视频直播类黑色产业链专项分析
本帖最后由 Andy0214 于 2020-4-19 09:37 编辑导读:2019年9月16日,网络安全宣传周在天津开幕,本次宣传周以”网络安全为人民,网络安全靠人民”为主题。当前,我国网络空间安全问题异常严峻,个人隐私保护,网络诈骗,网络钓鱼,网络漏洞,恶意代码等问题突出,无时无刻不对人们的正常生产生活造成巨大威胁。网络安全具有”水桶效应”,从物理设备安全、行为安全、数据安全再到内容安全,每一个环节都是网络空间安全不可或缺的一部分。
随着近年来移动互联网的发展,产生了一大批内容平台,但因内容不合规,屡屡传出被下架、被关停的消息,由此可见,网络内容安全问题不容忽视,特别是以非法内容形成的黑色产业链应成为重点打击对象。
一、总体概述
1.1 基本概述视频直播类黑产是指打着视频平台、直播平台的旗号,从事传播色情内容、传播恶意应用等非法内容并以此获利的黑色产业链。这些黑色产业链条有成熟的运行机制,它们通过涉黄直播、淫秽视频、黄色小说、赌博游戏等内容来吸引用户,通过广告、用户充值消费、诱导用户赌博等手段来获取收益。为了获取更大利益,有些平台使用录制的直播视频替代真正的主播以降低成本,有些赌博游戏的开奖结果则被牢牢控制。不仅如此,通过这些非法平台,也催生出了大量的网络招嫖、网络赌博、网络诈骗等犯罪行为。
https://image.3001.net/images/20191021/15716602607430.png!small
图1-1-1 直播间在线赌博
https://image.3001.net/images/20191021/15716602691518.png!small
图1-1-2 网络招嫖信息
1.2 程序运行原理
通过对该类样本进行分析可知,该类样本主要由防止被封禁、获利、分享推广获取新用户三部分组成,其主要工作原理如图1-2-1所示。
https://image.3001.net/images/20191021/15716602908948.png!small
图1-2-1 程序工作原理图
二、技术手段
2.1 代码保护
部分程序为了防止被反编译,采用了知名第三方产商的加固系统进行代码加固保护。
https://image.3001.net/images/20191021/15716603223551.png!small
图2-1-1 程序代码加固保护示例1
https://image.3001.net/images/20191021/1571660330998.png!small
图2-1-2 程序代码加固保护示例2
2.2 不断更新应用
程序为了防止被封禁,不断更新升级。
https://image.3001.net/images/20191021/15716603606249.png!small
图2-2-1 程序频繁更新
2.3 频繁更换域名(大量备用域名)
程序为了防止被封禁,准备了大量的域名。
https://image.3001.net/images/20191021/15716603793603.png!small
图2-3-1 程序更换备用域名
2.4 CDN缓存加速
程序通过DNS解析,选择与用户连接条件最好的IP地址提供服务。
https://image.3001.net/images/20191021/15716604046839.png!small
图2-4-1 域名解析
2.5 后台操控赌博
部分程序中存在在线赌博内容,以“腾讯分分彩”游戏为例,该赌博游戏声称以QQ实时在线人数的末尾数为开奖结果,用户猜中可以获取到对应赔率的奖励。
https://image.3001.net/images/20191021/15716604311865.png!small
图2-5-1 在线赌博游戏
通过代码分析可知,程序获取的开奖结果,并非来自QQ实时在线人数,而是由程序服务器下发,结果完全由服务器控制。
https://image.3001.net/images/20191021/15716604566850.png!small
图2-5-2 程序访问服务器获取开奖结果代码
https://image.3001.net/images/20191021/15716604772089.png!small
图2-5-3 程序解析服务器下发内容示例
三、黑色产业链分析
因为色情产业的暴利性质,催生了成熟的产业链,产业链各环节流程如图3-1所示。
https://image.3001.net/images/20191021/15716605929996.png!small
图3-1 黑色产业链流程图
3.1 应用制作
该类程序为了降低开发成本,程序往往采用第三方或开源的直播框架、国外的在线客服系统(或使用QQ客服、邮箱客服等)、第四方支付系统、提前搭建好的服务器组成。服务器大多架设在国外或者香港地区。https://image.3001.net/images/20191021/15716606141977.png!small
图3-1-1 直播框架分布图
https://image.3001.net/images/20191021/15716606504070.png!small
图3-1-2 服务器站点地域分布图
3.2 推广传播
该类程序往往通过小型应用商店、网盘、网页、论坛等方式获取首批用户,然后通过分享推广返利或招募代理的方式,吸引用户进行推广,企图实现裂变。
https://image.3001.net/images/20191021/15716606745329.png!small
图3-2-1 应用推广传播
3.3 主播招募
直播主播一般有“家族”和个人两种类型。其中一个“家族”往往拥有多名主播,在多个平台开设直播,有管理员统一进行管理并从主播的收入中分成,个人主播需要单独通过客服进行实名认证。
https://image.3001.net/images/20191021/15716606977510.png!small
图3-3-1 主播加入
3.4 获利方式
3.4.1 广告获利投放广告是该类程序重要的获利途径之一,黑产团队往往有专门的广告客服进行接洽,广告形式主要是诱导用户点击,然后跳转至广告应用下载站点。
https://image.3001.net/images/20191021/15716607324475.png!small
图3-4-1 从服务器获取的广告位配置
广告内容五花八门,主要是一些非法的**赌博APP、色情内容APP、彩票APP、VPNAPP等类型的应用推广广告。
https://image.3001.net/images/20191021/15716607634156.png!small
图3-4-2 投放的广告类型
3.4.2 付费内容获利
除了普通的直播外,很多程序还提供了付费的直播形式,包括按观看时长收费、入场收费等多种形式。
https://image.3001.net/images/20191021/15716607838424.png!small
图3-4-3 付费直播
3.4.3 直播打赏分成获利
在直播间内,主播会诱导观众进行打赏,当用户打赏到一定额度时,主播可以开启1对1的直播间或听从用户指示等福利。
https://image.3001.net/images/20191021/15716608041073.png!small
图3-4-4 直播间打赏
3.4.4 充值VIP会员获利
程序对普通用户可以观看的视频等内容进行了限制,将一些更具诱惑的视频设置为VIP专属,诱导用户充值VIP。
https://image.3001.net/images/20191021/15716608278642.png!small
图3-4-5 诱导充值VIP
3.4.5 购买虚拟道具获利
程序还提供了各种道具,这些道具大多没有实际用途,在程序中相当于一种身份象征。
https://image.3001.net/images/20191021/15716608488749.png!small
图3-4-6 购买虚拟道具
3.4.6 诱骗用户赌博获利程序提供了在线赌博功能,提供多种类型的赌博形式,用户可以进行充值押注,但往往程序可以控制开牌结果。
https://image.3001.net/images/20191021/15716608745648.png!small
图3-4-7 在线赌博
四、溯源追踪
4.1 应用下载地址溯源
过滤出的部分应用下载地址域名信息如下:
表 4-1 下载地址域名信息
应用分发
地址域名
联系人域名联系邮箱IP地址物理地址
i**2.cn 路** ch**oubei***ming@126.com 47.**.106.54 香港
n**a.cn 何** 941445640@qq.com 103.121.94.243 香港
sh***u.cn 杨** dom***rotect@vip.qq.com 101.**.133.124 上海
4.1.1 i**2.cn
通过whois域名查询,可知该域名的联系人为路**,联系邮箱为ch**oubei***ming@126.com,该邮箱的拼音意为“出售备案域名”。
https://image.3001.net/images/20191021/15716609204187.png!small
图4-1-1 i**2.cn域名查询
通过反查联系人和联系邮箱,分别可以查到17个和13315个域名,可以大致推断该域名目前属于第三方域名商。
4.1.2 n**a.cn
通过whois域名查询,可知该域名的联系人为何**,联系邮箱为94***640@qq.com。
https://image.3001.net/images/20191021/15716609415561.png!small
图4-1-2 n**a.cn域名查询
联系邮箱对应的QQ号信息如下:
https://image.3001.net/images/20191021/15716611393288.png!small
图4-1-3QQ号信息
通过联系人反查和联系邮箱反查,分别可以查询到11个和12个域名,其中通过联系邮箱反查获取到域名如下:
https://image.3001.net/images/20191021/15716611646118.png!small
图4-1-4 whios反查
可以看到其中有一个注册者为深圳市**科技有限公司,该公司的法定代表人为何**,该公司的基本信息如下图所示:
https://image.3001.net/images/20191021/15716611937769.png!small
图4-1-5 注册公司信息
通过查询找到了该公司的联系邮箱为26***942@qq.com,电话号码为153***26439,QQ号和手机号均未能找到有效信息,该公司没有官网,注册地址为深圳市南山区蛇口工业***大厦*楼*05。该域名当前为备案状态,备案号为赣ICP备17016885号,备案信息如下
:https://image.3001.net/images/20191021/15716612428583.png!smallhttps://image.3001.net/images/20191021/15716612422642.png!smallhttps://image.3001.net/images/20191021/15716612421668.png!small
图4-1-6 域名备案信息
4.1.3 sh***u.cn
通过whois查询可知该域名的联系人为杨**,联系邮箱为dom***rotect@vip.qq.com。
https://image.3001.net/images/20191021/15716612727473.png!small
图4-1-7 sh***u.cn域名查询
通过联系人和联系邮箱可以分别反查到4256个和4245个域名,可以推测该域名目前应该属于第三方域名商。
4.2 提供服务域名溯源
过滤出的部分服务器域名:
表4-2 服务器域名
服务器地址域名
联系人域名联系邮箱IP地址物理地址
xz**2.cn 刘* 157***9256@163.com 47.**.4.230 日本
y**ue.cn 常* mobile_23ffa7c90ae06b4f@mail.22.cn 61.***.215.227 湖北襄阳
xmj***hu.cn 陈** 626***418@qq.com 116.***.118.87 湖北荆州
nv**p.cn 贵州**劳务有限公司 1144***020@qq.com 60.***.59.188等 安徽池州
sy**uw.cn 胡** bei***88@163.com 116.***.184.212 湖北恩施
fux***ua.cn 白水县**服装设计工作室 33***6771@qq.com 122.***.4.221等 浙江温州
t**8n.cn 刘** 34***3847@qq.com 104.***.80.102 美国
4.2.1 x**z2.cn
通过whois查询可知,域名的注册人为刘*,联系邮箱为1571****256@163.com,可以推测邮箱的前缀1571****256为一个手机号。
https://image.3001.net/images/20191021/15716613043977.png!small
图4-1-8x**z2.cn域名信息
使用邮箱前缀的手机号进行搜索,可以查找到改手机号绑定的支付宝账户,但是并未实名认证。
https://image.3001.net/images/20191021/15716613231230.png!small
图4-1-9 支付宝账户
分别通过联系人和联系邮箱进行whois反查,可以分别查询到1643个和13个注册域名,在反查到的域名中,可以关联到大量的联系邮箱,以27***6492@qq.com为例,找到了邮箱对应的QQ号信息。
https://image.3001.net/images/20191022/15717143932029.png!smallhttps://image.3001.net/images/20191022/1571714413380.png!small
图4-1-10 邮箱信息
通过查看QQ空间可知,“刘*”应该是灰产从业人员,其储备了大量微博账号、互动号、聚美优品号等账号用于出售,推测其储备的大量域名也被用于出售。
4.2.2 y***ue.cn
通过whois域名查询,可知该域名的联系人为常*,联系邮箱为mobile_23ffa****06b4f@mail.22.cn,根据联系人和联系邮箱,未反查到其他信息。
https://image.3001.net/images/20191023/15717979704583.png!small
图4-1-11 y***ue.cn域名信息
访问该域名,发现该域名已经被标记为恶意网站,通过查询该域名的备案信息,可以获取到该网站的其他几个域名,域名信息如下:
https://image.3001.net/images/20191023/15717979967357.png!small
图4-1-12 域名备案信息
这几个域名中大部分都不可访问,其中yw**ui.cn可以访问,是一款名为“趣聊”的APP服务器,该应用未见其他恶意行为,其下载地址为http://y**ou.cn/趣聊.apk。
https://image.3001.net/images/20191023/15717980191380.png!small
图4-1-13 “趣料”app
4.2.3 xmj***hu.cn
通过查询备案信息,可知该网站主办单位为杭州**信息技术有限公司,负责人为周**,也是该公司的实际控制人,目前该公司已于2019年7月30日注销。
https://image.3001.net/images/20191023/15717981706986.png!small
图4-2-1 xmj***hu.cn域名备案
通过whois查询该域名的信息,可知其目前注册人为陈**,邮箱为62***418@qq.com,注册时间为2019年8月8日。
https://image.3001.net/images/20191023/15717981957443.png!small
图4-2-2 whios反查
通过联系人反查和联系邮箱反查,我们可以查询到该注册人和注册邮箱被分别用于注册了379个和953个域名,其中联系人主要为陈**和陈**。根据该QQ邮箱,可以找到该QQ号码的信息。
https://image.3001.net/images/20191023/15717982645392.png!smallhttps://image.3001.net/images/20191023/15717982719090.png!small
图4-2-3 QQ号信息
该QQ号码的空间因为被多名用户举报,已无法查看,但该QQ提供了另一个QQ号码82***060,该QQ号码是域名交易平台“**网”的业务QQ。基于以上推断,域名xmj***hu.cn很可能实际控制者为“**网”,即广州**在线网络科技有限公司,为第三方域名商。
https://image.3001.net/images/20191023/15717983091476.png!smallhttps://image.3001.net/images/20191023/15717983146090.png!small
图4-2-4 QQ号信息
4.2.4 n**3p.cn
通过whois查询域名信息可知,该域名的联系人为贵州**劳务有限公司,联系邮箱为114****020@qq.com。
https://image.3001.net/images/20191023/15717983389650.png!small
图4-2-5 n***3p.cn域名信息
通过QQ账号可知,该域名也被域名商掌握,其网站为a**i.com.cn,电话为1558***4772。
https://image.3001.net/images/20191023/1571798372425.png!smallhttps://image.3001.net/images/20191023/15717983795736.png!small
图4-2-6 QQ关联
通过whois反查联系人和联系邮箱,可以分别查询到144个和264个域名,其中不乏有大量的已备案的域名。
4.2.5 s***uw.cn
通过whois查询域名可知域名联系人为胡**,联系邮箱为bei****88@163.com。
https://image.3001.net/images/20191023/15717984003157.png!small
图4-2-7s***uw.cn域名信息
通过whois反查联系人和联系邮箱,可以分别查询到14个和3个域名,查询到的部分域名联系邮箱为44****493@qq.com,QQ信息如下:
https://image.3001.net/images/20191023/15717984246478.png!small
图4-2-8 QQ信息
4.2.6 fux***ua.cn
通过whois域名查询到该域名的联系人为白水县**服装设计工作室,联系邮箱为33***6771@qq.com。
https://image.3001.net/images/20191023/15717984472284.png!small
图4-2-9fux***ua.cn域名信息
通过QQ空间的信息可以推测该QQ应该为直播平台的客服QQ,处理结算等事宜。
https://image.3001.net/images/20191023/15717984852908.png!smallhttps://image.3001.net/images/20191023/15717984916865.png!small
图4-2-10 QQ关联信息
4.2.7 ta**n.cn
通过whois域名查询,查到该域名的联系人为刘**,联系邮箱为3454***847@qq.com。
https://image.3001.net/images/20191023/15717985116892.png!small
图4-2-11 ta**n.cn域名信息
查询到的QQ账号信息为:
https://image.3001.net/images/20191023/15717985336479.png!small
图4-2-12 QQ账号信息
4.3支付信息溯源
获取到的部分收款账户信息:
表4-3 收款账户信息
账户类别收款账户
支付宝1 黄**(**福)
支付宝2 菲*(*红虎)
支付宝3 陈**
支付宝4 **百货超市
支付宝5 **物业
支付宝6 义乌市**网络科技有限公司
支付宝7 **购智慧生活
支付宝8 剑英卡2(*剑英)
支付宝9 重庆**资科技集团有限公司
支付宝10 广州**科技有限公司
微信号1 蓝精灵
微信号2 陈**~太平洋保险1824**39584(**玲)
微信号3 幸子(*幸)
微信号4 l**b11111/lxzb321/2592509752
微信号5 la***110/电话(852-91433199)
***1 任*(中国银行:621785050003084****)
***2 梁**(中国交通***:622262072000928****)
4.4其他信息溯源过滤出的部分联系信息:表4-3 QQ客服信息
QQ客服1243***3071
QQ客服2 27***31181
QQ客服3 191***5146
QQ客服4 广告对接(1961***539)
QQ客服5 主播认证(1335***105)
QQ客服6 渠道推广(106****916)
QQ客服7 家族入驻(1962***215)
QQ客服8 分享提现(17***322)
QQ客服9 充值查询(1165***901)
QQ客服10 1063***966
QQ客服11 12***9944
QQ客服12 人工充值(3065***677)
QQ客服13 拉新奖励(203****980)
邮箱客服1 av***ir@gmail.com
邮箱客服2 xian***shipin@gmail.com
邮箱客服3 a***win@gmail.com
TG群组 lu***ir567
五、总结
非法直播类和视频类应用利用了人们易于被即时满足所吸引的特点,借助色情、赌博、彩票等能够给人带来一时快感的内容推波助澜,使用户在非理性的状态下即进行充值消费,从而牟取暴利。网络诱惑无处不在、五花八门,只有大家携手同行、**诱惑,才能创造出和谐向上、风朗气清的网络空间。
六、防范及处置建议(1)封禁应用分发域名;(2)封禁恶意传播的内容;(3)封禁非法内容站点;(4)深挖移动支付收款账号信息,往往背后还伴随着大规模的洗钱行为;(5)普通用户应该提高网络安全意识,看清楚这些应用的真面目,主动防范。原文地址:https://www.freebuf.com/articles/terminal/216252.html 茫茫狐 发表于 2020-4-30 08:47
下面不是有链接么,点进去看了下,是19年的事,现在不知道改了多少碴了,要查的画就要从头开始查了
嗯嗯,很难,现在最新出来的是裸聊诈骗 下面不是有链接么,点进去看了下,是19年的事,现在不知道改了多少碴了,要查的画就要从头开始查了 学到了学到了,打击黑产灰产
牛!!!!! 灰产黑产都不能逍遥法外 大佬,你这个应该报警处理吧~~ ding 一个 。。。。。 厉害,这个应该推给网警 厉害 要破案了