恶意软件Top10
二、 7540流量联盟
www.7540.net是7540流量联盟的官方地址,表面看上去是一家普通的广告联盟平台。从备案信息看是一家在江西备案的企业 站。
图3.4 7540流量联盟官
图3.5 7540流量联盟 站备案信息
通过对7540.com域名下数据流量的分析,发现其一直在推广色情播放器类恶意软件,涉及软件数量高达134万余个,下面列举了涉及的软件前10个恶意软件名称。
图3.6 7540流量联盟推广恶意软件Top10
三、 中旭
www.zhxone.com是中旭 的官方地址,表面看上去是一家普通的广告联盟平台。从备案信息看是一家在浙江备案的个人 站。
图3.7 中旭 备案信息
通过对zhxone.com域名下数据流量的分析,发现其一直在推广色情播放器类恶意软件,涉及软件数量高达358万余个,下面列举了涉及的软件前10个恶意软件名称。
图3.8 中旭 推广恶意软件Top10
另外在其流量中发现类似hxxp://coco.zhxone.com/tools/datatools的访问链接会下载Root Exploit文件
图3.9杀软 毒情况
四、 关系揭露
(一) 北辰互联与中旭
从流量发送和接收的数据看,我们发现北辰互联推广中旭 ,两个域名下推广的软件交集部分到达76万余个色情播放器类恶意软件。
图3.10 北辰互联推广中旭
图3.11 北辰互联与中旭 推广交集
从DNS解析角度看,tools.8782.net与tools.zhxapp.com还有tools.haidianyun.com曾经被同一IP解析,而zhxapp.com和haidianyun.com下均存在包含“/tools/datatools”特征片段的链接,与coco.zhxone.com/tools/datatools链接片段一致。
图3.12 DNS解析关系图
(二) 北辰互联与7540流量联盟
从流量请求和响应的数据看,我们发现7540流量联盟推广北辰互联,两个域名下推广的软件交集部分到达16万余个色情播放器类恶意软件。
图3.13北辰互联与7540流量联盟推广交集
另外,从两个 站的官 页面看, 站的样式、字体、配色、图标以及描述几乎完全一致,搭建的 站疑似采用同一套源代码。
图3.14 北辰互联(左)与7540流量联盟(右) 页对比
(三) 小结
这三家公司虽然在备案信息中毫无联系,但是结合上面我们发现的他们之间的几点关系,不难推测它们之间可能有合作关系,甚至背后可能为同一公司, 站只是作为掩护的一个空壳。
广告联盟作为色情播放器类恶意软件传播中的联系平台,并不是相对独立,而是多个广告联盟呈现上下游的协同合作,导致传播的规模更大范围更广。
第四章 总结
一、 趋势
以色情播放器类恶意软件产业链视角看移动平台流量黑产的趋势,主要表现在传播手段、变现方式、技术特点、攻击对象和资源实力五个方面。
(一) 传播手段
从传播手段看,传统木马主要依靠应用市场进行传播,而色情播放器类恶意软件主要通过 站链接和私自下载等 络流量的方式传播,这种传播方式表现为存活周期短,短时间内集中爆发。
(二) 变现方式
从变现方式看,这类恶意软件主要以诱导充值、恶意扣费和广告推广为盈利手段,大多数广告联盟都是以日结的方式,使得产业链中的各个角色变现方式更快、更容易。
(三) 技术特点
从技术特点看,这类恶意软件为了保证留存率,大部分色情播放器类恶意软件都带有Root模块,并且释放部署多个的恶意文件相互保护,从而获得对手机完全控制权限,难以彻底清除;另外,为了躲避追踪和查杀,这部分恶意软件变化速度快,与安全软件之间有极强的对抗性。
(四) 攻击对象
从攻击对象看,这类恶意软件擅长掌握人的需求,一些禁不住诱惑的人最容易中招。我们从用户反馈中了解到除了一部分用户是被动中招外,还有一部分用户是主动安装。甚至明知安全软件检测出威胁,仍然选择无视这些警告信息,导致出现财产损失等一系列安全问题。
(五) 资源实力
在2016年ISC大会上我们以《”企业级”恶意程序开发者搅局移动安全》[4]为题,深度介绍了企业团队在技术深度、传播方式和传播影响力上的优势。从资源实力看,这类恶意软件拥有人、钱、关系三种资源实力,在整个产业链运作中,从开发的技术水平、广告联盟的渠道、资金的运转、软件的迭代对抗速度以及完善的自动化批量打包后台,处处都体现出其背后的企业模式。
二、 监管
(一) 政策监管
络淫秽色情活动猖獗,一直是我国严厉打击的对象。全国“扫黄打非”办公室日前公布的“净 2016”专项行动成果[5],受到广泛关注。截至11月底,各地共清理处置淫秽色情等 络有害信息327万余条,查处、关闭违法违规 站2500余家,查办 络“扫黄打非”案件862起,全国“扫黄打非”办公室挂牌督办重点案件66起。
我国刑法有关法律法规[6]:
第三百六十三条:以牟利为目的,制作、复制、出版、贩卖、传播淫秽物品的,处三年以下有期徒刑、拘役或者管制,并处罚金;情节严重的,处三年以上十年以下有期徒刑,并处罚金;情节特别严重的,处十年以上有期徒刑或者无期徒刑,并处罚金或者没收财产。
第三百六十四条:传播淫秽的书刊、影片、音像、图片或者其他淫秽物品,情节严重的,处二年以下有期徒刑、拘役或者管制。组织播放淫秽的电影、录像等音像制品的,处三年以下有期徒刑、拘役或者管制,并处罚金;情节严重的,处三年以上十年以下有期徒刑,并处罚金。制作、复制淫秽的电影、录像等音像制品组织播放的,依照第二款的规定从重处罚。向不满十八周岁的未成年人传播淫秽物品的,从重处罚。
(二) 会监管
(三) 技术监管
针对 络淫秽色活动,从技术监管角度应该加强对 站内容的审查,提高对 络淫秽色内容的检测识别能力,从制作、传播、存储等多层面进行查杀、封停和清理。多层面协同联动,有力打击违法犯罪行为,切实净化 络文化环境。
引用
[1] URL重定向:
[2]Android逃逸技术汇编:
[3]绝美影院反复充值,不能使用,全额退款:
[4] 《ISC 2016 移动安全发展论坛》—— 陈宏伟:”企业级”恶意程序开发者搅局移动安全:
[5]“净 2016”专项行动取得明显成效:
[6]中华人民共和国刑法(节选):
360烽火实验室
|
回复 |
获得以下图文等信息 |
|
论坛 |
可进入微论坛畅谈 |
|
任意 |
官方机器人陪聊 |
|
首页 |
查看技术文档(逐步更新中) |
|
留言 |
进入留言板 |
|
相册 |
国内外大牛真容 声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!
海能达无线对讲巡更系统管理软件
上一篇
2017年1月3日
混录天王一个神奇软件
下一篇
2017年1月3日
|