2019年9月16日,網絡安全宣傳周在天津開幕,本次宣傳周以”網絡安全為人民,網絡安全靠人民”為主題。當前,我國網絡空間安全問題異常嚴峻,個人隱私保護,網絡詐騙,網絡釣魚,網絡漏洞,惡意代碼等問題突出,無時無刻不對人們的正常生產生活造成巨大威脅。網絡安全具有”水桶效應”,從物理設備安全、行為安全、數據安全再到內容安全,每一個環節都是網絡空間安全不可或缺的一部分。
隨著近年來移動互聯網的發展,產生了一大批內容平台,但因內容不合規,屢屢傳出被下架、被關停的消息,由此可見,網絡內容安全問題不容忽視,特別是以非法內容形成的黑色產業鏈應成為重點打擊對象。
一、總體概述
1.1 基本概述
視頻直播類
黑產是指打著視頻平台、直播平台的旗號,從事傳播色情內容、傳播惡意應用等非法內容並以此獲利的黑色產業鏈。這些黑色產業鏈條有成熟的運行機制,它們通過涉黃直播、淫穢視頻、黃色小說、賭博遊戲等內容來吸引用戶,通過廣告、用戶充值消費、誘導用戶賭博等手段來獲取收益。為了獲取更大利益,有些平台使用錄製的直播視頻替代真正的主播以降低成本,有些賭博遊戲的開獎結果則被牢牢控制。不僅如此,通過這些非法平台,也催生出了大量的網絡招嫖、網絡賭博、網絡詐騙等犯罪行為。


1.2 程序運行原理
通過對該類樣本進行分析可知,該類樣本主要由防止被封禁、獲利、分享推廣獲取新用戶三部分組成,其主要工作原理如圖1-2-1所示。

二、技術手段
2.1 代碼保護
部分程序為了防止被反編譯,採用了知名第三方產商的加固系統進行代碼加固保護。


2.2 不斷更新應用
程序為了防止被封禁,不斷更新升級。

2.3 頻繁更換域名(大量備用域名)
程序為了防止被封禁,準備了大量的域名。

2.4 CDN緩存加速
程序通過DNS解析,選擇與用戶連接條件最好的IP地址提供服務。

2.5 後台操控賭博
部分程序中存在在線賭博內容,以“騰訊分分彩”遊戲為例,該賭博遊戲聲稱以QQ實時在線人數的末尾數為開獎結果,用戶猜中可以獲取到對應賠率的獎勵。

通過代碼分析可知,程序獲取的開獎結果,並非來自QQ實時在線人數,而是由程序服務器下發,結果完全由服務器控制。


因為色情產業的暴利性質,催生了成熟的產業鏈。

3.1 應用製作
該類程序為了降低開發成本,程序往往採用第三方或開源的直播框架、國外的在線客服系統(或使用QQ客服、郵箱客服等)、第四方支付系統、提前搭建好的服務器組成。服務器大多架設在國外或者香港地區。


3.2 推廣傳播
該類程序往往通過小型應用商店、網盤、網頁、論壇等方式獲取首批用戶,然後通過分享推廣返利或招募代理的方式,吸引用戶進行推廣,企圖實現裂變。

3.3 主播招募
直播主播一般有“家族”和個人兩種類型。其中一個“家族”往往擁有多名主播,在多個平台開設直播,有管理員統一進行管理並從主播的收入中分成,個人主播需要單獨通過客服進行實名認證。

3.4 獲利方式
3.4.1 廣告獲利
投放廣告是該類程序重要的獲利途徑之一,黑產團隊往往有專門的廣告客服進行接洽,廣告形式主要是誘導用戶點擊,然後跳轉至廣告應用下載站點。

廣告內容五花八門,主要是一些非法的**賭博APP、色情內容APP、彩票APP、VPNAPP等類型的應用推廣廣告。

3.4.2 付費內容獲利
除了普通的直播外,很多程序還提供了付費的直播形式,包括按觀看時長收費、入場收費等多種形式。

3.4.3 直播打賞分成獲利
在直播間內,主播會誘導觀眾進行打賞,當用戶打賞到一定額度時,主播可以開啟1對1的直播間或聽從用戶指示等福利。

3.4.4 充值VIP會員獲利
程序對普通用戶可以觀看的視頻等內容進行了限制,將一些更具誘惑的視頻設置為VIP專屬,誘導用戶充值VIP。

3.4.5 購買虛擬道具獲利
程序還提供了各種道具,這些道具大多沒有實際用途,在程序中相當於一種身份象徵。

3.4.6 誘騙用戶賭博獲利
程序提供了在線賭博功能,提供多種類型的賭博形式,用戶可以進行充值押注,但往往程序可以控制開牌結果。

四、溯源追踪
4.1 應用下載地址溯源
過濾出的部分應用下載地址域名信息如下:

通過whois域名查詢,可知該域名的聯繫人為路**,聯繫郵箱為ch**oubei***ming@126.com,該郵箱的拼音意為“出售備案域名”。

通過反查聯繫人和聯繫郵箱,分別可以查到17個和13315個域名,可以大致推斷該域名目前屬於第三方域名商。
4.1.2 n**a.cn
通過whois域名查詢,可知該域名的聯繫人為何**,聯繫郵箱為94***640@qq.com。

聯繫郵箱對應的QQ號信息如下:

通過聯繫人反查和聯繫郵箱反查,分別可以查詢到11個和12個域名,其中通過聯繫郵箱反查獲取到域名如下:

可以看到其中有一個註冊者為深圳市**科技有限公司,該公司的法定代表人為何**,該公司的基本信息如下圖所示:

通過查詢找到了該公司的聯繫郵箱為26***942@qq.com,電話號碼為153***26439,QQ號和手機號均未能找到有效信息,該公司沒有官網,註冊地址為深圳市南山區蛇口工業***大廈*樓*05。該域名當前為備案狀態,備案號為贛ICP備17016885號,備案信息如下:

4.1.3 sh***u.cn
通過whois查詢可知該域名的聯繫人為楊**,聯繫郵箱為dom***rotect@vip.qq.com。

通過聯繫人和聯繫郵箱可以分別反查到4256個和4245個域名,可以推測該域名目前應該屬於第三方域名商。
4.2 提供服務域名溯源
過濾出的部分服務器域名:

4.2.1 x**z2.cn
通過whois查詢可知,域名的註冊人為劉*,聯繫郵箱為1571****256@163.com,可以推測郵箱的前綴1571****256為一個手機號。

使用郵箱前綴的手機號進行搜索,可以查找到改手機號綁定的支付寶賬戶,但是並未實名認證。

分別通過聯繫人和聯繫郵箱進行whois反查,可以分別查詢到1643個和13個註冊域名,在反查到的域名中,可以關聯到大量的聯繫郵箱,以27***6492@qq.com為例,找到了郵箱對應的QQ號信息。


通過查看QQ空間可知,“劉*”應該是灰產從業人員,其儲備了大量微博賬號、互動號、聚美優品號等賬號用於出售,推測其儲備的大量域名也被用於出售。
4.2.2 y***ue.cn
通過whois域名查詢,可知該域名的聯繫人為常*,聯繫郵箱為mobile_23ffa****06b4f@mail.22.cn,根據聯繫人和聯繫郵箱,未反查到其他信息。

訪問該域名,發現該域名已經被標記為惡意網站,通過查詢該域名的備案信息,可以獲取到該網站的其他幾個域名,域名信息如下:

這幾個域名中大部分都不可訪問,其中yw**ui.cn可以訪問,是一款名為“趣聊”的APP服務器,該應用未見其他惡意行為,其下載地址為http:// y**ou.cn/趣聊.apk。

4.2.3 xmj***hu.cn
通過查詢備案信息,可知該網站主辦單位為杭州**信息技術有限公司,負責人為周**,也是該公司的實際控制人,目前該公司已於2019年7月30日註銷。

通過whois查詢該域名的信息,可知其目前註冊人為陳**,郵箱為62***418@qq.com,註冊時間為2019年8月8日。

通過聯繫人反查和聯繫郵箱反查,我們可以查詢到該註冊人和註冊郵箱被分別用於註冊了379個和953個域名,其中聯繫人主要為陳**和陳**。根據該QQ郵箱,可以找到該QQ號碼的信息。

該QQ號碼的空間因為被多名用戶舉報,已無法查看,但該QQ提供了另一個QQ號碼82***060,該QQ號碼是域名交易平台“**網”的業務QQ。基於以上推斷,域名xmj***hu.cn很可能實際控制者為“**網”,即廣州**在線網絡科技有限公司,為第三方域名商。


4.2.4 n**3p.cn
通過whois查詢域名信息可知,該域名的聯繫人為貴州**勞務有限公司,聯繫郵箱為114****020@qq.com。

通過QQ賬號可知,該域名也被域名商掌握,其網站為a**i.com.cn,電話為1558***4772。


通過whois反查聯繫人和聯繫郵箱,可以分別查詢到144個和264個域名,其中不乏有大量的已備案的域名。
4.2.5 s***uw.cn
通過whois查詢域名可知域名聯繫人為胡**,聯繫郵箱為bei****88@163.com。

通過whois反查聯繫人和聯繫郵箱,可以分別查詢到14個和3個域名,查詢到的部分域名聯繫郵箱為44****493@qq.com,QQ信息如下:

4.2.6 fux***ua.cn
通過whois域名查詢到該域名的聯繫人為白水縣**服裝設計工作室,聯繫郵箱為33***6771@qq.com。

通過QQ空間的信息可以推測該QQ應該為直播平台的客服QQ,處理結算等事宜。


4.2.7 ta**n.cn
通過whois域名查詢,查到該域名的聯繫人為劉**,聯繫郵箱為3454***847@qq.com。

查詢到的QQ賬號信息為:

總結
非法直播類和視頻類應用利用了人們易於被即時滿足所吸引的特點,借助色情、賭博、彩票等能夠給人帶來一時快感的內容推波助瀾,使用戶在非理性的狀態下即進行充值消費,從而牟取暴利。網絡誘惑無處不在、五花八門,只有大家攜手同行、**誘惑,才能創造出和諧向上、風朗氣清的網絡空間。