破局黑产：守护亿级DAU游戏的安全实战密码​

丁家泺腾讯云游戏安全产品经理 2013-2015年 2015-2017年 2017-至今 2012-2013年 重玩法游戏（MOBA、FPS） 重度内容游戏（卡牌、ARPG） 休闲游戏 重社交游戏（MMO） 黑产发展 黑产爆发 全面爆发 黑产出现 影响：主要影响异步PVP与排行榜场景特点：实现方式简单，修改数据为主炫耀是动机（夸张数值），免费分享为主 影响：竞技游戏作弊打破平衡，内容监管特点：定制外挂暴增，更新快；游戏黑话内容黑产呈全球范围，更全面，对抗的挑战更大 影响：新增打金、代充/退款等影响收入特点：手机墙、猫池/卡池等群控技术钱是动机，黑产产业形成，生产环境+教学 影响：卡牌类逻辑安全，玩家间无流转特点：修改数据，破解版及少量定制挂变强是动机（获取游戏资源），免费分享为主 对游戏成败影响越来越大 AI合成身份欺诈 •在支付交易等高安全需求场景，人工智能为欺诈者提供了大量利用合成视频或音频的机会•盗号洗号黑产团队除批量低频撞库外，结合AI视觉系统绕过人脸验证，尤其针对高价值游戏账号蹲点集中攻击 AI外挂 •AI外挂的识图模型具有跨游戏通用、代码开源等特点，极大降低了外挂制作门槛•变种发展迅速，从N卡GPU扩展至A卡GPU，甚至隐藏于脚本中与硬件结合实现 挂车和演员 •挂车：和开挂的账号主动组队并获得收益的玩家，为挂车玩家•演员：演员和老板通过局前卡匹配的方式，匹配到同一局的不同阵营，操控比赛输赢的行为 透视、自瞄是射击游戏最常见的外挂作弊方式 正式上线 CBT/封测 •策划改进&数值优化•产品轻测&游戏性测试•转向调优&质量治理 •游戏demo验证•核心玩法创意&美术音频风格•目标市场定位 •外部用户全量测试•全面验证产品质量•产品和运营指标明确 •精细化运营•持续监控 TDR 1 TDR 3 TDR 2 •技术运营检查•安全方案接入•异常检测接入•未成年保护系统接入•商标&著作权申请•版号&游戏内容审核&实名认证 •基础组件选型&技术设计•服务器&客户端架构设计•游戏的核心概念&玩法&市场分析•美术&音频风格和质量•Demo质量•专利保护 •服务器&客户端评审•测试：客户端性能、兼容、crash率、弱网络、漏洞安全、服务器性能•安全：安全日志、idip接入（反外挂、UGC、黑产管控）•运营风控检查 •腾讯游戏安全团队•汇聚顶尖的游戏安全专家 客户端主动防御 智能运营管理 •提供丰富的管理后台功能，实现数据统计、策略管理、自助对抗和风险管理等反外挂运营中需要的核心能力。 •行为+样本检测相结合，采用核心的防变种能力，覆盖常见通用外挂。•针对风险环境的精准检测能力。同时提供相关反外挂功能点，累计超过20项。 Replay是一个通过游戏回放检测作弊的方案，业内独创。通过人工智能技术，自动检测玩家在游戏中的异常行为表现。 ①Replay是玩家在游戏过程中产生的一种录像文件，保存着玩家在特定场景下面的游戏行为信息； 目前已经与国内外TOP厂商建立合作，为全球1000+款精品游戏提供了服务。 Thank you感谢观看！ 游戏行业的安全密码腾讯云安全实践分享 腾讯云安全田伟 目录Menu •01.游戏安全事件及入侵手法分析•02.安全建设方案及实践应用举例•03.行业典型案例及品牌优势介绍 01.游戏安全事件及入侵手法分析 近些年，游戏行业安全事件频发 2024.02 2023.10 2024.05 2024.10 海外老牌格斗游戏遭遇外挂攻击，游戏排行榜前列竣备外挂玩家占领，多位高分玩家向官方倾诉不满，认为游戏的反作弊系统存在问题。 由某射击类网络游戏公司协助警方侦破的全国首例“AI外挂”案进行了一审公开宣判。该团队利用AI外挂手段侵入、非法控制计算机信息系统的程序、工具，并获取巨额利润。 国产爆火的主机游戏被黑客破解，在破解版本流出的两个小时里，注册用户数已超过八千名，给游戏公司带来较大的经济损失和负面口碑。 国内某游戏遭遇APT攻击，内网服务器及办公PC被全面入侵，导致15GB核心数据泄露。 2025.03 2024.06 2024.03 2023.12 暴雪硬核服务器遭遇大规模DDoS攻击事件，以致OnlyFangs等头部公会的解散，同时，玩家质疑暴雪服务器的抗攻击能力，认为其安全防护体系未能匹配硬核模式的高难度挑战。 海外某MMO游戏出现“物品复制”漏洞，大量复制道具流入游戏，致使游戏经济系统受创，不少玩家因此退游。 海 外 某MMO游 戏 出 现“无 限 金币”BUG，作弊玩家获得超额金币后快速通关游戏，此举引起了大量玩家的不满，纷纷退游抗议。 海 外 某 畅 销 版 前 三 的FPS游 戏 遭 遇DDoS攻击，致使游戏服务器出现故障，无法正常游戏。 专注于游戏行业的专业黑客组织 “招聘季”发现的新型攻击手法： Wxx家族：长期针对网络游戏行业等开展攻击，通过窃取游戏的源代码，在黑市出售或用于制作山寨游戏获利，还会操纵和积累游戏内部货币并转化为真实钱财，此外，还会通过非法加密货币挖掘来为其基础设施和运营提供资金。 攻击手段多样且隐蔽 技术能力高超 •供应链攻击娴熟：长期针对网络游戏行业等开展供应链攻击，如入侵游戏公司的构建协调服务器，在游戏可执行文件中植入恶意代码； •恶意软件功能独特：其使用的PortReuse后门模块独特，不具备硬编码的命令与控制（C&C）服务器，而是滥用NetAgent来处理恶意软件对开放端口的监听，还滥用VMProtectPacker来阻止分析和逆向工程。 •钓鱼攻击精准：以IT人员为主要目标，通过鱼叉式网络钓鱼攻击渗透单一目标，以软件更新、破解版软件等为诱饵，诱导用户下载并执行恶意程序； •代码混淆与加密：恶意软件支持新的逃避技术，如通过基于跳转的控制流平坦化进行代码混淆，并使用XOR和ChaCha20加密来混淆特征字符串，使检测和逆向工程变得复杂。 •通信方式隐蔽：如PortReuse后门不创建进程来建立连接，而是注入到活跃的合法进程中，复用已打开的TCP端口，通过特定的“魔法包”触发恶意活动，且仅在计算机磁盘写入一个文件，其余部分驻留在内存中，以此隐藏踪迹。 •伪造数字证书：经常窃取游戏公司等目标的数字证书，用于签名恶意软件，使其看起来像是合法的软件更新或组件，以此绕过安全检测机制。 1、投递存在后门的简历给游戏公司HR（文件名：lqq.pdf）2、冒充zoom等热门软件存在后门安装包 游戏公司典型入侵路径分析 攻击者首先在互联网边界找到目标游戏公司资产弱点/云密钥后，进一步入侵主机，在主机内释放后门文件，在内网进行漏洞扫描进一步横移，最终目的获取客户的游戏源代码、客户数据等核心资产，常见的入侵路径如下： 客户1：拿到泄露的云访问密钥（任意文件读、github泄露）——通过云API获取cos数据（cosbrowser）、tat对服务器下发命令——写入sshkey——日本、韩国IP登录服务器——fscan进行横移——释放kdebug后门文件——服务器内窃取数据 客户2：jenkins对外且存在弱口令——登录jenkins下发恶意job执行反弹shell命令——横移其他内网机器——释放kdebug后门文件——fscan扫描其他机器 02.安全建设方案及实践应用举例 应对方案：涵盖事前/事中/事后的防护能力 事后：风险应急&溯源 事前：风险监测 事中：风险对抗 应急响应服务：提供基于安全攻击&泄密事件的应急和分析，最大程度地还原攻击者来源、攻击途径和攻击痕迹，分析问题产生原因； 云上三层安全防线（云防火墙、WAF、主机&容器安全）+一个安全中心（云安全中心） 全网暴露面测绘，范围包括但不限于：Ø互联网资产（主机、域名、 网络信息、应用服务、证书）Ø关联资产信息（Web、小程序、支付宝、其他）Ø组织及供应链（企业架构、供应商、招投标）Ø可利用情报（Github、社工库、暗网、社区等信息泄露）Ø互联网资产脆弱性（漏洞、弱口令、配置等） 网络防线-云防火墙：提供云上所有网络边界的双向访问控制、身份认证、入侵防御等，网络层面的风险阻断； 应用防线-WAF：解决Web业务（网站、小游戏、APP等）应对Web攻击、入侵、漏洞利用、挂马、篡改、后门、爬虫等网站及Web业务安全防护问题 计算防线-主机&容器安全：提供包括：病毒检测、漏洞检测、脆弱性分析、恶意文件检测、异常登录告警、非法外联告警等能力； 终端防线：一体化安全办公管理系统IOA： Ø基于员工身份的动态访问控制和终端数据防泄漏DLP能力，有效识别并阻断员工主动/被动泄密行为； 云安全中心：提供云上的AK异常分析能力，并可实现跨云跨账号的统一安全管理。 事前-暴露面管理：常态化风险监测和威胁发现 •监测范围超过4000+黑产渠道，其中付费、非公开渠道100+个 持续威胁暴露面管理（CTEM）–ContinuousThreatExposureManagement即持续不断评估企业数字和物理资产的可访问性、暴露性和可利用性 •监控超过200+勒索组织动态，基于资产自动关联企业资产泄露风险 功能亮点 1.与现有安全产品或工具无缝融合2.暴露面发现流程按需编排、更加灵活3.基于自动化工作流构建，过程可视可管理 事前-终端零信任IOA：一体化安全办公系统 零信任iOA=SSLVPN+杀毒+桌管+终端检测与响应EDR+终端防泄密DLP+软件管家+远程桌面/协助软件 零信任iOA是基于腾讯内部实践和零信任思想，完全自研的一款终端安全一体化产品。iOA也是国内最早出现的终端Allinone产品，已经服务于数百家B端客户，是CSIG内部最具腾讯特色的安全产品之一。 一体化终端安全管理平台 统一数字化办公平台 企业文化承载入口 全平台支持（PC、手机、信创） 统一业务访问入口 源于腾讯内部实践 一个控制台实现深度联动 一个控制台实现便捷管理 实践应用：终端数据防泄漏DLP 某游戏公司，通过部署IOA产品后： •上线两个月发现上百次源代码文件外发行为，涉及40人员，主要集中在开发、运维和测试部门，初步掌握了日常的工作习惯，已经整理提价业务组长，看是否开启拦截；•发现了数十起密钥文件泄露，涉及10人员； •经过策略的反复优化调整，基于硬件ID等特征，精细化的设置外设和硬件端口的拦截策略，在保障开发、测试工作正常进行的情况下，实现有效安全管控；•通过零信任实现了办公人员的居家&出差的远程办公、移动办公，提升了办公效率。 事中-WAF：保护网站、小游戏、API等Web应用 负 载 均 衡 型WAF（CLBWAF）： 云原生接入，支持云原生（七层）CLB域名&对象接入，对经 过 负 载 均 衡 实 例 监 听 器 的HTTP/HTTPS流 量 进 行 旁 路威胁检测和清洗，实现业务转发和安全防护分离。 SaaSWAF： 通过DNS解析调度实现域名接入，将 防 护 域 名 流 量 调 度 到WAF集群。WAF集群对防护域名进行恶意流量检测和防护后，将正常流量回源到源站，防范网站安全风险，可实现对非腾讯云业务进行防护。 实践应用：API全生命周期事件管理 API安全事件闭环管理： 腾讯云为⽤户提供了API全⽣命周期的事件管理能⼒，可以全⾯管理和控制API安全包括设计、开发、测试、部署和维护的全流程，可以帮助⽤户全⾯提⾼API的安全性和可靠性，减少安全漏洞的发⽣，保护API的机密性和完整性，提⾼API的可管理性和可追溯性。 事中-主机/容器安全：计算层最后一道防线 完整的主机层防护能力&高级威胁防护 实践应用：典型APT攻击精准识别及防护 恶意请求、DNS威胁检测 恶意域名及IP： Ø在主机侧针对恶意下载C2的检测Ø对主机侧高危命令执行的发现Ø对主机异常登录及恶意外联的识别Ø各行业APT攻防情报积累 •a