12月22日22时许,快手平台遭遇黑灰产团伙发起的饱和式攻击。据称约1.7万个批量注册或被盗账号被恶意利用,上千个直播间集中推送涉黄、血腥暴力等违规直播内容,部分违规直播间观看人数突破十万量级。针对此次突发安全事件,快手23日0时启动紧急处置预案,关停全平台直播推流并实施封闭管控,至当日0时45分,平台直播推流功能才恢复正常。

相关讨论截图

我们团队第一时间通过重明网络犯罪情报分析平台对相关事件讨论信息进行检索获得了一些发现。目前针对此事件的成因猜测,主要围绕以下几个方面:

一、网红的蓄意报复

近期,快手平台针对边直播低俗擦边内容进行了治理整改活动,大量违规账号遭到封禁处置,其中涉及多个粉丝基数较大的网红账号,部分网红疑似曾从事赌博平台推广引流活动。

关于某网红进行赌博平台引流的讨论信息截图

在黑灰产人员针对此次快手事件的讨论中,部分人员猜测认为是部分网红因不满平台的封禁处置措施,而发起的报复性行为。

相关讨论信息截图

二、黑灰产的试探狂欢

部分黑灰产人员在交流中透露,此次相关违规攻击并非仅针对快手平台,其他短视频平台亦遭到了试探性攻击。但得益于其他短视频平台快速响应的封禁处置机制,该类攻击未造成实质性影响。同时,结合事件发生期间的黑灰产人员讨论信息梳理发现,部分黑灰产人员在察觉到快手审核机制疑似存在漏洞后,逐步加入相关违规操作;此外,受该类氛围传导影响,部分主播也跟风开启了擦边直播,进一步扩大了影响范围。同时部分黑灰产人员聊天中透露,疑似后续攻击对象会转移至其他短视频平台。

相关讨论信息截图

三、资本的恶意做空

部分黑灰产人员提出相关猜测,认为此次快手事件或为针对性策划的资本市场操作,核心目的是通过引发市场恐慌、打压快手股价,进而借助做空交易谋取高额收益;且事件发酵后,亦有部分黑灰产人员公开宣称已参与相关做空活动。

相关讨论信息截图

事件分析

让我们聚焦事件核心,此次快手事件暴露出平台在账号注册管控、黑灰产工具技术识别防控及审核机制流程层面存在的显著漏洞。从本次攻击的物料准备维度分析,黑灰产核心攻击载体为大量具备实名权限的平台账号,其来源主要分为两类:

①通过接码工具绕过平台实名认证策略,批量注册并获取实名权限的账号;

通过长期撞库手段盗取的用户实名账号,以及号商经过注册、实名认证、养号等流程囤积的历史账号。

进一步对比两类账号特征可见:批量注册账号的行为路径相对统一,特征识别难度较低;而盗号及养号账号的注册链路、行为特征更为离散,平台难以在短时间内完成完整特征提取,因此无法实现高效批量封禁。

结合本次攻防对抗持续近2小时的实际情况来看,核心原因在于黑灰产所使用的账号并非临时批量注册,而更可能是号商长期囤积的存量账号——这类账号通过自行注册、地推注册等多元路径获取,再经真人众包实名完成验证,后续还经过一定周期的养号打磨,账号注册时间、行为轨迹等核心特征已高度“合规化”,导致平台短时间内无法通过常规的注册时间、注册路径等特征精准定位违规账号,封禁处置效率大幅受限。

根据重明网络犯罪情报分析平台数据显示,近半年内平台累计捕获各类直播/实名账号黑产贩卖相关信息约953.8万条,这一数据充分反映出黑灰产市场中各类直播/实名账号的流通售卖已形成规模化态势。因此,平台账号安全防护体系的建设不应止步于单一事件驱动的攻防对抗及事后策略补位,更需构建黑灰产账号交易的常态化监控、溯源与治理机制,从源头遏制违规账号的流通与滥用。

相关账号售卖信息示例

目前各短视频平台的审核机制多以“机审→人工初审→人工复审”为核心流程。对于色情、暴恐、血腥及涉政等高风险内容,因其风险系数高、特征标识明确,绝大部分可通过AI模型实现自动化识别与处置;而对于内容存疑或涉及价值观导向判断的边缘内容,则会流转至人工审核环节进行研判。但直播内容受强时效性属性限制,行业内普遍采用“先发后审”的管控模式(即:直播内容先推送至用户端,待监测到违规行为后再启动处置封禁流程),这一模式天然存在违规行为与处置动作的时间间隔。

在本次事件中,短时间内大量违规直播的涌入,一方面可能超出平台AI模型的并发处理阈值,造成审核任务大规模积压,另一方面不排除黑灰产已掌握平台部分审核机制漏洞,成功绕过AI模型的识别与处置流程,致使违规视频直接推送至用户前端。同时由于事件发生于夜间时段,人工审核人员配置较白班显著缩减,因此短时间内缺乏充足的人工审核力量介入干预,最终导致违规直播间的处置响应延时急剧升高,平台直播内容陷入完全失控状态。

结合当前流传的直播内容截图判断,本次攻击所推送的违规内容以涉黄题材为核心,且具备显著的预制色情切片视频特征。从技术实现路径推测,黑灰产极有可能通过两种方式达成违规推流:

  • 一是通过CDN分发劫持篡改直播数据流;

  • 二是借助Xposed、Magisk等系统级框架,拦截物理摄像头的原生数据流并将其重定向至本地预存的色情切片文件,实现“伪数据流注入”。而这类技术已被黑灰产规模化应用于无人直播、视频搬运、批量违规推流等场景中。

本次事件还表现出当前黑灰产攻击模式已发生根本性转变——彻底脱离过往单一场景、单点突破的传统攻击范式,升级为“自动化部署、系统化协同、流程化运作”的复合型攻击形态。他们通过全链路资源整合与策略拆解实施攻击:一方面整合账号物料、技术工具等核心资源,形成规模化攻击储备;另一方面深度挖掘平台风控策略漏洞与审核机制短板,精准定位防御薄弱点。在此基础上,借助群控软件、自动化脚本等工具实现攻击链路的标准化部署,从账号批量启用、违规内容推送,到多账号协同开播,全流程形成闭环式运作,大幅提升攻击效率与规模效应。

从平台关闭直播功能到逐步恢复,空白的直播页面就像一座被紧急疏散的游乐场。而当太阳照常升起,用户如常醒来,刷到的第一条视频是搞笑猫猫时,仿佛什么都没发生。但只有身处安全机房的人知道,昨夜撕开的裂缝,不会自己长好。

黑灰产团伙已经用新兴技术把自己升级成“灰色军队”并发动了“闪击战”,如果其他平台不能实现有效反制,那么成为下一个被攻击的对象,可能只是时间问题。

声明:本文来自无糖反网络犯罪研究中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。