介绍

实际上，黑产是指通过违法犯罪行为来获取不正当得利的行为，灰产是指打法律擦边球或是钻法律漏洞，为黑产提供辅助的行为。黑灰产整体的结构，蛮喜欢用这张图描述的：

黑灰产团伙一般都有着明确的分工：

• 上游：根据市场和中下游的需求，开发各类黑灰产软件，提供各类黑灰产业务，黑灰产业务的开发商。
• 开发人员、卡源卡商、猫池厂商、号商、黑客组成
• 中游：主要负责将上游所生产和提供的各类黑灰产软件及服务，进行包装和转售，黑灰产业务的销售商。
• 接码平台、打码平台、发码平台、账号售平台、工具代售平台、地下黑市组成
• 下游：下直接进行黑灰产行为，黑灰产业务的执行者。
• 薅羊毛工作室、黄牛工作室、引流工作室、刷单刷评论工作室等

传统的黑灰产业务包含打码接码、刷单刷量、木马病毒、假冒app、刷粉刷量、恶意注册、洗稿抄袭 、三件套等等，目前比较新兴的黑灰产业务包括AI换脸换声、撞库攻击、付费刷量、指纹面容窃取等等

溯源

简单写了下溯源方法

对于黑灰产业务的溯源，我喜欢分为黑灰产业务溯源和黑灰产人员信息溯源

• 黑灰产业务溯源
• 这块主要针对黑灰产业务相关的资产domain、资产ip、工具hash、业务url、网站备案、网站标题、团伙信息、业务范围、黑灰产业务组织架构等等
• 黑灰产人员信息溯源
• 这块主要针对黑灰产人员信息相关的人员组织结构、姓名、QQ、微信、钉钉、微博、抖音、手机号、支付宝、住址、身份证、常驻地址、人员关系、担任角色、其他注册网站、登录IP、登录机器固件信息

接下来用一个刚收到的实例说明日常我们能做的黑灰产业务溯源：

今天收到一个师傅关于一个黑灰产网站的域名，涉及业务包含QQ相关的吸粉、引流、采集器、群控、养号等等一系列灰产业务，看了一下兴趣来了，做了一下溯源。

主页截图

备案信息

解析IP：101.206.xxx.xxx

根据主办单位，还找到其它几个域名：

ICP备案/许可证号：浙ICP备20200xxxx号-1 网站域名：dingd****.com(101.43.*.*)
ICP备案/许可证号：浙ICP备20200xxxx号-2 网站域名：xiangf****.cn(101.43.*.*)

注册信息

业务横向扩展

联系信息

QQ群

795403xxx
823648xxx
1070127xxx
651280xxx
138012xxx

QQ：

315486xxx
165118xxx（存疑，同绑定手机号，不公开其详细信息）
1564542xxx（曾使用，不确定，目前应该已废弃）

姓名

陶x 现改名为 陶xx

手机号

131******58（不公开）

身份证

4501***********016（不公开）

地址

广西壮族自治区南宁市******

就读

广西**中学 201*级 6班
江西软件****大学

定位

QQ：

31548xxxx
165118xxx（存疑，同绑定手机号）
156454xxx（曾使用，不确定，目前应该已废弃）

邮箱：

31548xxxx@qq.com
131xxxxx@163.com
kexxx@qq.com
kexxxx@qq.com

微博

https://www.weibo.com/u/59411xxxxx

LOL

艾欧尼亚 drexxxxxx

微信

3154xxxxx

支付宝

企业微信

看动态，更新还是蛮活跃的，到这就基本能定位到主要犯罪人员了，因为精力有限，要做更大范围的犯罪团伙捕捉，还能做

• 团伙成员调查：QQ群管理员这些
• 黑灰业务使用者捕捉：群成员调查、黑灰工具关联用户

这两个方法还能关联出一大批的下游黑灰产人员。

为hvv以及威胁情报交流，为各位师傅共享情报（目前已有漏洞情报监测、情报文章播报、泄露情报开发ing），欢迎各位师傅加我wx号：hkmayfly（已满200），拉你入群，也可以找认识ChaMd5的大佬。