移動平臺流量黑產(chǎn)研究色情播放器類惡意軟件產(chǎn)業(yè)鏈行業(yè)分析課件

移動平臺流量黑產(chǎn)研究——色情播放器類惡意軟件產(chǎn)業(yè)鏈摘 要 360烽火實驗室

8月底發(fā)現(xiàn)了三組異常流量曲線，流量曲線呈現(xiàn)存活時間短，連續(xù)

3天此消彼長的態(tài)勢，訪問量集中最高峰值達到近

2

萬次。

大量可疑下載鏈接數(shù)指向的文件均為名稱具有誘惑性、圖標(biāo)暴露的色情播放器類惡意軟件，并且鏈接都包含固定的“l(fā)ist/日期”格式。

可疑下載鏈接均來自重定向跳轉(zhuǎn)，流量數(shù)據(jù)包中的

Set-Cookie

的值都有一個十分明顯的固定特征“cdm=http”。

抽取相似網(wǎng)絡(luò)流量特征看，表現(xiàn)出

IP

層、跳轉(zhuǎn)層、下載層的三層控制分發(fā)模型。

通過對可疑域名的的追蹤，發(fā)現(xiàn)了管理后臺、分發(fā)的色情播放器類惡意軟件以及網(wǎng)站使用的偽裝手法。

色情播放器類惡意軟件產(chǎn)業(yè)鏈從制作上看，包括惡意模塊集成、免殺、視頻教程、申請支付

ID。

從傳播上看，投放方式包括，網(wǎng)頁誘導(dǎo)、網(wǎng)頁掛馬、廣告推廣、APP

捆綁、論壇和熱門影視。

從傳播量大的原因看，其中一個是因為在不同時間內(nèi)，同一鏈接可以靈活控制重定向到多個下載鏈接，并且通過檢查瀏覽器

UA

標(biāo)識來逃避審查。

從產(chǎn)業(yè)鏈規(guī)?？?，2016年全年共捕獲色情播放器類惡意軟件超過

800萬；色情鏈接一周的訪問流量高達

830萬余次。

開發(fā)者、廣告主和網(wǎng)站主是產(chǎn)業(yè)鏈中的主要角色，他們各種擁有不同的技能與資源。

廣告聯(lián)盟作為色情播放器類惡意軟件傳播中的聯(lián)系平臺，并不是相對獨立，而是多個廣告聯(lián)盟呈現(xiàn)上下游的協(xié)同合作，是傳播量范圍大的另一個原因。

以色情播放器類惡意軟件產(chǎn)業(yè)鏈視角看移動平臺流量黑產(chǎn)的趨勢，主要表現(xiàn)在傳播手段、變現(xiàn)方式、技術(shù)特點、攻擊對象和資源實力五個方面。

通過在政策、社會、技術(shù)多層面協(xié)同聯(lián)動，有力打擊違法犯罪行為，切實凈化網(wǎng)絡(luò)文化環(huán)境。關(guān)鍵詞：色情播放器、流量黑產(chǎn)、移動平臺、惡意軟件目 錄第一章 冰山一角

...........................................................................................................................1一、 異常流量

...........................................................................................................................1二、 可疑鏈接

...........................................................................................................................1三、 鏈接重定向........................................................................................................................2四、 分發(fā)模式

...........................................................................................................................2(一) 分層

...................................................................................................................................2(二) 控制模型

...........................................................................................................................3第二章 始作俑者

...........................................................................................................................5一、 重要線索

...........................................................................................................................5二、 產(chǎn)業(yè)鏈

...............................................................................................................................8(一) 制作

...................................................................................................................................8(二) 傳播

.................................................................................................................................

10(三) 收益

.................................................................................................................................

15三、 組織畫像

.........................................................................................................................

19(一) 開發(fā)者

.............................................................................................................................

19(二) 廣告主

.............................................................................................................................

20(三) 網(wǎng)站主

.............................................................................................................................

21第三章 追根溯源

.........................................................................................................................

22一、 北辰互聯(lián)

.........................................................................................................................

22二、 7540

流量聯(lián)盟.................................................................................................................

23三、 中旭網(wǎng)

.............................................................................................................................

24四、 關(guān)系揭露

.........................................................................................................................

26(一) 北辰互聯(lián)與中旭網(wǎng)

..........................................................................................................

26(二) 北辰互聯(lián)與

7540

流量聯(lián)盟

.............................................................................................

27(三) 小結(jié)

.................................................................................................................................

28第四章 總結(jié)

.................................................................................................................................

29一、 趨勢

.................................................................................................................................

29(一) 傳播手段

.........................................................................................................................

29(二) 變現(xiàn)方式

.........................................................................................................................

29(三) 技術(shù)特點

.........................................................................................................................

29(四) 攻擊對象

.........................................................................................................................

29(五) 資源實力

.........................................................................................................................

29二、 監(jiān)管

.................................................................................................................................

29(一) 政策監(jiān)管

.........................................................................................................................

29(二) 社會監(jiān)管

.........................................................................................................................

30(三) 技術(shù)監(jiān)管

.........................................................................................................................

30引用.................................................................................................................................................

31360

烽火實驗室...............................................................................................................................

31第一章 冰山一角隨著互聯(lián)網(wǎng)的迅猛發(fā)展和規(guī)模不斷擴大，計算機網(wǎng)絡(luò)不僅在工業(yè)、銀行、科研教育等各個領(lǐng)域發(fā)揮重要作用，而且與我們的日常出行、購物、娛樂、社交等生活密不可分。網(wǎng)絡(luò)在給我們帶來便利的同時，也讓一些不法分子嗅到了金錢的味道，產(chǎn)生了諸如釣魚網(wǎng)站、DDOS

攻擊、DNS

劫持、網(wǎng)絡(luò)流量作弊、惡意程序分發(fā)等等黑色產(chǎn)業(yè)鏈。一、

異常流量網(wǎng)絡(luò)流量監(jiān)測作為計算機網(wǎng)絡(luò)的基礎(chǔ)部分，在互聯(lián)網(wǎng)大數(shù)據(jù)下通過對流量曲線的檢測和分析，可以在第一時間獲取特定時期內(nèi)的網(wǎng)絡(luò)負載情況、負載變化情況，直觀的評估網(wǎng)絡(luò)環(huán)境的健康程度，對于發(fā)現(xiàn)網(wǎng)絡(luò)流量中的異常行為，可以提早發(fā)現(xiàn)問題和網(wǎng)絡(luò)威脅，組織防范或恢復(fù)措施，避免帶來嚴(yán)重的問題和損失。360烽火實驗室

8月底發(fā)現(xiàn)了三組異常流量曲線，流量曲線呈現(xiàn)存活時間短，連續(xù)

3天此消彼長的態(tài)勢，訪問量集中最高峰值達到近

2萬次。圖

1.1

異常流量曲線圖二、

可疑鏈接我們通過持續(xù)關(guān)注和分析，發(fā)現(xiàn)了更多（只列舉其中

10個）存在相似行為的網(wǎng)絡(luò)主機，并且發(fā)現(xiàn)了相似的

URL

鏈接。圖

1.2

可疑

URL這些可疑鏈接指向的文件均為名稱具有誘惑性、圖標(biāo)暴露的色情播放器類惡意軟件，1可疑主機可疑鏈接下載文件/list

/20160914/*.apk快播成人版/list

/20160831/*.apk絕色影視/list

/20160830/*.apk快播QVOD/list

/20160825/*.apk愛色影視/list

/20160828/*.apk夜?jié)瓙鄄?list

/20160824/*.apk無碼神播/list

/20160826/*.apk色色8看片/list

/20160827/*.apk無碼神播/list

/20160828/*.apk色色9看片/list

/20160829*.apk色色8看片并且鏈接都包含固定的“l(fā)ist/日期”格式。三、

鏈接重定向鏈接重定向[1]就是把一個

URL

重定向到另一個

URL

上去。重定向即是把一個目錄或者文件的訪問請求轉(zhuǎn)發(fā)至另外一個目錄或者文件，當(dāng)用戶發(fā)出相應(yīng)的訪問請求時將自動跳轉(zhuǎn)到指定的位置，常見的重定向有

301（永久重定向）及

302（暫時重定向）兩種。我們在溯源可疑下載鏈接的來源時發(fā)現(xiàn)，這些可疑鏈接都是在客戶端請求某個鏈接時經(jīng)過

HTTP

協(xié)議

302碼暫時重定向指向的鏈接。圖

1.3

重定向示意圖每個獨立的下載鏈接之間看似不相干，但實際上都是存在相互關(guān)聯(lián)的。經(jīng)過一段時間的觀察，我們發(fā)現(xiàn)客戶端在不同時間內(nèi)請求同一個鏈接時，返回的重定向頁鏈接是不同的，并且從抽取的流量包中還發(fā)現(xiàn)這些網(wǎng)絡(luò)流量中所返回的

Set-Cookie

的值都有一個十分明顯的固定特征“cdm=http”。這種鏈接重定向跳轉(zhuǎn)機制導(dǎo)致出現(xiàn)了上面提到的大量可疑下載鏈接。圖

1.4請求同一鏈接重定向到不同的地址四、

分發(fā)模式(一) 分層通過可疑下載鏈接的表現(xiàn)形式、利用的

HTTP

協(xié)議

302碼暫時重定向特性以及流量包中的固定特征“cdm=http”，我們關(guān)聯(lián)出更多網(wǎng)絡(luò)主機間的關(guān)系2圖

1.5更多網(wǎng)絡(luò)主機關(guān)系它們之間關(guān)系表現(xiàn)為分層結(jié)構(gòu)主要分為三層，中間層向上指向同一

IP，向下指向多個下載鏈接，我們將上層命名為“IP

層”，中層命名為“跳轉(zhuǎn)層”，下層命名為“下載層”。圖

1.6

三層結(jié)構(gòu)(二) 控制模型從上面的實例分析，我們抽象出一個三層控制模型，通過控制模型實現(xiàn)對色情播放器類惡意軟件的傳播。3IP層

跳轉(zhuǎn)層下載層8mpdwon.oss-cn-87圖

1.7

三層控制模型

下載層：表現(xiàn)為鏈接每天頻繁地變化，出現(xiàn)和消亡的周期短，短時間內(nèi)訪問集中爆發(fā)；

跳轉(zhuǎn)層：表現(xiàn)為采用

HTTP

協(xié)議

302

碼暫時重定向，靈活切換控制下載層，與下載層相比數(shù)量相對收斂；

IP

層：表現(xiàn)為對跳轉(zhuǎn)層的集中控制管理，與下載層和跳轉(zhuǎn)層相比更為收斂，變化程度小。4第二章

始作俑者色情播放器類惡意軟件數(shù)量近幾年呈現(xiàn)爆發(fā)式增長，軟件總量達到千萬量級，時刻威脅著用戶手機及財產(chǎn)安全?！疤煜挛跷酰詾槔麃?；天下攘攘，皆為利往”，這類惡意軟件之所以“興起”，它的背后一定潛伏著巨大的利益與誘惑。我們對色情播放器類惡意軟件的來源、危害和傳播方式進行了長期關(guān)注，揭開了其背后的黑色產(chǎn)業(yè)鏈。一、

重要線索我們通過網(wǎng)絡(luò)流量的分析，在“mppay.net”域名下，發(fā)現(xiàn)了一個

APK

包的渠道分發(fā)狀態(tài)后臺。后臺頁面清楚得展示出

400多個渠道編號、更新日期時間和對應(yīng)的下載鏈接。圖

2.1分發(fā)后臺頁面分發(fā)的軟件全部為色情播放器類軟件歸屬與Trojan.Dropper.Android.FakeDebuggerd.B

同一惡意家族，并且分發(fā)的軟件每天都在更新，我們選取了一段時間內(nèi)下載的軟件進行了統(tǒng)計，其中包括“91愛妹視頻”、“成人

i

影院”、“91愛色院線”等等。5圖

2.2分發(fā)后臺下載統(tǒng)計“mppay.net”域名的備案信息顯示，網(wǎng)站名稱為“安卓圖片”，注冊人為湯某，官網(wǎng)地址為“www.mppay.net”。圖

2.3

備案信息6圖

2.4輝煌國泰網(wǎng)頁官網(wǎng)看似正常，但是我們發(fā)現(xiàn)幾個細節(jié)比較可疑。首先，官網(wǎng)名稱為“輝煌國泰”主要銷售車載多媒體與備案名稱信息不符；其次，官網(wǎng)所有的鏈接都為無效鏈接點擊無效，并且在網(wǎng)頁源碼中我們發(fā)現(xiàn)“savedfrom

url=(0038)http://www.xinpinhang.com/cn/index.php”圖

2.5輝煌國泰網(wǎng)頁源碼這個鏈接指向另一個名為“鑫品航電子”的網(wǎng)站，這個網(wǎng)站的鏈接跳轉(zhuǎn)正常。“輝煌國泰”與“鑫品航電子”兩個網(wǎng)站從架構(gòu)到內(nèi)容都高度相似?！拜x煌國泰”仿冒他人網(wǎng)站內(nèi)容作為掩護，實際上背后是色情播放器類惡意軟件的分發(fā)平臺。圖

2.6鑫品航電子網(wǎng)頁通過數(shù)據(jù)查詢，湯某還注冊了多個域名，我們發(fā)現(xiàn)其他幾個也都是一些仿冒網(wǎng)站，域7名下存在管理后臺暗中推廣色情播放器類惡意軟件行為。圖

2.7

域名注冊信息二、

產(chǎn)業(yè)鏈(一) 制作1. 惡意模塊集成開發(fā)者利用一些

Root

Exploit

SDK

部署惡意模塊，從而達到竊取隱私、惡意扣費、靜默安裝等多種惡意行為。圖

2.8尋求

Root

SDK

合作82. 免殺開發(fā)者不僅在軟件名稱、包名、簽名進行混淆，還對代碼進行加固保護，試圖繞過殺軟的查殺策略，達到免殺目的。圖

2.9Android

木馬逃逸術(shù)-軟件名稱混淆[2]3. 視頻教程網(wǎng)上還有一些教授如何制作下載頁面后臺和替換下載鏈接的視頻教程。圖

2.10

制作視頻教程4. 申請支付

ID開發(fā)者為了牟取暴利，在軟件中還會集成支付插件，支付插件需要申請支付

ID，一般申請條件分為：

支持個人申請，不需要審核

APP，直接拿到支付

ID；

需要提供

APP

審核，審核通過后，才提供支付

ID；

需要企業(yè)資質(zhì)證明和

APP

審核通過后才能夠申請支付

ID；為了申請的代價低，開發(fā)者一般會選用支持個人申請的支付插件進行嵌入。9(二) 傳播經(jīng)過我們調(diào)查，色情播放器類惡意軟件背后的產(chǎn)業(yè)鏈主要由開發(fā)者、廣告主、廣告聯(lián)盟和網(wǎng)站主四部分組成，他們之間的運作方式如下：圖

2.11

運作方式示意圖

開發(fā)者將制作的惡意軟件提供給廣告主；

廣告主負責(zé)尋求推廣資源；

網(wǎng)站主負責(zé)接收推廣任務(wù)；

廣告聯(lián)盟作為廣告信息發(fā)布平臺，將廣告主的需求和網(wǎng)站主的資源聯(lián)系在一起，負責(zé)惡意軟件的投放并且管理分發(fā)統(tǒng)計后臺，將推廣數(shù)據(jù)提供給廣告主查看。1. 廣告聯(lián)盟廣告聯(lián)盟在整個產(chǎn)業(yè)鏈運作中扮演著重要的角色，成為色情播放器類惡意軟件的背后推手。10圖

2.12廣告聯(lián)盟網(wǎng)頁推薦色情播放器軟件圖

2.13火爆

TV

推廣聯(lián)盟頁面2. 投放途徑1) 網(wǎng)頁誘導(dǎo)利用誘惑的網(wǎng)站信息，誘導(dǎo)用戶主動點擊鏈接觸發(fā)。11圖

2.14以預(yù)覽圖的方式誘惑點擊鏈接2) 網(wǎng)頁掛馬在頁面中嵌入

javascript代碼，在頁面被訪問時彈框下載圖

2.15頁面嵌入的惡意鏈接3) 廣告推廣在

APP

中植入廣告，通過聯(lián)網(wǎng)控制的方式進行展現(xiàn)推廣。圖

2.16APP

請求廣告內(nèi)容4) APP

捆綁12在

APP

代碼中直接嵌入鏈接，后臺私自下載，捆綁安裝。圖

2.17捆綁在其他軟件中5) 論壇在論壇上使用一些吸引人的字眼和貼圖，欺騙點擊量。圖

2.18

投放到論壇中6) 熱門影視13圖

2.19投放到熱門影視的信息中3. 控制模型的利用以網(wǎng)頁掛馬方式投放的鏈接“hxxp://vi.junm*.com/A627_kCFfNGrE”為例，該鏈接會通過

302碼進行重定向到實際的下載鏈接。圖

2.20使用控制模型傳播從我們抽取的頁面鏈接看，投放的鏈接一般處于控制模型的跳轉(zhuǎn)層，訪問后會重定向到真實的下載鏈接，所以在不同時間內(nèi)，同一鏈接可以重定向到多個下載鏈接，靈活控制下載的惡意軟件。4. 逃避審查色情網(wǎng)站一直是有關(guān)部門的重點打擊對象，在

Symbian

手機時代通過切換手機網(wǎng)絡(luò)接入點，造成訪問同一個網(wǎng)址在

PC

上顯示正常，而手機訪問是色情網(wǎng)站，逃避審查的目的。進入

Android

和

IOS

手機時代，我們發(fā)現(xiàn)主要是通過檢查瀏覽器

UA

標(biāo)識來逃避審查。14圖

2.21電腦訪問圖

2.22Android（左）和

iPhone（右）訪問(三) 收益15圖

2.23

資金流向示意圖1. 明扣：誘惑充值圖

2.24

用戶投訴案例[3]2. 暗扣：惡意扣費16圖

2.25

扣費包宣傳頁面3. 每日收益圖

2.26

每筆

25元17圖

2.27一些渠道每日的收益圖

2.28每筆收入

28

到

38元圖

2.29

支付記錄4. 產(chǎn)業(yè)鏈規(guī)模2016年全年

360烽火實驗室捕獲色情播放器類惡意軟件超過

800

萬，平均每天捕獲超18過

2萬余個。圖

2.302016

年每月新增數(shù)量統(tǒng)計在移動平臺上，抽取了一周色情鏈接訪問情況。色情鏈接一周的訪問流量高達

830

萬余次，以此估算平均每天訪問接近

120

萬次。圖

2.31色情鏈接一周訪問流量統(tǒng)計三、

組織畫像(一) 開發(fā)者開發(fā)者即產(chǎn)品的設(shè)計制作人員，不僅要具備正常研發(fā)人員的設(shè)計、編碼和測試能力，還要了解殺軟的查殺策略，具備一定的免殺技術(shù)。19

圖像處理軟件能力：通過專業(yè)的圖像處理，針對典型的色情播放器類惡意軟件設(shè)計誘惑圖標(biāo)內(nèi)容，達到吸引用戶安裝的目的；

編碼能力：具備一定的語言編碼調(diào)試能力，能夠在不同的編譯環(huán)境下使用；

開源代碼利用能力：具備利用一些開源的漏洞利用代碼，并且還能夠集成一些惡意廣告的

SDK

的能力；

免殺能力：能夠分析或猜測殺軟查殺原因，通過基礎(chǔ)信息混淆和核心代碼保護的方式，試圖繞過殺軟查殺特征；

掌握色情網(wǎng)站資源：用試看的方式誘導(dǎo)用戶進行付費；

搭建服務(wù)器能力：用來測試和存儲研發(fā)的軟件；

支付插件的篩選能力：了解不同支付插件的申請審核特性，使用方便的支付方式，提高軟件的轉(zhuǎn)化率。圖

2.32

開發(fā)者畫像(二) 廣告主廣告主即廣告信息的發(fā)布者，希望通過發(fā)布網(wǎng)絡(luò)廣告來推廣自己的網(wǎng)站、產(chǎn)品或服務(wù)，并為承擔(dān)相關(guān)法律責(zé)任的法人。廣告主在廣告平臺發(fā)布廣告信息，并按照所發(fā)布的廣告的總數(shù)量及單位價格向廣告平臺支付廣告費用。

掌握推廣軟件資源：作為軟件的推廣基礎(chǔ)；

掌握廣告聯(lián)盟資源：作為軟件的推廣去向，影響軟件的推廣效果；

有一定的經(jīng)濟基礎(chǔ)：需要錢來維持整個推廣的運作；

具備數(shù)據(jù)統(tǒng)計分析能力：能夠分析衡量錢和推廣效果的轉(zhuǎn)化率；

具備議價能力：了解行業(yè)內(nèi)的推廣價格，進行合理的金錢投入。20圖

2.33

廣告主畫像(三) 網(wǎng)站主網(wǎng)站主是廣告交易雙方的其中一方，即網(wǎng)站的擁有者，具有修改、新增、刪除網(wǎng)站內(nèi)容的權(quán)力，并承擔(dān)相關(guān)法律責(zé)任的法人。在自已網(wǎng)站上投放廣告主的廣告后，并按照平臺規(guī)定通過本平臺收取傭金。

掌握廣告聯(lián)盟資源：作為網(wǎng)站掙錢的方式之一，影響著網(wǎng)站主的收益；

域名管理能力：在維持網(wǎng)站正常運行的同時，能夠提供后臺頁面，方便進行分發(fā)、統(tǒng)計；

域名注冊資源：網(wǎng)站主名下有多個域名；

訪問流量基礎(chǔ)：針對搜索引擎進行了

SEO

優(yōu)化，有一定的訪問量。圖

2.34

網(wǎng)站主畫像21第三章

追根溯源在調(diào)查整個產(chǎn)業(yè)鏈的過程中，我們從眾多廣告聯(lián)盟中發(fā)現(xiàn)了

“北辰互聯(lián)”、“7540流量聯(lián)盟”和“常德中旭”這三家廣告聯(lián)盟。從表面上看這三家公司相互獨立沒有任何關(guān)聯(lián)，但是通過對其流量數(shù)據(jù)的分析發(fā)現(xiàn)，他們之間“相互推廣，合作共贏”，這也是色情播放器類惡意軟件產(chǎn)業(yè)規(guī)模龐大的一個原因。一、

北辰互聯(lián)www.8782.net

是北辰互聯(lián)的官方地址，表面看上去是一家普通的廣告聯(lián)盟平臺。從備案信息看是一家在貴州備案的個人網(wǎng)站。圖

3.1

北辰互聯(lián)官網(wǎng)圖

3.2北辰互聯(lián)網(wǎng)站備案信息通過對

8782.net

域名下數(shù)據(jù)流量的分析，發(fā)現(xiàn)其一直在推廣色情播放器類惡意軟件，涉及軟件數(shù)量高達

108萬余個，下面列舉了涉及的軟件前

10個惡意軟件名稱。22圖

3.3北辰互聯(lián)推廣惡意軟件

Top10二、

7540

流量聯(lián)盟www.7540.net

是

7540

流量聯(lián)盟的官方地址，表面看上去是一家普通的廣告聯(lián)盟平臺。從備案信息看是一家在江西備案的企業(yè)網(wǎng)站。圖

3.47540

流量聯(lián)盟官網(wǎng)23圖

3.57540

流量聯(lián)盟網(wǎng)站備案信息通過對

7540.com

域名下數(shù)據(jù)流量的分析，發(fā)現(xiàn)其一直在推廣色情播放器類惡意軟件，涉及軟件數(shù)量高達

134萬余個，下面列舉了涉及的軟件前

10個惡意軟件名稱。圖

3.67540

流量聯(lián)盟推廣惡意軟件

Top10三、

中旭網(wǎng)www.zhxone.com

是中旭網(wǎng)的官方地址，表面看上去是一家普通的廣告聯(lián)盟平臺。從備案信息看是一家在浙江備案的個人網(wǎng)站。24圖

3.7

中旭網(wǎng)備案信息通過對

zhxone.com

域名下數(shù)據(jù)流量的分析，發(fā)現(xiàn)其一直在推廣色情播放器類惡意軟件，涉及軟件數(shù)量高達

358萬余個，下面列舉了涉及的軟件前

10個惡意軟件名稱。圖

3.8中旭網(wǎng)推廣惡意軟件

Top10另外在其流量中發(fā)現(xiàn)類似

hxxp://coco.zhxone.com/tools/datatools

的訪問鏈接會下載

RootExploit

文件25圖

3.9殺軟報毒情況四、

關(guān)系揭露(一) 北辰互聯(lián)與中旭網(wǎng)從流量發(fā)送和接收的數(shù)據(jù)看，我們發(fā)現(xiàn)北辰互聯(lián)推廣中旭網(wǎng)，兩個域名下推廣的軟件交集部分到達

76萬余個色情播放器類惡意軟件。圖

3.10北辰互聯(lián)推廣中旭網(wǎng)26圖

3.11北辰互聯(lián)與中旭網(wǎng)推廣交集從

DNS

解析角度看，tools.8782.net

與

tools.zhxapp.com

還有

tools.haidianyun.com

曾經(jīng)被同一

IP

解析，而

zhxapp.com

和

haidianyun.com

下均存在包含“/tools/datatools”特征片段的鏈接，與

coco.zhxone.com/tools/datatools

鏈接片段一致。圖

3.12DNS

解析關(guān)系圖(二) 北辰互聯(lián)與

7540

流量聯(lián)盟從流量請求和響應(yīng)的數(shù)據(jù)看，我們發(fā)現(xiàn)

7540

流量聯(lián)盟推廣北辰互聯(lián)，兩個域名下推廣的軟件交集部分到達

16萬余個色情播放器類惡意軟件。27圖

3.13北辰互聯(lián)與

7540流量聯(lián)盟推廣交集另外，從兩個網(wǎng)站的官網(wǎng)頁面看，網(wǎng)站的樣式、字體、配色、圖標(biāo)以及描述幾乎完全一致，搭建的網(wǎng)站疑似采用同一套源代碼。圖

3.14北辰互聯(lián)（左）與

7540流量聯(lián)盟（右）網(wǎng)頁對比(三) 小結(jié)這三家公司雖然在備案信息中毫無聯(lián)系，但是結(jié)合上面我們發(fā)現(xiàn)的他們之間的幾點關(guān)系，不難推測它們之間可能有合作關(guān)系，甚至背后可能為同一公司，網(wǎng)站只是作為掩護的一個空殼。廣告聯(lián)盟作為色情播放器類惡意軟件傳播中的聯(lián)系平臺，并不是相對獨立，而是多個廣告聯(lián)盟呈現(xiàn)上下游的協(xié)同合作，導(dǎo)致傳播的規(guī)模更大范圍更廣。2829第四章

總結(jié)一、

趨勢以色情播放器類惡意軟件產(chǎn)業(yè)鏈視角看移動平臺流量黑產(chǎn)的趨勢，主要表現(xiàn)在傳播手段、變現(xiàn)方式、技術(shù)特點、攻擊對象和資源實力五個方面。(一) 傳播手段從傳播手段看，傳統(tǒng)木馬主要依靠應(yīng)用市場進行傳播，而色情播放器類惡意軟件主要通過網(wǎng)站鏈接和私自下載等網(wǎng)絡(luò)流量的方式傳播，這種傳播方式表現(xiàn)為存活周期短，短時間內(nèi)集中爆發(fā)。(二) 變現(xiàn)方式從變現(xiàn)方式看，這類惡意軟件主要以誘導(dǎo)充值、惡意扣費和廣告推廣為盈利手段，大多數(shù)廣告聯(lián)盟都是以日結(jié)的方式，使得產(chǎn)業(yè)鏈中的各個角色變現(xiàn)方式更快、更容易。(三) 技術(shù)特點從技術(shù)特點看，這類惡意軟件為了保證留存率，大部分色情播放器類惡意軟件都帶有Root

模塊，并且釋放部署多個的惡意文件相互保護，從而獲得對手機完全控制權(quán)限，難以徹底清除；另外，為了躲避追蹤和查殺，這部分惡意軟件變化速度快，與安全軟件之間有極強的對抗性。(四) 攻擊對象從攻擊對象看，這類惡意軟件擅長掌握人的需求，一些禁不住誘惑的人最容易中招。我們從用戶反饋中了解到除了一部分用戶是被動中招外，還有一部分用戶是主動安裝。甚至明知安全軟件檢測出威脅，仍然選擇無視這些警告信息，導(dǎo)致出現(xiàn)財產(chǎn)損失等一系列安全問題。(五) 資源實力在

2016年

ISC

大會上我們以《"企業(yè)級"惡意程序開發(fā)者攪局移動安全》[4]為題，深度介紹了企業(yè)團隊在技術(shù)深度、傳播方式和傳播影響力上的優(yōu)勢。從資源實力看，這類惡意軟件擁有人、錢、關(guān)系三種資源實力，在整個產(chǎn)業(yè)鏈運作中，從開發(fā)的技術(shù)水平、廣告聯(lián)盟的渠道、資金的運轉(zhuǎn)、軟件的迭代對抗速度以及完善的自動化批量打包后臺，處處都體現(xiàn)出其背后的企業(yè)模式。二、

監(jiān)管(一) 政策監(jiān)管30網(wǎng)絡(luò)淫穢色情活動猖獗，一直是我國嚴(yán)厲打擊的對象。全國“掃黃打非”辦公室日前公布的“凈網(wǎng)

2016”專項行動成果[5]，受到廣泛關(guān)注。截至

11月底，各地共清理處置淫穢色情等網(wǎng)絡(luò)有害信息

327

萬余條，查處、關(guān)閉違法違規(guī)網(wǎng)站

2500

余家，查辦網(wǎng)絡(luò)“掃黃打非”案件

862起，全國“掃黃打非”辦公室掛牌督辦重點案件

66