《2020年⿊灰产攻防研究年度总结报告》 永安在线业务安全情报团队 b u m o c . 5 h t i g 页码：1/2 《2020年⿊灰产攻防研究年度总结报告》 永安在线业务安全情报团队 摘要 进⼊21世纪，智能⼿机的普及开始把曾经存在于PC上的媒介、市场逐渐招揽到移动端来。很快，互 联⽹承载的业务场景因为移动属性呈现出爆发式增长，商业模式上个⼈付费能⼒及意愿也在快速增 强，越来越多的⼈愿意享受内容付费带来的服务，如，开通VIP会员，购买线上课程等等。这时互联 ⽹产⽣的连接已经不再只是内容和设备的连接，⽽是场景和个体的连接。 互联⽹的核⼼资源也从设备变成了个体，存在于互联⽹中的每⼀个⽹民就是新互联⽹时代的争夺对 象。与此同时，⿊灰产也逐渐向移动互联⽹的场景转移。 m o c . 5 基于这⼀认知，永安在线对移动互联⽹端内⿊灰产的攻防进⾏了很长⼀段时间的积累。近期，我们 将2020全年的案例积累进⾏了总结分析，凝汇成了此份报告。我们期望这些经验分享，能为企业、 机构和从业者在未来互联⽹的业务安全建设上提供前瞻性的参考，助⼒企业夯实业务安全底座。 本报告的主要内容如下： 第⼀部分，我们将围绕企业的核⼼风险场景，介绍业务安全情报在企业安全中的重要性和价值体 现，并展示永安在线相对应的解决⽅案； 第⼆部分，我们将介绍⿊灰产这条产业链的宏观和微观层面的演变趋势，从攻击⽅式、攻击渠道、 ⼈群画像等维度进⾏案例式解析； 第三、四部分，则主要分享攻防技术的迭代和⿊产⼯具、案例，并给出相应的攻防建议。 b u h t i g 
 页码：1/116 《2020年⿊灰产攻防研究年度总结报告》 永安在线业务安全情报团队 目录 摘要 .................................................................................................................................................1 ⼀、永安在线业务安全情报能⼒...........................................................................................3 1. 业务安全情报平台 .................................................................................................................................3 2. 风控基础数据标签 .................................................................................................................................4 3. 业务安全服务 ..........................................................................................................................................5 m o c . 5 4. Karma业务情报搜索引擎 ....................................................................................................................5 ⼆、⿊灰产攻击的演变趋势 ....................................................................................................6 1. 商业模式转变带来⿊灰产核⼼资源变化 ........................................................................................6 2. 虚假账号的⽣产和流转呈规模化趋势.............................................................................................7 b u 3. 作恶⽅式从自动化⼯具向真⼈众包演变 ......................................................................................15 h t i g 4. 真⼈作弊深度剖析 ...............................................................................................................................22 三、攻防技术的迭代 ...............................................................................................................34 1. ⿊产群控进化史....................................................................................................................................34 2. ⿊产IP资源进化史 ...............................................................................................................................42 3. 秒拨IP识别技术案例分析..................................................................................................................50 4. 新⼯具“IP魔盒”案例分析 ..................................................................................................................55 5. 定制ROM改机案例分析 ....................................................................................................................58 6. ⿊产攻击流程自动化体系 .................................................................................................................62 四、⿊产⼯具情报分析 ...........................................................................................................86 1. ⼯具样本的快速分析和有效性验证 ...............................................................................................86 2. ⼯具分析及案例....................................................................................................................................92 2.1 恶意爬⾍⼯具 ................................................................................................................................................92 2.2 抢券⼯具 .........................................................................................................................................................99 2.3 注册机⼯具 ..................................................................................................................................................108 页码：2/116 《2020年⿊灰产攻防研究年度总结报告》 永安在线业务安全情报团队 ⼀、永安在线业务安全情报能⼒ 永安在线基于业务安全情报的三⼤产品服务线: 1. 业务安全情报平台 帮助企业监控、预警和发现未知风险 m o c . 5 b u h t i g 业务安全情报平台围绕企业的核⼼风险场景：账号安全、营销活动薅⽺⽑、私信/动态恶意 引流、刷量作弊、真⼈众包等业务问题。分析每个风险场景⿊产的产业链结构、团伙特征， 各级⿊产⼈员传递消息、⿊产物料及⿊产服务的渠道和⽅式⽅法。最终将⽹络⿊产按照产业 链的供给结构分为资源、服务、变现三类群体，分别针对不同阶段的⿊灰产进⾏，进⾏情报 渠道挖掘和监控。 页码