騰訊安全：《2018上半年互聯(lián)網(wǎng)黑產(chǎn)研究報告》（全文）

【計算機論文】騰訊安全：《2018上半年互聯(lián)網(wǎng)黑產(chǎn)研究報告》（全文）

(電子商務研究中心訊)序言病毒木馬的演變史，就是一部互聯(lián)網(wǎng)黑產(chǎn)演變史。病毒木馬從最初的以炫技為目的，逐步過渡到與利益相關：哪里有流量，哪里能夠獲利，哪里便會有黑產(chǎn)聚集。2018年，伴隨移動應用的影響力超過電腦應用，主要互聯(lián)網(wǎng)黑產(chǎn)也遷移到手機平臺。騰訊安全反詐騙實驗室觀測數(shù)據(jù)表明，以持續(xù)多年的暗扣費黑產(chǎn)、惡意移動廣告黑產(chǎn)、手機應用分發(fā)黑產(chǎn)、App推廣刷量黑產(chǎn)為典型，這些移動端的互聯(lián)網(wǎng)黑產(chǎn)，給用戶和軟件開發(fā)者帶來了巨大的經(jīng)濟損失。同時，2018年是區(qū)塊鏈大年，幾乎所有的新興產(chǎn)業(yè)，都繞不開區(qū)塊鏈這個關鍵詞。與之相應，2017年下半年至今，互聯(lián)網(wǎng)病毒木馬的主流也都圍繞區(qū)塊鏈、比特幣、以太坊、門羅幣而來。由于比特幣具備交易不便于警方追查的特性，全球范圍內(nèi)的黑市交易，大多選擇比特幣充當交易貨幣。由比特幣等數(shù)字貨幣引發(fā)的網(wǎng)絡犯罪活動繼續(xù)流行，挖礦木馬成為了2018年影響面最廣的惡意程序。對于挖礦而言，除了大規(guī)模投入資本購買礦機自建礦場，黑產(chǎn)的作法是控制盡可能多的肉雞電腦組建僵尸網(wǎng)絡進行挖礦。而僵尸網(wǎng)絡除了可以挖礦牟利，控制肉雞電腦執(zhí)行DDoS攻擊也是歷史悠久的黑產(chǎn)贏利模式之一。為此，騰訊安全聯(lián)合實驗室整理了2018年上半年互聯(lián)網(wǎng)黑產(chǎn)攻擊數(shù)據(jù)和發(fā)展現(xiàn)狀，分別從移動端和PC端兩個方面詳細解讀黑色產(chǎn)業(yè)鏈的具體特征、攻防技術和發(fā)展態(tài)勢，為大家揭開互聯(lián)網(wǎng)黑產(chǎn)的面紗。一、移動端黑產(chǎn)規(guī)模宏大，惡意推廣日均影響用戶超千萬2018年上半年，手機病毒類型多達幾十種，大部分病毒都屬于資費消耗、惡意扣費和隱私獲取這三種類型，占比分別為32.26%、28.29%和20.40%。此外，手機病毒的功能日益復雜化，一款病毒往往兼具多種特性和惡意行為。4月初騰訊TRP-AI反病毒引擎曾捕獲一款名為“銀行節(jié)日提款機”的惡意木馬，偽裝成正常的支付插件，在用戶不知情的情況下，私自發(fā)送訂購短信，同時上傳用戶手機固件信息和隱私，給用戶造成資費損耗和隱私泄露。1.四大主流黑產(chǎn)鏈條1.1暗扣話費黑產(chǎn)：日掠奪千萬的“搶錢”產(chǎn)業(yè)鏈暗扣話費是非常古老的互聯(lián)網(wǎng)黑產(chǎn)。大部分用戶會預充值一些話費用于支付套餐的消耗，平時也很少再關注話費，實際上，這些預存的話費余額還可以用來訂閱各種增值服務。移動黑產(chǎn)正是利用這一點，串通利益共同體一起竊取用戶話費余額并牟取暴利。據(jù)騰訊安全反詐騙實驗室數(shù)據(jù)顯示，每天互聯(lián)網(wǎng)上約新增2750個左右的新病毒變種，偽裝成各種打色情擦邊球的游戲、聊天交友等應用誘導用戶下載安裝。此類手機惡意應用每天影響數(shù)百萬用戶，按人均消耗幾十元話費估算，日掠奪話費金額數(shù)千萬，可謂掘金機器。受暗扣話費影響的最多的省份有廣東、河南、江蘇等地。騰訊安全反詐騙實驗室研究發(fā)現(xiàn)，此類黑產(chǎn)以稀缺的SP提供商為上游，SDK根據(jù)掌握的不同SP資源開發(fā)相應的SDK，并將這些SDK植入到偽裝成色情、游戲、交友等容易吸引網(wǎng)民的應用中。實現(xiàn)暗扣話費變現(xiàn)后，利潤通過分成的方式被整個產(chǎn)業(yè)鏈瓜分。此類黑產(chǎn)核心的扣費SDK開發(fā)團隊大概有20家左右，主要分布在北京、深圳、杭州等地。據(jù)騰訊安全反詐騙實驗室觀測，暗扣話費的手機惡意軟件的影響近期又呈增長之勢。1.2廣告流量變現(xiàn)：九大家族控制數(shù)百萬廣告流量牟取暴利當前中國網(wǎng)民對手機應用中廣告的態(tài)度整體較為寬容，國內(nèi)消費者為應用付費的習慣尚待養(yǎng)成，正規(guī)的軟件開發(fā)者同樣需要通過廣告流量來獲利收益。然而，某些內(nèi)置于各類應用中的惡意廣告聯(lián)盟，主要通過惡意推送廣告進行流量變現(xiàn)的形式來牟利，平均每天新增廣告病毒變種257個，影響大約676萬的巨大用戶群。這些惡意廣告聯(lián)盟推送的廣告，內(nèi)容更加無底線，在某些時候突然推送出色情擦邊球應用、博彩甚至手機病毒也不足為奇。騰訊安全反詐騙實驗室的監(jiān)測數(shù)據(jù)表明，越是經(jīng)濟發(fā)達的地區(qū)，惡意廣告流量變現(xiàn)的情況也越發(fā)嚴重。珠三角、長三角、京津冀遭受惡意廣告流量的影響遠大于全國其他區(qū)域。1.3手機應用分發(fā)黑產(chǎn)：沉默但不簡單的地下軟件分發(fā)渠道在應用市場競爭日益激烈的情況下，軟件推廣的成本也在升高。一些初創(chuàng)公司較難在軟件推廣上投入大量成本，部分廠商便找到了相對便宜的軟件推廣渠道：通過手機應用分發(fā)黑產(chǎn)，采用類似病毒的手法在用戶手機上安裝軟件。據(jù)騰訊安全反詐騙實驗室監(jiān)測數(shù)據(jù)顯示，軟件惡意推廣地下暗流整體規(guī)模在千萬級上下，主要影響中低端手機用戶。例如部分用戶使用的手機系統(tǒng)并非官方版本，經(jīng)常會發(fā)現(xiàn)手機里莫名其妙冒出來一些應用，這就是地下軟件黑產(chǎn)的杰作。通過手機惡意軟件后臺下載推廣應用，是手機黑產(chǎn)的重要變現(xiàn)途徑。騰訊安全反詐騙實驗室的研究數(shù)據(jù)表明，手機惡意推廣的病毒變種每天新增超過2200個，每天受影響的網(wǎng)民超過1000萬。1.4App刷量產(chǎn)業(yè)鏈：作弊手段騙取開發(fā)者推廣費為了將自己開發(fā)的手機應用安裝在用戶手機上，軟件開發(fā)者會尋找推廣渠道并為此付費。一部分掌握網(wǎng)絡流量的人，又動起歪腦筋：利用種種作弊手段去虛報推廣業(yè)績，欺騙軟件開發(fā)者。根據(jù)騰訊安全反詐騙實驗室對App刷量產(chǎn)業(yè)鏈的研究，該產(chǎn)業(yè)鏈主要有三個階段：第一階段：機刷時代(模擬刷、群控)前期通過模擬器模擬出大量手機設備偽裝真實用戶，隨著對抗后期則主要通過購買部分真實手機設備通過群控系統(tǒng)來實現(xiàn)。模擬器易被檢測，群控規(guī)模有限，加上開發(fā)商對抗技術的升級，該模式逐漸沒落，刷量產(chǎn)業(yè)和開發(fā)者也處于長器的博弈之中。第二階段：眾籌肉刷常常以手機做任務就可以輕松賺錢為噱頭吸引用戶入駐平臺，用戶可以通過APP提供的各種任務來獲取報酬，比如安裝某個應用玩十分鐘可以獲取一塊錢。然而這些平臺由于失信太多，騙用戶做任務又不愿意付費，導致愿意參與此類游戲的網(wǎng)友數(shù)量越來越少，模式已逐漸消亡。第三階段：木馬技術自動刷量人工刷量需要大量的真實用戶帳號，或者較多的設備，還得人肉操作，導致效率較低。2018年有一批聰明的開發(fā)商已經(jīng)開始布局木馬自動刷量平臺。木馬SDK通過合作的方式植入到一些用戶剛需應用中進行傳播，然后通過云端控制系統(tǒng)下發(fā)任務到用戶設備中自動執(zhí)行刷量操作。2.三大新興攻擊手段2.1黑產(chǎn)利用加固技術進程在加速加固技術開發(fā)的本來目的是用于保護應用核心源代碼不被竊取，隨著病毒對抗的不斷提升，越來越多的病毒應用開始采用加固來保護自己的惡意代碼不被安全軟件發(fā)現(xiàn)。目前國內(nèi)外有很多成熟的加固方案解決廠商，這些廠商存在很多先進的加固技術和較完善的兼容性解決方案，但是這些方案解決商的這些優(yōu)點正成為黑產(chǎn)很好的保護傘。根據(jù)騰訊安全反詐騙實驗室的數(shù)據(jù)顯示，進入2018年以后利用這些知名加固解決方案的病毒應用正在快速增加。從病毒家族的維度看，社工欺詐類、惡意廣告類、色情類、勒索類等對抗更激烈的病毒家族更喜歡使用加固技術來保護自己。2.2黑產(chǎn)超級武器云加載進入3.0時代隨著惡意應用開發(fā)商與安全廠商的攻防日趨激烈和深入，惡意軟件的開發(fā)者傾向于使用將惡意代碼隱藏在云服務器并采用云端控制的方式下發(fā)惡意功能，最終通過本地框架進行動態(tài)加載來達到最佳隱藏惡意行為的效果，云加載技術是目前對抗傳統(tǒng)安全軟件最好的對抗手段。根據(jù)騰訊安全反詐騙實驗室大數(shù)據(jù)顯示，目前使用動態(tài)加載技術的應用中，接近一半都是病毒。云加載技術正在成為病毒開發(fā)者最喜歡的攻擊手段，色情、惡意應用分發(fā)、游戲暗扣等最賺錢的病毒家族，普遍標配云加載攻擊技術來實現(xiàn)利益最大化。該技術在病毒黑產(chǎn)中的作惡特點是：剝離惡意代碼封裝成payload，客戶端上傳特定的信息流交由云服務器控制是否下發(fā)執(zhí)行payload功能，下發(fā)的代碼最終在內(nèi)存中加載執(zhí)行，惡意代碼可及時清理并保證惡意文件不落地，防止傳統(tǒng)安全客戶端感知。騰訊安全專家把這種利用技術成為“云加載”技術。近年來，隨著開發(fā)人員對Android系統(tǒng)架構和動態(tài)加載技術的理解的深入，各種代碼熱更新方案和插件化框架被發(fā)明并且免費開源，為病毒技術開發(fā)者實施云控作惡提供了技術基礎，云控技術已經(jīng)成為絕大多數(shù)高危木馬的標配，騰訊安全反詐騙實驗室近期也發(fā)現(xiàn)了若干使用云控技術的病毒家族。云加載技術目前已經(jīng)更新到3.0版本，該版本框架病毒開發(fā)者不僅可以通過地域、運營商、機型、設備等維度限制感染用戶群，還能利用VA等虛擬加載技術徹底剝離惡意代碼，通過一個白框架來按需加載擴展各種惡意功能，普通安全廠商很難再捕獲到病毒的惡意行為。2.3黑產(chǎn)滲透更多的供應鏈，供應鏈安全風險加劇回顧整個Android應用供應鏈相關的重大安全事件可以發(fā)現(xiàn)，針對供應鏈攻擊的安全事件在用戶影響、危害程度上絕不低于傳統(tǒng)的惡意應用和針對操作系統(tǒng)的0day漏洞攻擊，騰訊安全專家研究發(fā)現(xiàn)針對Android應用供應鏈的攻擊的呈現(xiàn)以下趨勢：1）針對供應鏈下游（分發(fā)環(huán)節(jié)）攻擊的安全事件占據(jù)了供應鏈攻擊的大頭，受影響用戶數(shù)多在百萬級別，且層出不窮。類似于XcodeGhost這類污染開發(fā)工具針對軟件供應鏈上游（開發(fā)環(huán)境）進行攻擊的安全事件較少，但攻擊一旦成功，卻可能影響上億用戶。2）第三方SDK安全事件和廠商預留后門也是Android供應鏈中頻發(fā)的安全事件，這類攻擊大多采用了白簽名繞過查殺體系的機制，其行為也介于黑白之間，從影響用戶數(shù)來說遠超一般的漏洞利用類攻擊。3）從攻擊的隱蔽性來講，基于供應鏈各環(huán)節(jié)的攻擊較傳統(tǒng)的惡意應用來說，隱蔽性更強，潛伏周期更久，攻擊的發(fā)現(xiàn)和清理也都比較復雜。4）針對供應鏈各環(huán)節(jié)被揭露出來的攻擊在近幾年都呈上升趨勢，在趨于更加復雜化的互聯(lián)網(wǎng)環(huán)境下，軟件供應鏈所暴露給攻擊者的攻擊面越來越多，并且越來越多的攻擊者也發(fā)現(xiàn)針對供應鏈的攻擊相對針對應用本身或系統(tǒng)的漏洞攻擊可能更加容易，成本更低。二、PC端黑色產(chǎn)業(yè)鏈日趨成熟，攻擊更加精準化1.勒索病毒解密產(chǎn)業(yè)鏈，對企業(yè)及公共機構造成嚴重威脅2018年，大量企業(yè)、政府機關和公共服務機構由于遭遇勒索病毒，生產(chǎn)系統(tǒng)數(shù)據(jù)被加密破壞，重要業(yè)務系統(tǒng)陷入崩潰。勒索病毒攻擊者利用各種手段嘗試入侵重要機構網(wǎng)絡系統(tǒng)，例如通過弱口令漏洞入侵企業(yè)網(wǎng)站，再將企業(yè)Web服務器作為跳板，滲透到內(nèi)網(wǎng)，然后利用強大的局域網(wǎng)漏洞攻擊工具將勒索病毒分發(fā)到內(nèi)網(wǎng)關鍵服務器，將企業(yè)核心業(yè)務服務器、備份服務器數(shù)據(jù)加密。病毒一旦得手，企業(yè)日常業(yè)務立刻陷于崩潰狀態(tài)，關鍵業(yè)務因此停擺。如果企業(yè)網(wǎng)管發(fā)現(xiàn)連備份系統(tǒng)也一樣被破壞了。那基本只剩下一條路：繳納贖金。眾所周知，勒索病毒的加密技術是高強度的非對稱加密，除非得到密鑰，解密在理論上都是不可能的。正因為如此，騰訊御見威脅情報中心監(jiān)測發(fā)現(xiàn)了這個不為人知的奇葩產(chǎn)業(yè)鏈：勒索病毒解密產(chǎn)業(yè)鏈。該產(chǎn)業(yè)鏈的從業(yè)者甚至通過購買搜索引擎關鍵字廣告來拓展業(yè)務。當受害企業(yè)尋求解決辦法時，正規(guī)的安全廠商往往會回復，“沒有備份數(shù)據(jù)就找不回來了”。而受害企業(yè)通過互聯(lián)網(wǎng)上的方法尋找到的解密服務商，這些人充當了受害企業(yè)聯(lián)系勒索病毒傳播者的中介，相對受害企業(yè)，更熟悉虛擬數(shù)字幣的交易，在一番討價還價之后，代理受害企業(yè)買回解密密鑰，從而解密數(shù)據(jù)。某些情況下，亦不能排除負責解密的中介機構，是否和勒索病毒傳播者之間存在某些聯(lián)系。除此之外，勒索病毒傳播鏈本身也有專業(yè)分工，有人負責制作勒索病毒生成器，交給有網(wǎng)站資源的人分發(fā)，各方參與利益分成。2.控制肉雞挖礦產(chǎn)業(yè)鏈，游戲外掛成挖礦木馬“重災區(qū)”去年年底，溫州市區(qū)一家公司的網(wǎng)站被惡意攻擊，網(wǎng)警梳理線索時，發(fā)現(xiàn)犯罪嫌疑人徐某有重大嫌疑，經(jīng)過調(diào)查，警方果然發(fā)現(xiàn)一個利用漏洞安裝挖礦木馬的犯罪團伙。該團伙有12名成員，利用漏洞攻擊別人電腦，獲利控制權之后，植入挖礦木馬。專案組查明，這一團伙共租賃20余臺服務器遠程控制了5000余臺“肉雞”，非法挖礦1000余枚門羅幣等數(shù)字貨幣（價值約60余萬元）。無獨有偶，2017年底，騰訊電腦管家通過安全大數(shù)據(jù)監(jiān)測發(fā)現(xiàn)，一款名為“tlMiner”的挖礦木馬在2017年12月20日的傳播量達到峰值，當天有近20萬臺機器受到該挖礦木馬影響。此次發(fā)現(xiàn)的“tlMiner”挖礦木馬，植入在“吃雞”游戲（steam版絕地求生）外掛“吃雞小程序”中。由于“吃雞”游戲?qū)﹄娔X性能要求較高，黑產(chǎn)團伙瞄準“吃雞”玩家、網(wǎng)吧的高配電腦，搭建挖礦集群。騰訊電腦管家團隊立即配合守護者計劃將該案線索提供給警方，協(xié)助山東警方于2018年3月初立案打擊“tlMiner”木馬黑產(chǎn)。據(jù)分析，“tlMiner”木馬作者在“吃雞”游戲外掛、海豚加速器（修改版）、高仿盜版騰訊視頻網(wǎng)站（）、酷藝影視網(wǎng)吧VIP等程序中植入“tlminer”挖礦木馬，通過網(wǎng)吧聯(lián)盟、QQ群、論壇、下載站和云盤等渠道傳播。騰訊電腦管家安全團隊繼續(xù)加深對挖礦木馬黑產(chǎn)鏈條的研究，協(xié)助警方深挖，進一步分析挖掘到木馬作者上游：一個公司化運營的大型挖礦木馬黑色產(chǎn)業(yè)鏈。4月11日，警方在遼寧大連一舉查封該挖礦木馬黑產(chǎn)公司。該公司為大連當?shù)馗咝录夹g企業(yè)，為非法牟利，搭建木馬平臺，招募發(fā)展下級代理商近3500個，通過網(wǎng)吧渠道、吃雞外掛、盜版視頻軟件傳播投放木馬，非法控制用戶電腦終端389萬臺，進行數(shù)字加密貨幣挖礦、強制廣告等非法業(yè)務，合計挖掘DGB（極特幣）、HSR（紅燒肉幣）、XMR（門羅幣）、SHR（超級現(xiàn)金幣）、BCD（比特幣鉆石）、SIA（云儲幣）等各類數(shù)字貨幣超過2000萬枚，非法獲利1500余萬元。3.DDoS攻擊技術不斷演進，團伙作案趨勢明顯DDoS攻擊在分工上由工具開發(fā)者向人員多維化發(fā)展，也出現(xiàn)了技術、銷售、渠道等分工，在DDoS攻擊產(chǎn)業(yè)鏈中一般稱為接發(fā)單人、擔保商、肉雞商、攻擊軟件開發(fā)人員等。隨著DDoS的新技術不斷的被挖掘出來，DDoS攻擊正在規(guī)?；?、自動化、平臺化的發(fā)展。由于DDoS在技術與平臺上始終是站在互聯(lián)網(wǎng)的最前沿，往往我們看到一個峰值的出現(xiàn)，便是互聯(lián)網(wǎng)的一場災難。每一個攻擊類型的出現(xiàn)或每一個攻擊類型的技術的更新，都是一場攻擊者的狂歡，例如今年的Memcached反射放大攻擊，不僅僅在技術上達到了5萬倍的反射放大效果，而且在流量上更是達到了1.7Tbps的峰值效果。1）DDoS的攻擊類型SYNFlood做為早期的攻擊類型，占比近20%，主要原因是其攻擊效果有良好的穿透力，無論是在攻擊服務器，還是中間的基礎網(wǎng)絡設施上，都能在到良好的效果。同樣UDPFlood以其數(shù)據(jù)包構造靈活的特點仍占有大量比重。占比最大的是排名第一的反射放大攻擊（占比60%），反射放大以其攻擊成本小、構造發(fā)包簡單、反射倍數(shù)高、在自動化平臺后端調(diào)用方便等特點，成為流量攻擊中的首選。在流行的DDoS攻擊類型占比統(tǒng)計中，以IoT設備為反射源的SSDP反射放大已連續(xù)幾年都占比最高，今年的一支新秀Memcached反射也沒有蓋過其占比的鋒芒。因為攻擊手法的增多，DDoS攻擊效果立竿見影，利用DDoS進行勒索、攻擊競爭對手的情況越來越普及；催生了DDoS黑色產(chǎn)業(yè)鏈越來越細化，除發(fā)單人、擔保商、黑客軟件作者外，又增加了肉雞商、接單人、資源提供者、接發(fā)單平臺幾個維度。在巨大經(jīng)濟利益面前，DDoS攻擊黑產(chǎn)在多個環(huán)節(jié)逐漸完成自動化，使整個鏈條無需人工參與，發(fā)單人直接在DDoS平臺下單，我們稱這樣的平臺為“頁端DDoS攻擊平臺”?！绊摱薉DoS攻擊平臺”包括用戶注冊、套餐付費、攻擊發(fā)起等一系列操作，且在用戶側(cè)都可以完成，不需要其他人員參與。頁端DDoS攻擊平臺在發(fā)起攻擊時，是以API形式調(diào)用發(fā)包機或支持API的C2服務器進行攻擊，延遲時間一般小于10秒；對比傳統(tǒng)DDoS攻擊來看，已完成了全自動的無人值守攻擊方式。頁端DDoS攻擊平臺其高度集成管理，在成單率、響應時長、攻擊效果等方面都得到了可行的解決。在平臺化外，DDoS攻擊類型也有長足的發(fā)展。例如IoT（物聯(lián)網(wǎng)）僵尸網(wǎng)絡的典型代表mirai針對互聯(lián)網(wǎng)基礎架構服務提供商DynDNS(如今的OracleDYN)進行功擊。今年3月份的Memcached反射更是一劑強心針，以5萬的反射放大倍數(shù)、1.7Tbps的流量峰值再一次刷新了DDoS的認知。2）DDoS攻擊典型案例–“暗夜”攻擊團伙案DDoS攻擊黑產(chǎn)會嚴重影響企業(yè)線上業(yè)務開展，騰訊云鼎實驗室曾配合公安機關破獲暗夜DDoS攻擊團伙案，該團伙攻擊對某客戶的游戲業(yè)務產(chǎn)生嚴重影響，玩家訪問緩慢，登錄掉線，甚至完全沒有響應。騰訊云鼎實驗室根據(jù)系統(tǒng)日志判斷為大流量持續(xù)DDoS攻擊，單日攻擊流量峰會達462G，該團伙掌握的DDoS攻擊資源十分龐大。騰訊云鼎實驗室通過努力，最終在該團伙控制的其中一臺C2服務器發(fā)現(xiàn)可疑線索，通過流量、日志、關聯(lián)等多維度的數(shù)據(jù)分析，最終定位到證據(jù)所在，公安機關根據(jù)這些信息在境外將暗夜DDoS黑產(chǎn)團伙一網(wǎng)打盡。三、互聯(lián)網(wǎng)黑產(chǎn)對抗的技術趨勢與實踐1.人工智能成移動端黑產(chǎn)對抗技術突破口移動黑產(chǎn)以趨利為目的，為了保護自己的利益，黑產(chǎn)從業(yè)人員會想盡一切辦法來隱藏自己，與安全廠商之間的對抗也愈發(fā)激烈。根據(jù)多年積累的對抗經(jīng)驗，騰訊安全團隊認為移動黑產(chǎn)對抗技術發(fā)展主要有以下幾個方向：1）立體式安全檢測體系從應用傳播、應用安裝、應用運行、應用變現(xiàn)等維度，將各種安全檢測手段融入到應用的不同生命周期。如接入URL安裝檢測引擎可以在下載階段即可阻斷惡意行為繼續(xù)，又如行為檢測引擎可以在病毒執(zhí)行敏感操作時候及時阻止避免進一步破壞操作。2）用戶端側(cè)的主動防御安全廠商使用的傳統(tǒng)靜態(tài)引擎由于缺乏真實的行為數(shù)據(jù)，黑產(chǎn)團伙很容易就可以突破其防線。不管黑產(chǎn)采用多少種先進的對抗手段，其最終的目的還是通過執(zhí)行惡意行為來實現(xiàn)牟利的目的，手機廠商通過系統(tǒng)層原生集成應用敏感行為檢測點，真實的捕獲到惡意行為。數(shù)據(jù)脫敏以后可以輔助深度學習等方法實現(xiàn)更快，更準確的檢測效果。3）引入人工智能算法，智能識別未知樣本傳統(tǒng)殺毒引擎從病毒的發(fā)現(xiàn)到檢出會存在一段時間的空窗期(比如樣本的收集)。安全研究人員可以將豐富的人工經(jīng)驗，通過深度學習技術，泛化成通用的病毒檢測模型，提升未知病毒的檢出能力。騰訊安全團隊基于第三種思路研發(fā)的騰訊TRP-AI反病毒引擎已經(jīng)在騰訊手機管家云引擎中得到應用，并且該技術通過深入集成的方式在魅族Flyme7系統(tǒng)中率先全面應用。集成TRP反病毒引擎的系統(tǒng)新病毒發(fā)現(xiàn)能力提升8.3%，新檢出病毒中使用云加載技術的占比60.1%，使用加固加殼技術的占比12.%，并且病毒平均潛伏期為35min。2.化被動為主動的PC端黑產(chǎn)對抗技術伴隨互聯(lián)網(wǎng)產(chǎn)業(yè)的加速發(fā)展，PC端黑產(chǎn)技術也在不斷進化。為了最大限度獲利，黑產(chǎn)會盡可能在用戶電腦駐留存活更長時間。同時，2018年區(qū)塊鏈的火爆令加密山寨幣迅速成為黑色產(chǎn)業(yè)地下流通的硬通貨，通過挖礦獲取山寨虛擬加密幣，使得黑產(chǎn)變現(xiàn)鏈條更加直接。為了更好地狙擊PC端黑產(chǎn)，安全廠商的對抗技術主要包括以下方面：1）更快速的安全漏洞響應機制安全漏洞始終是網(wǎng)絡攻擊的絕佳通道，0day漏洞往往被應用在高價值目標的精準攻擊上。2018年“永恒之藍”漏洞攻擊包被經(jīng)常提起，這個武器級的漏洞攻擊包在被黑客完全公開后，一度被黑產(chǎn)廣泛使用，成為入侵企業(yè)網(wǎng)絡、傳播勒索病毒，植入挖礦木馬的利器。網(wǎng)絡黑產(chǎn)可以在極短的時間內(nèi)將Windows已經(jīng)發(fā)布補丁的高危漏洞迅速利用起來，然而，目前仍有大部分的網(wǎng)民因為使用盜版系統(tǒng)等種種原因，補丁安裝率普遍不高。這種現(xiàn)狀使得漏洞攻擊工具在補丁發(fā)布之后很長時間，都大有用武之地。殺毒軟件更新補丁修復功能，對于幫助這類用戶排除干擾，修補系統(tǒng)漏洞起到了關鍵作用。對于一些突然爆發(fā)的0day漏洞，也需要安全軟件進行提前防御。2018年，Office公式編輯器漏洞和Flash0day漏洞是黑產(chǎn)利用最廣泛的攻擊武器，利用此類漏洞進行攻擊，用戶打開一個Office文檔或瀏覽一個網(wǎng)頁也可能立即中毒。騰訊電腦管家針對攻擊者的這一特性集成“女媧石”防御技術，可以讓電腦在即使遭遇部分0day攻擊時，也能夠?qū)崿F(xiàn)有效攔截。補丁修復方案的升級，讓騰訊電腦管家用戶電腦的漏洞修復率大幅上升，黑產(chǎn)作案的技術成本也明顯提升。2）對抗勒索病毒破壞的數(shù)據(jù)備份機制2017年，以WannaCry為首的勒索病毒采取相對盲目的廣撒網(wǎng)式破壞，卻并未因勒索病毒的廣泛傳播而取得足夠的經(jīng)濟回報：絕大多數(shù)的普通用戶在遭遇勒索病毒攻擊之后，放棄了繳納贖金解鎖數(shù)據(jù)，而是選擇重裝系統(tǒng)。對于網(wǎng)絡黑產(chǎn)來說，這類廣撒網(wǎng)式攻擊損人不利己，攻擊者開始轉(zhuǎn)向針對高價值目標的精確打擊。通過系統(tǒng)漏洞、社會工程學欺騙、精心設計的釣魚郵件來誘使目標用戶運行危險程序。然而，勒索病毒的感染量下降了，勒索病毒造成的損失卻依然嚴重：許多重要信息系統(tǒng)被勒索病毒破壞，受害者被迫支付贖金。面對勒索病毒越來越精準的打擊，高價值用戶需要更加完善的數(shù)據(jù)保護方案，騰訊電腦管家迅速升級“文檔守護者”功能，通過充分利用用戶電腦冗余的磁盤空間自動備份數(shù)據(jù)文檔，既使電腦不幸染毒，數(shù)據(jù)文檔被加密，也能通過文檔守護者來恢復文檔，盡最大可能減小損失。3）能夠揭示黑產(chǎn)全貌的威脅情報系統(tǒng)為逃避殺毒軟件的查殺，病毒木馬的行為變得更加隱蔽，病毒樣本的更新、木馬控制服務器的變化的速度都比以往更快，部分攻擊者甚至會限制惡意程序擴散的范圍，黑產(chǎn)的攻擊正在變得愈發(fā)難以捕捉和缺少規(guī)律性。騰訊御見威脅情報系統(tǒng)基于安全大數(shù)據(jù)分析的處理系統(tǒng)，通過分析成千上萬個惡意軟件的行為并創(chuàng)建一系列的規(guī)則庫，再利用這些規(guī)則去匹配每個新發(fā)現(xiàn)的網(wǎng)絡威脅，像完成一幅拼圖一樣，將一個個分散的病毒木馬行為完整拼接，從中發(fā)現(xiàn)木馬病毒的活動規(guī)律，追溯病毒木馬傳播的源頭。2018年，騰訊御見威脅情報系統(tǒng)已成功協(xié)助警方破獲多起網(wǎng)絡黑產(chǎn)大案，成為打擊黑產(chǎn)的有力武器。四、2018年下半年的安全趨勢分析1.MAPT攻擊威脅持續(xù)上升，移動設備或成重大安全隱患2018年隨著互聯(lián)網(wǎng)+進程的不斷推進，通過智能設備我們可以享受到非常便捷的移動互聯(lián)網(wǎng)服務，如移動醫(yī)療服務，社保服務，電子身份證，電子駕照等政府貼心的民生服務。同時也有大量的企業(yè)和政府部門開始習慣通過智能終端來管理內(nèi)部工作，這些基于智能手機的服務方便大眾的同時，也暴露出巨大的安全隱患：移動互聯(lián)網(wǎng)時代的智能手機承載著全面而巨量的個人和組織的隱私數(shù)據(jù)，一旦個人智能手機被操控，黑客團伙通過這個設備獲取到各種敏感數(shù)據(jù)，從而導致不可估量的損失。雖然目前主流關于APT的討論仍集中于PC電腦，但是趨勢表明APT攻擊組織正在往網(wǎng)絡軍火庫中添加MAPT(MobileAdvancedPersistentThreat)武器以獲得精準而全面的信息。比如APT-C-27組織從2015年開始更新維護基于安卓的RAT工具，利用這些工具來收集用戶手機上的文檔、圖片、短信、GPS位置等情報信息。Skygofree會監(jiān)控上傳錄制的amr音頻數(shù)據(jù)，并嘗試root用戶設備以獲取用戶whatsapp.facebook等社交軟件的數(shù)據(jù)。Pallas則全球部署試圖攻擊包括政府、軍隊、公用事業(yè)、金融機構、制造公司和國防承包商的各類目標。全平臺覆蓋加上國家級黑客團隊攻擊技術的加持，無邊界智能辦公時代被忽視的移動智能設備正在成為重大安全隱患，MAPT正在威脅企業(yè)，重點機構乃至政府部門。它們需要擁有移動/PC一體化反APT安全解決方案。2.惡意應用的檢測和反檢測對抗將愈發(fā)激烈，安全攻防進入焦灼局勢黑產(chǎn)團伙對抗技術日趨完善，安全攻防進入焦灼局勢，并且傳統(tǒng)安全監(jiān)測方案正在逐漸處于劣勢的一方。一方面在巨大利益的驅(qū)使下企業(yè)化運作的黑產(chǎn)團伙有更多的財力開發(fā)基于云加載技術的惡意應用(惡意代碼變得很難捕獲)，并且有充沛的人力進行免殺對抗(傳統(tǒng)引擎基于特征檢測，很容易被免殺繞過)。另一方面一些供應鏈的廠商也在知情或不知情的情況下成為黑產(chǎn)團伙的保護傘，在自己的框架中引入包含惡意功能的SDK，導致有大量的惡意應用潛伏一年甚至數(shù)年才被新技術手段發(fā)現(xiàn)。3.黑產(chǎn)團伙拓寬安卓挖礦平臺市場，移動挖礦應用或迎來爆發(fā)相比電腦平臺，移動智能設備普及率高，使用頻率極高，但是移動設備受限于電池容量和處理器能力，而且挖礦容易導致設備卡頓、發(fā)熱、電池壽命下降，甚至出現(xiàn)手機電池爆漿等物理損壞，移動平臺似乎并不是一個可用于可持續(xù)挖礦的平臺。隨著移動設備性能不斷提升，2018年黑產(chǎn)團伙還在嘗試利用手機平臺生產(chǎn)電子貨幣。比如HiddenMiner潛伏于三方應用市場誘導用戶下載，然后控制用戶手機設備竊取Monero，又如ADB.Miner通過端口掃描的方式發(fā)現(xiàn)基于安卓的TV設備進行挖礦，還