1 2目录Contents前言...............................................................................................................................3一、2022年黑灰产发展现状.....................................................................................5二、2022年黑灰产攻击资源分析...........................................................................12三、2022年黑灰产攻击技术分析...........................................................................26四、2022年黑灰产攻击场景分析...........................................................................35五、风险对抗思路.....................................................................................................50 3前言“从业者超200万，平均年龄23岁，市场规模高达1100亿”这是来自中国互联网协会关于“黑灰产市场规模”的一项统计数据。在巨额利益的驱动下，黑灰产从业者疯狂游走在监管边缘地带，黑产各类攻击资源高度市场化、模块化，产业链不同层级的团伙分工明确又配合严密。网络黑灰产业链在与各方对抗中不断升级，不少企业被迫卷入黑灰产的漩涡。“知己知彼”才能打破攻防僵局，推动有效治理。黑灰产业链一直是威胁猎人重点研究的内容，威胁猎人发布《2022年黑灰产业研究报告》（以下简称《报告》），客观呈现2022年黑灰产发展态势，深入分析黑灰产攻击资源、技术、场景并提出针对风险防治思路。 4黑灰产发展现状01 5一、2022年黑灰产发展现状《报告》统计数据显示，2022年国内的黑灰产业仍然非常发达，主要表现为：规模更庞大、产业链结构更清晰、攻击更高效、覆盖场景更广泛。1.1八亿余条黑灰产相关情报，2022年黑灰产规模依然庞大2022年，威胁猎人情报平台监测到8亿余条黑灰产相关情报，黑产规模依旧十分庞大。2022年黑灰产产业链整体结构可按照供需关系分为资源、服务、变现三个层级，并以此来区分产业链的上中下游：资源层：作为上游，把控黑灰产作恶的底层基础资源；服务层：作为中游，整合上游资源和自身技术，为下游攻击提供各种服务支持；变现层：作为下游，也就是实际黑产攻击群体，对业务进行攻击并最终实现利益变现。 61.22022年黑灰产从业人员规模更广，较2021年增长10%2022年黑产从业人员规模更广，2022年黑灰产从业人员数量较2021年增长了10%左右。1.3受“断卡行动”持续影响，2022年黑产资源新增数量减少黑手机卡是十分重要的黑灰产资源。无论是营销作弊还是刷粉刷赞等，黑产都需要囤积大量账号，而账号的主要来源就是黑手机卡注册。2022年“断卡行动”持续升温，黑产获取国内传统黑手机号的难度越来越大，2022年传统黑手机号增量较2021年下降了约26%。 7黑IP同样是重要黑灰产资源之一，黑灰产利用海量黑IP绕过企业针对IP的风控，并隐藏攻击者的真实IP。2022年黑IP资源整体变化不大，日活跃黑IP的数量较2021年增长了约12%。 8黑银行卡是网络赌博、色情、诈骗等违法行为洗钱的重要资源。威胁猎人情报平台监测发现，2022年新增的黑银行卡数量较2021年下降了约20%，经研究推断，主要由于2022年“断卡行动”持续升温，各银行对于黑银行卡的治理取得一定成效。1.4黑产攻击服务划分为三大模块：“过身份”、“多身份”、“批量化”威胁猎人针对产业链中游服务层进行深入研究及总结，将攻击服务划分为“过身份”、“多身份”、“批量化”三大模块，其中每个模块涉及到多种攻击技术。 9过身份：利用伪造身份、人脸等方式绕过平台认证，可以注册虚假账号并正常参与平台业务和活动；多身份：利用多开、改机、改定位等技术伪造多个“正常”设备，从而绕过平台对于单身份的限制；自动化：利用自动化脚本或群控工具，批量完成注册、登录、点击等业务操作。注：针对2022年黑灰产攻击资源、技术的具体分析，将在第二、三章详细讲解。1.5黑灰产作恶形势依旧严峻，涉及营销作弊、虚假刷量等6大重点攻击场景 102022年黑灰产规模不减，作恶情况依旧严重。威胁猎人围绕营销作弊、虚假刷量、数据泄漏等2022年黑灰产重点攻击场景进行了深入研究，其中营销作弊仍然是黑灰产最主要的攻击场景，此外，刷量产业链不断进化，新型“高级账号”刷量悄然出现。注：更多黑灰产攻击场景分析将在第四章详细讲解。 11黑灰产攻击资源分析02 12二、2022年黑灰产攻击资源分析2.12022年黑手机卡资源增量波动较大据威胁猎人观察，黑灰产通过传统黑手机卡、拦截卡、海外卡等方式为各风险场景作恶提供了充足的“弹药”，体现出黑灰产极强的对抗力和生命力。2.2.1传统黑手机卡传统黑手机卡指非正常实名的手机SIM卡，渠道多样，有企业匿名卡、历史物联网卡、通信虚拟卡等等，主要特征是“在生命周期内被黑产固定持有”，即在这个期限内无论注册哪个平台，进行何种行为均可判断为恶意。2022年传统黑手机卡资源供给并不稳定，每月传统黑手机卡新增数量如下图所示： 13经威胁猎人情报专家分析，增量波动较大的原因主要有两点：1、受“断卡行动”的持续影响，卡商难以通过营业厅内鬼等渠道批量开新卡，不少卡商只能利用旧卡开展一些新业务；2、传统黑手机号卡的最主要对接渠道——接码平台，在2022年受公安打击、平台跑路等现实因素影响，加剧了黑卡增量的波动。面对监管平台的重拳出击，黑产团伙也出现了各种应对招数：1、部分卡商发掘出新渠道进行批量开卡（如：利用云平台号码隐私保护服务），因此部分时间段供卡量出现增长；2、接码平台受多种现实因素影响，卡商逐步聚集到极少数头部接码平台，这些平台的服务器通常架设在海外，打击难度较大；3、为了避免被轻易发现，越来越多的卡商采用私密对接的方式，2022年私密对接的接码方式逐渐由“群接码”转变为“网页接码”。群接码：卖家在QQ、微信等社交软件中组建的群组容易遭到检测并封禁，因此需频繁组建或更换接码群，群接码较不稳定；网页接码：有特定黑产团伙负责开发转码软件及网站，卖家可以通过软件生成专属链接，提供给买家用于接收短信内容（俗称接码房间），网页接码更加便捷和隐蔽，其原理如下： 14以下是2022年两种接码方式的走势对比，可以看出，网页接码的规模持续增长，而群接码持续下降。2022年底，网页接码每月接收验证码的数量已达到数千万规模，而群接码几乎消失殆尽。 152.2.2拦截卡拦截卡主要特征是“手机号为自然人持有”，也就是“实名卡”，指在具备通信功能的移动设备上留下后门或植入木马，拦截正常用户手机设备收到的短信内容，利用其开展恶意行为，我们简称其为“拦截卡”。威胁猎人调查发现，2022年上半年拦截卡数量极少，主要因2022年初拦截卡平台集体跑路，从2022年7月份开始，陆续出现多个新的拦截卡平台并持续活跃，因此2022年下半年拦截卡数量明显增长。2.2.3海外黑卡 16海外黑卡无论是接码平台还是卡源都在海外，因此海外黑卡并未受到专项打击的影响，2022全年海外黑卡数量较为稳定，从海外黑卡的地域分布来看，主要集中在美国、加拿大、香港、东南亚等区域。2.22022年黑IP日活量稳定在300万左右，家庭宽带黑IP占比位居第一 172022年黑IP资源数量较为平稳，日活跃的黑IP数量稳定在300万左右。威胁猎人研究员针对黑IP主要类型进行分析（排除掉IP类型未知的数据），发现家庭宽带类型的黑IP占比最高，超过85%；其次是企业专线和数据中心，占比在6%-8%左右；而移动网络和校园网络等其他类型的黑IP，占比仅0.35%。家庭宽带：黑产所使用的秒拨及动态代理IP基本属于家庭宽带类型，主要利用“家庭宽带拨号每次断线重连，会重新获取一个新IP”的原理，秒拨及动态代理IP价格便宜、数量大、切换方便，因此成为了黑产大规模攻击的首选黑IP资源。企业专线：企业专线类型的黑IP数量在近一两年有所上升，部分黑IP资源供给方通过企业身份申请企业专线IP，并以优质池、独享池等方式进行出售。由于这些黑IP价格昂贵，往往会被某些定向攻击的黑产团伙固定使用，其识别难度更大。 18数据中心：数据中心类型的黑IP资源主要用于秒杀、抢购等营销作弊场景，该类场景往往需要网速更快的IP资源，因此资源供给方会选择租用机房，来满足部分黑产快网速IP资源的需求。2022年代理IP需求激增，黑IP的资源供给方以代理IP平台为主2022年，黑IP的资源供给方主要是不合规的代理IP平台以及秒拨平台，其中以代理IP平台为主，随着各大应用开始展示用户IP归属地，代理IP的需求激增，无形中促进了代理IP平台的数量增长。同时，代理IP平台和秒拨平台联系紧密，很多动态代理IP都由秒拨平台拨出。IPv6日渐普及，支持IPv6的秒拨平台数量逐年增加 19IPv6在国内日渐普及，对黑IP资源供给方持续产生影响。目前，虽然代理IP平台尚未提供IPv6的代理IP，但自20219年起秒拨平台已经提供支持IPv6的秒拨机，同时支持IPv6的秒拨平台数量逐年增加。针对部分支持IPv6的秒拨机，经威胁猎人情报专家测试和分析发现：1、得益于IPv6远大过IPv4的地址空间，IPv6秒拨机拨出的IPv6地址重复率非常低，攻击者完全可以做到每次攻击使用不同IP地址，这给黑IP的识别带来了新的挑战；2、虽然IPv6秒拨机每次拨出来的IPv6地址不一样，但在地址分配上仍然遵循着一定的规律。威胁猎人通过观察到秒拨平台对IPv6地址分配的规律，结合捕获黑产使用的IPv6数据进行分析，形成识别规则，构成一套IPv6风险识别算法，能为企业检测出业务流量中IPv6流量在活跃时间内的风险值。随着互联网的快速发展和普及，全球IPv4地址已濒临枯竭。而IPv6作为替代IPv4的下一代IP协议，在IP地址数量、安全性、移动性、服务质量等方面有着巨大优势，企业需要时刻关注黑产在IP资源供给侧的变化，并及时采取应对策略。 202.3银行卡、第三方支付、虚拟货币成主要网络洗钱资源据有关部门统计，目前我国非法赌博人数超过千万，每年境内流出涉赌资金超一万亿元，严重威胁国家经济安全。针对全网赌博、跑分等违法平台，威胁猎人情报研究员经过长期调查与数据分析发现，2022年网络洗钱的主要渠道如下：2.3.1银行卡银行卡仍然是最主要的网络洗钱渠道，尤其是针对网络赌博洗钱渠道。从2022年下半年起，黑银行卡呈现快速上升趋势，在世界杯期间月新增量超过5万。 21通过对比近两年银行涉赌卡数量占比的排名变化发现，排名上升最快的前10家银行中有8家是农村信用社，由此可见，随着大行打压，赌资洗钱风险有所转移，农村信用社银行卡逐渐被赌博平台规模化利用。 222.3.2虚拟货币由于匿名性、难以追踪等特点，虚拟货币长期被黑产用于洗钱等地下交易支付渠道。2022年，用于洗钱的虚拟货币活跃数量较为稳定，并于2022年11月世界杯小组赛期间达到峰值，月活跃量超过5万。2.3.3充值缴费APP黑产恶意利用某些APP的话费、电费等充值缴费功能，通过低价代他人充值缴费完成洗钱，2022年，充值缴费的洗钱方式被更多黑产所利用。以代缴电费为例，2022年下半年通过代缴电费进行洗钱的虚假账号数量呈快速上升的趋势。 232.2.4数字人民币数字人民币钱包作为一种新兴的支付方式，从2022年7月起，普遍被网络赌博平台用于收款洗钱，呈现出明显上升趋势。 24数字人民币钱包主要分为