事件背景

今早一起床就吃到一个瓜, 如图:

根据多方打听查证得知事件起因如下

2025年12月22日22时起, 某APP直播板块遭黑灰产有组织大规模恶意入侵, 短时间内大量直播间出现涉黄违规内容, 平台紧急处置并发布官方回应。

这次攻击手法是黑灰产利用接码批量注册/劫持账号、干扰审核、分布式推流、实施"饱和攻击", 导致违规内容短时扩散。部分直播间被植入涉黄内容,举报通道拥堵,平台临时关停直播频道入口,23日凌晨起逐步恢复。

官方回复和处置

目前官方的回复内容如下:

(1). 定性为黑灰产恶意攻击, 非系统性黑客入侵,已上报监管并向公安机关报案。

(2). 启动最高级别应急预案,临时关停涉事直播权限、冻结涉事账号约1.7万个,全面清理违规内容。

(3).紧急加固系统、升级AI+人工审核,固定证据并配合溯源打击。

(4).向用户致歉,提醒警惕可疑链接,异常账号需核验与改密。

攻击手段分析

1.攻击性质

这起安全事件不是传统意义上的黑客入侵, 而是一次高度组织化的"业务逻辑层攻击 + 内容安全绕过", 典型特征如下:

(1).不打基础设施。

(2).专打平台规则与审核系统的"灰区与极限", 目标是让违规内容在短事件内大量可见。

2.攻击链路

攻击者策划这起攻击需要分为6个阶段:

(1).账号资源准备

攻击者充分利用接码平台、虚拟号段、海外短信网关,并编写自动化脚本进行批量注册账号, 规避注册风控,例如:IP、设备指纹和注册频率。

设备指纹伪造可以利用Android模拟器、云手机或利用Xposed/Magisk隐藏特征。利用住宅代理、移动基站IP进行IP分散化处理。模拟真实用户操作节奏注册账号。

(2).直播权限与"账号养号"

攻击者并不会马上违规,而是:正常刷视频、关注、点赞, 简单开播不违规内容, 提升账号可信度画像。这样的操作可以让平台对新号直播限制是概率+行为模型, 攻击者用时间和规模熬过这段时间。如果这步没做好,后面所有操作都会被秒封。

(3).违规内容准备

攻击者不会直接播放裸露视频,而是预置多套内容模板,使用画中画、半遮挡、动态裁剪、分辨率干扰、镜像/色彩扰动。目的是绕过AI视觉模型的特征匹配,延迟命中涉黄阀值。

(4).集中爆发

攻击者特意选择22:00 - 23:50用户活跃高峰时段进行攻击, 并且是推荐系统权重高,审核压力最大的时段。攻击者利用C2控制端统一下发指令, 数万账号在10-20分钟内陆续开播, 每个账号播违规内容可能仅几分钟。

(5).分布式推荐污染

平台直播推荐是分布式的, 新直播会被小流量测试, 不是一个直播间爆,而是10000个直播间 x 每个200人 = 20万暴露规模。

攻击者不追求单点爆量,而是横向铺开,避免被单直播风控模型捕获。这就是大量直播间同时异常的根本原因。

(6).举报通道反制

举报系统被严重拖慢有两种可能:第一是噪音举报, 批量举报无关直播,稀释人工审核注意力。第二是同一时间大量真实用户举报,审核队列严重堆积。

攻击者没有打破平台的门, 而是拿到了足够多的钥匙, 同时把门都打开了, 整体攻击流程整体如下:

自动化注册 -> 设备指纹对抗 -> 行为模拟 -> 对抗样本内容 -> 分布式推流 -> 推荐系统污染 -> 审核队列拥塞