安全趋势分析！腾讯发布2018上半年互联网黑产研究报告(2)

随着恶意应用开发商与安全厂商的攻防日趋激烈和深入，恶意软件的开发者倾向于使用将恶意代码隐藏在云服务器并采用云端控制的方式下发恶意功能，最终通过本地框架进行动态加载来达到最佳隐藏恶意行为的效果，云加载技术是目前对抗传统安全软件最好的对抗手段。

[原创文章：www.ii77.com]

根据腾讯安全反诈骗实验室大数据显示，目前使用动态加载技术的应用中，接近一半都是病毒。云加载技术正在成为病毒开发者最喜欢的攻击手段，..、恶意应用分发、游戏暗扣等最..的病毒家族，普遍标配云加载攻击技术来实现利益最大化。

该技术在病毒黑产中的作恶特点是：剥离恶意代码封装成payload，客户端上传特定的信息流交由云服务器控制是否下发执行payload功能，下发的代码最终在内存中加载执行，恶意代码可及时清理并保证恶意文件不落地，防止传统安全客户端感知。腾讯安全专家把这种利用技术成为“云加载”技术。

近年来，随着开发人员对Android系统架构和动态加载技术的理解的深入，各种代码热更新方案和插件化框架被发明并且免费开源，为病毒技术开发者实施云控作恶提供了技术基础，云控技术已经成为绝大多数高危木马的标配，腾讯安全反诈骗实验室近期也发现了若干使用云控技术的病毒家族。

云加载技术目前已经更新到3.0版本，该版本框架病毒开发者不仅可以通过地域、运营商、机型、设备等维度限制感染用户群，还能利用VA等虚拟加载技术彻底剥离恶意代码，通过一个白框架来按需加载扩展各种恶意功能，普通安全厂商很难再捕获到病毒的恶意行为。

2.3黑产渗透更多的供应链，供应链安全风险加剧

回顾整个Android应用供应链相关的重大安全事件可以发现，针对供应链攻击的安全事件在用户影响、危害程度上绝不低于传统的恶意应用和针对操作系统的0day漏洞攻击，腾讯安全专家研究发现针对Android应用供应链的攻击的呈现以下趋势：

1）针对供应链下游（分发环节）攻击的安全事件占据了供应链攻击的大头，受影响用户数多在百万级别，且层出不穷。类似于XcodeGhost这类污染开发工具针对软件供应链上游（开发环境）进行攻击的安全事件较少，但攻击一旦成功，却可能影响上亿用户。

2）第三方SDK安全事件和厂商预留后门也是Android供应链中频发的安全事件，这类攻击大多采用了白签名绕过查杀体系的机制，其行为也介于黑白之间，从影响用户数来说远超一般的漏洞利用类攻击。

3）从攻击的隐蔽性来讲，基于供应链各环节的攻击较传统的恶意应用来说，隐蔽性更强，潜伏周期更久，攻击的发现和清理也都比较复杂。

4）针对供应链各环节被揭露出来的攻击在近几年都呈上升趋势，在趋于更加复杂化的互联网环境下，软件供应链所暴露给攻击者的攻击面越来越多，并且越来越多的攻击者也发现针对供应链的攻击相对针对应用本身或系统的漏洞攻击可能更加容易，成本更低。

1.勒索病毒解密产业链，对企业及公共机构造成严重威胁

2018年，大量企业、政府机关和公共服务机构由于遭遇勒索病毒，生产系统数据被加密破坏，重要业务系统陷入崩溃。勒索病毒攻击者利用各种手段尝试入侵重要机构网络系统，例如通过弱口令漏洞入侵企业网站，再将企业Web服务器作为跳板，渗透到内网，然后利用强大的局域网漏洞攻击工具将勒索病毒分发到内网关键服务器，将企业核心业务服务器、备份服务器数据加密。

病毒一旦得手，企业日常业务立刻陷于崩溃状态，关键业务因此停摆。如果企业网管发现连备份系统也一样被破坏了。那基本只剩下一条路：缴纳赎金。众所周知，勒索病毒的加密技术是高强度的非对称加密，除非得到密钥，解密在理论上都是不可能的。正因为如此，腾讯御见威胁情报中心监测发现了这个不为人知的奇葩产业链：勒索病毒解密产业链。

该产业链的从业者甚至通过购买搜索引擎关键字广告来拓展业务。

当受害企业寻求解决办法时，正规的安全厂商往往会回复，“没有备份数据就找不回来了”。而受害企业通过互联网上的方法寻找到的解密服务商，这些人充当了受害企业联系勒索病毒传播者的中介，相对受害企业，更熟悉虚拟数字币的交易，在一番讨价还价之后，代理受害企业买回解密密钥，从而解密数据。某些情况下，亦不能排除负责解密的中介机构，是否和勒索病毒传播者之间存在某些联系。

除此之外，勒索病毒传播链本身也有专业分工，有人负责制作勒索病毒生成器，交给有网站资源的人分发，各方参与利益分成。

2.控制肉鸡挖矿产业链，游戏外挂成挖矿木马“重灾区”

去年年底，温州市区一家公司的网站被恶意攻击，网警梳理线索时，发现犯罪嫌疑人徐某有重大嫌疑，经过调查，警方果然发现一个利用漏洞安装挖矿木马的犯罪团伙。该团伙有12名成员，利用漏洞攻击别人电脑，获利控制权之后，植入挖矿木马。专案组查明，这一团伙共租赁20余台服务器远程控制了5000余台“肉鸡”，非法挖矿1000余枚门罗币等数字货币（价值约60余万元）。

……

3.DDoS攻击技术不断演进，团伙作案趋势明显

DDoS攻击在分工上由工具开发者向人员多维化发展，也出现了技术、销售、渠道等分工，在DDoS攻击产业链中一般称为接发单人、担保商、肉鸡商、攻击软件开发人员等。随着DDoS的新技术不断的被挖掘出来，DDoS攻击正在规模化、自动化、..化的发展。由于DDoS在技术与..上始终是站在互联网的最前沿，往往我们看到一个峰值的出现，便是互联网的一场灾难。

每一个攻击类型的出现或每一个攻击类型的技术的更新，都是一场攻击者的狂欢，例如今年的Memcached反射放大攻击，不仅仅在技术上达到了5万倍的反射放大效果，而且在流量上更是达到了1.7Tbps的峰值效果。

1）DDoS的攻击类型

SYN Flood做为早期的攻击类型，占比近20%，主要原因是其攻击效果有良好的穿透力，无论是在攻击服务器，还是中间的基础网络设施上，都能在到良好的效果。

同样UDP Flood以其数据包构造灵活的特点仍占有大量比重。占比最大的是排名第一的反射放大攻击（占比60%），反射放大以其攻击成本小、构造发包简单、反射倍数高、在自动化..后端调用方便等特点，成为流量攻击中的首选。

在流行的DDoS攻击类型占比统计中,以IoT设备为反射源的SSDP反射放大已连续几年都占比最高，今年的一支新秀Memcached反射也没有盖过其占比的锋芒。

因为攻击手法的增多，DDoS攻击效果立竿见影，利用DDoS进行勒索、攻击竞争对手的情况越来越普及；催生了DDoS黑色产业链越来越细化，除发单人、担保商、黑客软件作者外，又增加了肉鸡商、接单人、资源提供者、接发单..几个维度。

在巨大经济利益面前，DDoS攻击黑产在多个环节逐渐完成自动化，使整个链条无需人工参与，发单人直接在DDoS..下单，我们称这样的..为“页端DDoS攻击..”。

“页端DDoS攻击..”包括用户..、套餐付费、攻击发起等一系列操作，且在用户侧都可以完成，不需要其他人员参与。页端DDoS攻击..在发起攻击时，是以API形式调用发包机或支持API的C2服务器进行攻击，延迟时间一般小于10秒；对比传统DDoS 攻击来看，已完成了全自动的无人值守攻击方式。页端DDoS攻击..其高度集成管理，在成单率、响应时长、攻击效果等方面都得到了可行的解决。

在..化外，DDoS攻击类型也有长足的发展。例如IoT（物联网）僵尸网络的典型代表mirai针对互联网基础架构服务提供商Dyn DNS(如今的Oracle DYN)进行功击。今年3月份的Memcached反射更是一剂强心针，以5万的反射放大倍数、1.7Tbps的流量峰值再一次刷新了DDoS的认知。

2）DDoS攻击典型案例–“暗夜”攻击团伙案

DDoS攻击黑产会严重影响企业线上业务开展，腾讯云鼎实验室曾配合公安机关破获暗夜DDoS攻击团伙案，该团伙攻击对某客户的游戏业务产生严重影响，玩家访问缓慢，登录掉线，甚至完全没有响应。

腾讯云鼎实验室根据系统日志判断为大流量持续DDoS攻击，单日攻击流量峰会达462G，该团伙掌握的DDoS攻击资源十分庞大。腾讯云鼎实验室通过努力，最终在该团伙控制的其中一台C2服务器发现可疑线索，通过流量、日志、关联等多维度的数据分析，最终定位到证据所在，公安机关根据这些信息在境外将暗夜DDoS黑产团伙一网打尽。