色情直播類黑色產業鏈背後黑幕分析
暗影安全實驗室 Hack 6天前
丨本文轉自嘶吼RoarTalk 4hou.com
導讀:2019年9月16日,網絡安全宣傳週在天津開幕,本次宣傳週以”網絡安全爲人民,網絡安全靠人民”爲主題。當前,我國網絡空間安全問題異常嚴峻,個人隱私保護,網絡詐騙,網絡釣魚,網絡漏洞,惡意代碼等問題突出,無時無刻不對人們的正常生產生活造成巨大威脅。網絡安全具有”水桶效應”,從物理設備安全、行爲安全、數據安全再到內容安全,每一個環節都是網絡空間安全不可或缺的一部分。
隨着近年來移動互聯網的發展,產生了一大批內容平臺,但因內容不合規,屢屢傳出被下架、被關停的消息,由此可見,網絡內容安全問題不容忽視,特別是以非法內容形成的黑色產業鏈應成爲重點打擊對象。
一、總體概述
1.1 基本概述
視頻直播類黑產是指打着視頻平臺、直播平臺的旗號,從事傳播色情內容、傳播惡意應用等非法內容並以此獲利的黑色產業鏈。這些黑色產業鏈條有成熟的運行機制,它們通過涉黃直播、淫穢視頻、黃色小說、賭博遊戲等內容來吸引用戶,通過廣告、用戶充值消費、誘導用戶賭博等手段來獲取收益。爲了獲取更大利益,有些平臺使用錄製的直播視頻替代真正的主播以降低成本,有些賭博遊戲的開獎結果則被牢牢控制。不僅如此,通過這些非法平臺,也催生出了大量的網絡招嫖、網絡賭博、網絡詐騙等犯罪行爲。
1.2 程序運行原理
通過對該類樣本進行分析可知,該類樣本主要由防止被封禁、獲利、分享推廣獲取新用戶三部分組成,其主要工作原理如圖1-2-1所示。
圖1-2-1 程序工作原理圖
二、技術手段
2.1 代碼保護
部分程序爲了防止被反編譯,採用了知名第三方產商的加固系統進行代碼加固保護。
圖2-1-1 程序代碼加固保護示例1
圖2-1-2 程序代碼加固保護示例2
2.2 不斷更新應用
程序爲了防止被封禁,不斷更新升級。
圖2-2-1 程序頻繁更新
2.3 頻繁更換域名(大量備用域名)
程序爲了防止被封禁,準備了大量的域名。
圖2-3-1 程序更換備用域名
2.4 CDN緩存加速
程序通過DNS解析,選擇與用戶連接條件最好的IP地址提供服務。
圖2-4-1 域名解析
2.5 後臺操控賭博
部分程序中存在在線賭博內容,以“騰訊分分彩”遊戲爲例,該賭博遊戲聲稱以QQ實時在線人數的末尾數爲開獎結果,用戶猜中可以獲取到對應賠率的獎勵。
圖2-5-1 在線賭博遊戲
通過代碼分析可知,程序獲取的開獎結果,並非來自QQ實時在線人數,而是由程序服務器下發,結果完全由服務器控制。
圖2-5-2 程序訪問服務器獲取開獎結果代碼
圖2-5-3 程序解析服務器下發內容示例
三、黑色產業鏈分析
因爲色情產業的暴利性質,催生了成熟的產業鏈,產業鏈各環節流程如圖3-1所示。
圖3-1 黑色產業鏈流程圖
3.1 應用製作
該類程序爲了降低開發成本,程序往往採用第三方或開源的直播框架、國外的在線客服系統(或使用QQ客服、郵箱客服等)、第四方支付系統、提前搭建好的服務器組成。服務器大多架設在國外或者香港地區。
圖3-1-1 直播框架分佈圖
圖3-1-2 服務器站點地域分佈圖
3.2 推廣傳播
該類程序往往通過小型應用商店、網盤、網頁、論壇等方式獲取首批用戶,然後通過分享推廣返利或招募代理的方式,吸引用戶進行推廣,企圖實現裂變。
圖3-2-1 應用推廣傳播
3.3 主播招募
直播主播一般有“家族”和個人兩種類型。其中一個“家族”往往擁有多名主播,在多個平臺開設直播,有管理員統一進行管理並從主播的收入中分成,個人主播需要單獨通過客服進行實名認證。
圖3-3-1 主播加入
3.4 獲利方式
3.4.1 廣告獲利
投放廣告是該類程序重要的獲利途徑之一,黑產團隊往往有專門的廣告客服進行接洽,廣告形式主要是誘導用戶點擊,然後跳轉至廣告應用下載站點。
圖3-4-1 從服務器獲取的廣告位配置
廣告內容五花八門,主要是一些非法的**賭博APP、色情內容APP、彩票APP、VPNAPP等類型的應用推廣廣告。
圖3-4-2 投放的廣告類型
3.4.2 付費內容獲利
除了普通的直播外,很多程序還提供了付費的直播形式,包括按觀看時長收費、入場收費等多種形式。
圖3-4-3 付費直播
3.4.3 直播打賞分成獲利
在直播間內,主播會誘導觀衆進行打賞,當用戶打賞到一定額度時,主播可以開啓1對1的直播間或聽從用戶指示等福利。
圖3-4-4 直播間打賞
3.4.4 充值VIP會員獲利
程序對普通用戶可以觀看的視頻等內容進行了限制,將一些更具誘惑的視頻設置爲VIP專屬,誘導用戶充值VIP。
圖3-4-5 誘導充值VIP
3.4.5 購買虛擬道具獲利
程序還提供了各種道具,這些道具大多沒有實際用途,在程序中相當於一種身份象徵。
圖3-4-6 購買虛擬道具
3.4.6 誘騙用戶賭博獲利
程序提供了在線賭博功能,提供多種類型的賭博形式,用戶可以進行充值押注,但往往程序可以控制開牌結果。
圖3-4-7 在線賭博
四、溯源追蹤
4.1 應用下載地址溯源
過濾出的部分應用下載地址域名信息如下:
4.1.1 i**2.cn
通過whois域名查詢,可知該域名的聯繫人爲路**,聯繫郵箱爲ch**oubei***[email protected],該郵箱的拼音意爲“出售備案域名”。
圖4-1-1 i**2.cn域名查詢
通過反查聯繫人和聯繫郵箱,分別可以查到17個和13315個域名,可以大致推斷該域名目前屬於第三方域名商。
4.1.2 n**a.cn
通過whois域名查詢,可知該域名的聯繫人爲何**,聯繫郵箱爲94***[email protected]。
圖4-1-2 n**a.cn域名查詢
聯繫郵箱對應的QQ號信息如下:
圖4-1-3QQ號信息
通過聯繫人反查和聯繫郵箱反查,分別可以查詢到11個和12個域名,其中通過聯繫郵箱反查獲取到域名如下:
圖4-1-4 whios反查
可以看到其中有一個註冊者爲深圳市**科技有限公司,該公司的法定代表人爲何**,該公司的基本信息如下圖所示:
圖4-1-5 註冊公司信息
通過查詢找到了該公司的聯繫郵箱爲26***[email protected],電話號碼爲153***26439,QQ號和手機號均未能找到有效信息,該公司沒有官網,註冊地址爲深圳市南山區蛇口工業***大廈*樓*05。
該域名當前爲備案狀態,備案號爲贛ICP備17016885號,備案信息如下:
圖4-1-6 域名備案信息
4.1.3 sh***u.cn
通過whois查詢可知該域名的聯繫人爲楊**,聯繫郵箱爲dom***[email protected]。
圖4-1-7 sh***u.cn域名查詢
通過聯繫人和聯繫郵箱可以分別反查到4256個和4245個域名,可以推測該域名目前應該屬於第三方域名商。
4.2 提供服務域名溯源
過濾出的部分服務器域名:
4.2.1 x**z2.cn
通過whois查詢可知,域名的註冊人爲劉*,聯繫郵箱爲1571****[email protected],可以推測郵箱的前綴1571****256爲一個手機號。
圖4-1-8 x**z2.cn域名信息
使用郵箱前綴的手機號進行搜索,可以查找到改手機號綁定的支付寶賬戶,但是並未實名認證。
圖4-1-9 支付寶賬戶
分別通過聯繫人和聯繫郵箱進行whois反查,可以分別查詢到1643個和13個註冊域名,在反查到的域名中,可以關聯到大量的聯繫郵箱,以27***[email protected]爲例,找到了郵箱對應的QQ號信息。
圖4-1-10 郵箱信息
通過查看QQ空間可知,“劉*”應該是灰產從業人員,其儲備了大量微博賬號、互動號、聚美優品號等賬號用於出售,推測其儲備的大量域名也被用於出售。
4.2.2 y***ue.cn
通過whois域名查詢,可知該域名的聯繫人爲常*,聯繫郵箱爲mobile_23ffa****[email protected],根據聯繫人和聯繫郵箱,未反查到其他信息。
圖4-1-11 y***ue.cn域名信息
訪問該域名,發現該域名已經被標記爲惡意網站,通過查詢該域名的備案信息,可以獲取到該網站的其他幾個域名,域名信息如下:
圖4-1-12 域名備案信息
這幾個域名中大部分都不可訪問,其中yw**ui.cn可以訪問,是一款名爲“趣聊”的APP服務器,該應用未見其他惡意行爲,其下載地址爲http://y**ou.cn/趣聊.apk。
圖4-1-13 “趣料”app
4.2.3 xmj***hu.cn
通過查詢備案信息,可知該網站主辦單位爲杭州**信息技術有限公司,負責人爲周**,也是該公司的實際控制人,目前該公司已於2019年7月30日註銷。
圖4-2-1 xmj***hu.cn域名備案
通過whois查詢該域名的信息,可知其目前註冊人爲陳**,郵箱爲62***[email protected],註冊時間爲2019年8月8日。
圖4-2-2 whios反查
通過聯繫人反查和聯繫郵箱反查,我們可以查詢到該註冊人和註冊郵箱被分別用於註冊了379個和953個域名,其中聯繫人主要爲陳**和陳**。根據該QQ郵箱,可以找到該QQ號碼的信息。
圖4-2-3 QQ號信息
該QQ號碼的空間因爲被多名用戶舉報,已無法查看,但該QQ提供了另一個QQ號碼82***060,該QQ號碼是域名交易平臺“**網”的業務QQ。基於以上推斷,域名xmj***hu.cn很可能實際控制者爲“**網”,即廣州**在線網絡科技有限公司,爲第三方域名商。
圖4-2-4 QQ號信息
4.2.4 n**3p.cn
通過whois查詢域名信息可知,該域名的聯繫人爲貴州**勞務有限公司,聯繫郵箱爲114****[email protected]。
圖4-2-5 n***3p.cn域名信息
通過QQ賬號可知,該域名也被域名商掌握,其網站爲a**i.com.cn,電話爲1558***4772。
通過whois反查聯繫人和聯繫郵箱,可以分別查詢到144個和264個域名,其中不乏有大量的已備案的域名。
4.2.5 s***uw.cn
通過whois查詢域名可知域名聯繫人爲胡**,聯繫郵箱爲bei****[email protected]。
圖4-2-7s***uw.cn域名信息
通過whois反查聯繫人和聯繫郵箱,可以分別查詢到14個和3個域名,查詢到的部分域名聯繫郵箱爲44****[email protected],QQ信息如下:
圖4-2-8 QQ信息
4.2.6 fux***ua.cn
通過whois域名查詢到該域名的聯繫人爲白水縣**服裝設計工作室,聯繫郵箱爲33***[email protected]。
圖4-2-9fux***ua.cn域名信息
通過QQ空間的信息可以推測該QQ應該爲直播平臺的客服QQ,處理結算等事宜。
圖4-2-10 QQ關聯信息
4.2.7 ta**n.cn
通過whois域名查詢,查到該域名的聯繫人爲劉**,聯繫郵箱爲3454***[email protected]。
圖4-2-11 ta**n.cn域名信息
查詢到的QQ賬號信息爲:
圖4-2-12 QQ賬號信息
4.3支付信息溯源
獲取到的部分收款賬戶信息:
表4-3 收款賬戶信息
賬戶類別
收款賬戶
|
支付寶1 |
黃**(**福) |
|
支付寶2 |
菲*(*紅虎) |
|
支付寶3 |
陳** |
|
支付寶4 |
**百貨超市 |
|
支付寶5 |
**物業 |
|
支付寶6 |
義烏市**網絡科技有限公司 |
|
支付寶7 |
**購智慧生活 |
|
支付寶8 |
劍英卡2(*劍英) |
|
支付寶9 |
重慶**資科技集團有限公司 |
|
支付寶10 |
廣州**科技有限公司 |
|
微信號1 |
藍精靈 |
|
微信號2 |
陳**~太平洋保險1824**39584(**玲) |
|
微信號3 |
幸子(*幸) |
|
微信號4 |
l**b11111/lxzb321/2592509752 |
|
微信號5 |
la***110/電話(852-91433199) |
|
***1 |
任*(中國銀行:621785050003084****) |
|
***2 |
樑**(中國交通***:622262072000928****) |
4.4其他信息溯源
過濾出的部分聯繫信息:
表4-3 QQ客服信息
QQ客服1
243***3071
|
QQ客服2 |
27***31181 |
|
QQ客服3 |
191***5146 |
|
QQ客服4 |
廣告對接(1961***539) |
|
QQ客服5 |
主播認證(1335***105) |
|
QQ客服6 |
渠道推廣(106****916) |
|
QQ客服7 |
家族入駐(1962***215) |
|
QQ客服8 |
分享提現(17***322) |
|
QQ客服9 |
充值查詢(1165***901) |
|
QQ客服10 |
1063***966 |
|
QQ客服11 |
12***9944 |
|
QQ客服12 |
人工充值(3065***677) |
|
QQ客服13 |
拉新獎勵(203****980) |
|
郵箱客服1 |
av***[email protected] |
|
郵箱客服2 |
xian***[email protected] |
|
郵箱客服3 |
|
|
TG羣組 |
lu***ir567 |
五、總結
非法直播類和視頻類應用利用了人們易於被即時滿足所吸引的特點,藉助色情、賭博、彩票等能夠給人帶來一時快感的內容推波助瀾,使用戶在非理性的狀態下即進行充值消費,從而牟取暴利。網絡誘惑無處不在、五花八門,只有大家攜手同行、**誘惑,才能創造出和諧向上、風朗氣清的網絡空間。
六、防範及處置建議
(1)封禁應用分發域名;
(2)封禁惡意傳播的內容;
(3)封禁非法內容站點;
(4)深挖移動支付收款賬號信息,往往背後還伴隨着大規模的洗錢行爲;
(5)普通用戶應該提高網絡安全意識,看清楚這些應用的真面目,主動防範。
