频道栏目
首页 > 安全 > 网络安全 > 正文

移动平台流量黑产研究 ——色情播放器类恶意软件产业链

2016-12-28 09:20:54           
收藏   我要投稿

移动平台流量黑产研究 ——色情播放器类恶意软件产业链

第一章 冰山一角

随着互联网的迅猛发展和规模不断扩大,计算机网络不仅在工业、银行、科研教育等各个领域发挥重要作用,而且与我们的日常出行、购物、娱乐、社交等生活密不可分。网络在给我们带来便利的同时,也让一些不法分子嗅到了金钱的味道,产生了诸如钓鱼网站、DDOS攻击、DNS劫持、网络流量作弊、恶意程序分发等等黑色产业链。

一、 异常流量

网络流量监测作为计算机网络的基础部分,在互联网大数据下通过对流量曲线的检测和分析,可以在第一时间获取特定时期内的网络负载情况、负载变化情况,直观的评估网络环境的健康程度,对于发现网络流量中的异常行为,可以提早发现问题和网络威胁,组织防范或恢复措施,避免带来严重的问题和损失。

360烽火实验室8月底发现了三组异常流量曲线,流量曲线呈现存活时间短,连续3天此消彼长的态势,访问量集中最高峰值达到近2万次。

\

图1.1 异常流量曲线图

二、 可疑链接

我们通过持续关注和分析,发现了更多(只列举其中10个)存在相似行为的网络主机,并且发现了相似的URL链接。

\

这些可疑链接指向的文件均为名称具有诱惑性、图标暴露的色情播放器类恶意软件,并且链接都包含固定的“list/日期”格式。

三、 链接重定向

链接重定向[1]就是把一个URL重定向到另一个URL上去。重定向即是把一个目录或者文件的访问请求转发至另外一个目录或者文件,当用户发出相应的访问请求时将自动跳转到指定的位置,常见的重定向有301(永久重定向)及302(暂时重定向)两种。

我们在溯源可疑下载链接的来源时发现,这些可疑链接都是在客户端请求某个链接时经过HTTP协议302码暂时重定向指向的链接。

\

图1.3 重定向示意图

每个独立的下载链接之间看似不相干,但实际上都是存在相互关联的。经过一段时间的观察,我们发现客户端在不同时间内请求同一个链接时,返回的重定向页链接是不同的,并且从抽取的流量包中还发现这些网络流量中所返回的Set-Cookie的值都有一个十分明显的固定特征“cdm=http”。这种链接重定向跳转机制导致出现了上面提到的大量可疑下载链接。

\

图1.4 请求同一链接重定向到不同的地址

四、 分发模式

(一) 分层

通过可疑下载链接的表现形式、利用的HTTP协议302码暂时重定向特性以及流量包中的固定特征“cdm=http”,我们关联出更多网络主机间的关系

\

图1.5 更多网络主机关系

它们之间关系表现为分层结构主要分为三层,中间层向上指向同一IP,向下指向多个下载链接,我们将上层命名为“IP层”,中层命名为“跳转层”,下层命名为“下载层”。

\

图1.6 三层结构

(二) 控制模型

从上面的实例分析,我们抽象出一个三层控制模型,通过控制模型实现对色情播放器类恶意软件的传播。

\

图1.7 三层控制模型

下载层:表现为链接每天频繁地变化,出现和消亡的周期短,短时间内访问集中爆发;

跳转层:表现为采用HTTP协议302码暂时重定向,灵活切换控制下载层,与下载层相比数量相对收敛;

IP层:表现为对跳转层的集中控制管理,与下载层和跳转层相比更为收敛,变化程度小。

第二章始作俑者

色情播放器类恶意软件数量近几年呈现爆发式增长,软件总量达到千万量级,时刻威胁着用户手机及财产安全。“天下熙熙,皆为利来;天下攘攘,皆为利往”,这类恶意软件之所以“兴起”,它的背后一定潜伏着巨大的利益与诱惑。我们对色情播放器类恶意软件的来源、危害和传播方式进行了长期关注,揭开了其背后的黑色产业链。

一、重要线索

我们通过网络流量的分析,在“mppay.net”域名下,发现了一个APK包的渠道分发状态后台。后台页面清楚得展示出400多个渠道编号、更新日期时间和对应的下载链接。

\

图2.1分发后台

页面分发的软件全部为色情播放器类软件归属与Trojan.Dropper.Android.FakeDebuggerd.B同一恶意家族,并且分发的软件每天都在更新,我们选取了一段时间内下载的软件进行了统计,其中包括“91爱妹视频”、“成人i影院”、“91爱色院线”等等。

\

图2.2 分发后台下载统计

“mppay.net”域名的备案信息显示,网站名称为“安卓图片”,注册人为汤某,官网地址为“www.mppay.net”。

\

图2.3 备案信息

\

图2.4辉煌国泰网页

官网看似正常,但是我们发现几个细节比较可疑。首先,官网名称为“辉煌国泰”主要销售车载多媒体与备案名称信息不符;其次,官网所有的链接都为无效链接点击无效,并且在网页源码中我们发现“saved from url=(0038)http://www.xinpinhang.com/cn/index.php”

\

图2.5辉煌国泰网页源码

这个链接指向另一个名为“鑫品航电子”的网站,这个网站的链接跳转正常。“辉煌国泰”与“鑫品航电子”两个网站从架构到内容都高度相似。“辉煌国泰”仿冒他人网站内容作为掩护,实际上背后是色情播放器类恶意软件的分发平台。

\

图2.6鑫品航电子网页

通过数据查询,汤某还注册了多个域名,我们发现其他几个也都是一些仿冒网站,域名下存在管理后台暗中推广色情播放器类恶意软件行为。

\

图2.7 域名注册信息

上一篇:Coremail教您如何防范黑客攻击邮件系统
下一篇:Scrapy爬虫(五):有限爬取深度实例
相关文章
图文推荐

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 举报中心

版权所有: 红黑联盟--致力于做实用的IT技术学习网站