中国“网络黑产”规模达到千亿级别 网络安全亟待多维度防御体系

经济观察网 记者 邓晓蕾 信息安全对网民来说意味着什么？

4月20日召开的全国网络安全和信息化工作会议明确了要树立正确的网络安全意识。习近平总书记强调“没有网络安全就没有国家安全，就没有经济社会稳定运行，广大人民群众利益也难以得到保障。”

事实上，重大的网络安全事件对世界范围的网络安全威胁和风险日益突出。以 Facebook泄露 5000万用户数据为例，一度造成该公司市值下跌1000亿美元；2017年，影响全球的WannaCry勒索病毒，至少有150个国家遭受了攻击，受害的电脑超过了23万台。在中国，中国建设银行的ATM机，一些加油站的加油系统（调度系统、工业控制系统）等，都纷纷中招。

2016—2018年全球风险排名TOP5变化表

在世界经济论坛发布的《2018年全球风险报告》中，排名第一的是极端天气；排名第二的是自然灾害；排名第三的是网络攻击的风险；排名第四的是数据诈骗或者数据泄露的风险。这说明，网络安全已经成为除了自然灾害以外，最大的风险所在。

据测算，中国“网络黑产”从业人员已超过150万，市场规模达到千亿级别。

网络安全攻击的加剧，正是黑产从业者疯狂敛财的结果。那么，这些“网络黑产”是如何把病毒变现的呢？

“最为常见的就是手机恶意广告推送（RottenSys恶意病毒）。”资深网络安全从业者Check Point 北区技术经理谭云告诉记者。3月初，Check Point移动安全团队在小米红米手机上发现了一个伪装成安卓系统服务的病毒——“系统Wi-Fi服务”。这个系统不但不会向用户提供任何跟Wi-Fi相关服务，并且还会读取到与Wi-Fi服务无关的敏感权限列表，包括静默下载安装的权限，以及读取通讯录、控制摄像头和控制麦克风等。

经过调查追踪，Check Point还发现了其背后长期活跃的手机恶意广告推送团伙，并将此次事件命名为RottenSys，即腐败系统的意思。

“RottenSys是一个非常活跃的病毒，并且非常狡诈。据统计，它仅仅在3月3号到3月12号的10天时间里，一共展示了1300多万次的主动广告，其中55万次转化成用户点击。” 谭云表示。

以此来算一笔账：根据广告行业最保守的估计，以每次点击20美分和每千次展示40美分的价格估计，在短短的10天之内，黑产从业者从RottenSys的恶意广告推送行为里，获利了超过11.5万美元。（仅仅从已知设备的情况来算。RottenSys通常有非常多的变体，每个变体会针对不同的广告系列、不同的设备类型、广告平台和传播渠道等，进行量身定制。如果它隐含的传播设备更广，它的获利是更可观的。）

据悉，RottenSys最早从2016年9月开始传播，到2017年7月，进入爆发式的增长，直到现在还处于稳定的增长期。截至2018年3月12日，预计RottenSys感染了多达500万台设备，其中影响最大的移动品牌包括不限于华为荣耀手机、小米、OPPO和vivo等。

事实上，随着大数据、云计算、人工智能等新一代信息技术的应用，网络安全威胁逐渐往大规模 (跨国家和行业)、多向量 (网络, 云, 移动终端)以及高强度(国家资助的技术)进行演变，如何构建更高级的防御措施，是网络安全领域亟需解决的问题。

“黑产从业者的胃口不断膨胀。有证据表明，攻击者还一直通过控制主机测试一些新的僵尸网络的活动。目前，更多控制RottenSys病毒的C&C服务器，即黑客的服务器被发现。”谭云表示。

举个例子，攻击者有计划的利用腾讯Tinker的应用程序虚拟化的框架，作为它的新的dropper机制传播。它分发的这些病毒代码，可以将受害者的设备，即手机、Pad，变成更大的僵尸网络里的从属设备。

显然，如果控制了这么一个移动端的僵尸网络，将会变得很有钱。这也就意味着，不停的“逐利”会造成整个黑产链条越来越庞大。

“4.29首都网络安全日”上，来自BAT、360、赛门铁克、Check Point等国内外网络安全行业伙伴共议“净网”，表示将强化社会责任，坚持理性自律，坚守职业道德，抵制违法犯罪。

在此之前，据公安部的消息，今年2月公安部部署全国公安机关组织开展了“净网2018”网上秩序打击整治专项行动，重点打击侵犯公民个人信息、黑客攻击、网络黑产等违法犯罪，以及网上“黄赌毒”、“枪爆刀”等问题。

截至目前，已累计侦破各类网络犯罪案件1791起，抓获嫌疑人3513名。同时，依法查处违法违规网站1.1万家次，关停违规网络账号2.5万个，清理网上涉黄、涉毒、涉枪、涉赌等违法有害信息65万余条，对22家问题突出的网站以及337家IDC进行了挂牌督办整治。

或许在《网络安全法》在法律层面奠定基础的情况下，面对新形势和新要求。我们不仅需要树立正确的网络安全观念、正视网络安全问题。下一步更大的考验将是如何从多维度建立完善的防御体系。