文档介绍:移动平台流量黑产研究——色情播放器类恶意软件产业链摘 要 360烽火实验室8月底发现了三组异常流量曲线,流量曲线呈现存活时间短,连续3天此消彼长的态势,访问量集中最高峰值达到近2万次。 大量可疑下载链接数指向的文件均为名称具有诱惑性、图标暴露的色情播放器类恶意软件,并且链接都包含固定的“list/日期”格式。 可疑下载链接均来自重定向跳转,流量数据包中的Set-Cookie的值都有一个十分明显的固定特征“cdm=http”。 抽取相似网络流量特征看,表现出IP层、跳转层、下载层的三层控制分发模型。 通过对可疑域名的的追踪,发现了管理后台、分发的色情播放器类恶意软件以及网站使用的伪装手法。 色情播放器类恶意软件产业链从制作上看,包括恶意模块集成、免杀、视频教程、申请支付ID。 从传播上看,投放方式包括,网页诱导、网页***、广告推广、APP捆绑、论坛和热门影视。 从传播量大的原因看,其中一个是因为在不同时间内,同一链接可以灵活控制重定向到多个下载链接,并且通过检查浏览器UA标识来逃避审查。 从产业链规模看,2016年全年共捕获色情播放器类恶意软件超过800万;色情链接一周的访问流量高达830万余次。 开发者、广告主和网站主是产业链中的主要角色,他们各种拥有不同的技能与资源。 广告联盟作为色情播放器类恶意软件传播中的联系平台,并不是相对独立,而是多个广告联盟呈现上下游的协同合作,是传播量范围大的另一个原因。 以色情播放器类恶意软件产业链视角看移动平台流量黑产的趋势,主要表现在传播手段、变现方式、技术特点、攻击对象和资源实力五个方面。 通过在政策、社会、技术多层面协同联动,有力打击违法犯罪行为,切实净化网络文化环境。关键词:色情播放器、流量黑产、移动平台、恶意软件目 录第一章 冰山一角...........................................................................................................................1一、 异常流量...........................................................................................................................1二、 可疑链接...........................................................................................................................1三、 链接重定向........................................................................................................................2四、 分发模式...........................................................................................................................2(一) 分层...................................................................................................................................2(二) 控制模型...........................................................................................................................3第二章 始作俑者...........................................................................................................................5一、 重要线索...........................................................................................................................5二、 产业链...................................................