文章总结： 文档复盘了快手直播间攻击事件，推测攻击者通过安卓恶意软件劫持短信验证码及利用AI深度伪造绕过人脸识别，控制真实设备僵尸网络。建议加强端侧高危权限检测、引入行为生物特征识别及升级验证方式，以防御此类利用真实设备指纹的自动化攻击。 综合评分： 88 文章分类： 恶意软件,移动安全,红队,应急响应,威胁情报

快手攻击事件技术假设复盘

原创

rayh4c

先进攻防

2025年12月23日 14:03 北京

快手攻击事件技术假设复盘

一、 攻击核心技术假设

在2025年12月22日晚22:00爆发的攻击中，1.7万个直播间同时开播。传统的黑产手段（如使用云服务器、模拟器脚本）极易被快手的风控系统（WAF、设备指纹识别）秒杀。

能够绕过现代风控并发起如此规模攻击的可能解释是：攻击流量来自真实用户的手机和真实设备指纹。

攻击链路推测如下：

1. 基础设施

黑产在数月前通过各种伪装App（清理大师、色情播放器、免费游戏模组）在数万台安卓设备中植入了 Dropper（植入器）。

• 状态：这些设备平时正常使用，用户无感知。
• 权限：恶意软件已获取通知使用权（用于劫持验证码）或无障碍服务（用于自动点击）。

2. SMS 静默劫持

这是攻击发起的关键。攻击者通过 API 接口向快手发起登录或重置密码请求。

• 下发：快手服务器向目标手机号发送 SMS 验证码。
• 劫持：潜伏在手机里的恶意软件通过 NotificationListenerService 瞬间读取验证码，并调用 cancelAllNotifications() 抹除通知。
• 回传：验证码通过 WebSocket 毫秒级回传至黑客的 C2（命令与控制）服务器。
• 结果：无需知道用户密码，黑客通过验证码直接接管账号（ATO, Account Takeover），或者是利用机主手机号注册新号。

3. AI 伪造人脸与虚拟推流

直播权限通常比普通账号登录更严格，往往需要人脸识别（活体检测）。单纯的静态照片无法绕过开播前的扫脸环节。

• 数据窃取：攻击者利用恶意软件在受害者手机后台静默扫描相册、社交媒体缓存，获取机主的高清面部照片。

• AI 活体伪造：利用 AI Deepfake（深度伪造） 技术，将静态照片实时合成为符合指令要求（如眨眼、张嘴、点头）的动态视频流。

• 获得Root权限后的可能注入攻击：

• Hook 注入：Hook 系统相机接口（android.hardware.Camera 或 Camera2 API）。

• 过脸环节：当 App 请求开启摄像头进行人脸验证时，恶意软件拦截视频流数据，替换为 AI 生成的活体视频，欺骗人脸识别算法。

• 推流环节：验证通过后，继续注入预录制的涉黄视频流，伪装成实时拍摄。

• 其他更简单的方式，直接迁移账号登陆会话到手机群控平台上自动操作。

二、 攻击完整时间线推演

以下是基于事件时间线，从攻防视角进行的假设推演：

[第一阶段：闪电战与防线击穿]

12月22日 22:00

• 事件：1.7万个账号集中开播，涉黄内容刷屏。

• 技术解析：

• C2 指令下发：黑客的 C2 服务器向所有在线的“肉鸡”下达统一指令：{"action": "start_stream", "payload_url": "porn_video_source"}。

• 风控失效原因：由于流量来自遍布全国的真实住宅IP（被感染的手机），且操作发生在受信任的设备（用户的常用手机）上，快手的地理位置风控、IP黑名单和设备指纹风控并未在第一时间触发。

• 验证码风暴：攻击发起前的几分钟内，可能发生过密集的 SMS 验证码请求，被恶意软件静默处理，导致用户未察觉账号被盗。

[第二阶段：拉锯战与流量清洗]

12月22日 22:00 – 23:50

• 事件：平台启动限流，举报通道拥堵，处置延迟。

• 技术解析：

• 去中心化对抗：平台封禁一批账号，黑客立刻激活下一批“肉鸡”。由于攻击源分散，无法通过简单的“封禁IP段”来解决。

• API 拥塞：1.7万个直播间带来的巨大并发流量，加上正常用户的海量刷新和举报请求，导致后端处理队列（Message Queue）积压，造成服务降级。

• 内容识别绕过：攻击视频可能经过了对抗样本处理（如特殊的噪点、帧率或编码），暂时绕过了AI内容审核模型。

[第三阶段：熔断]

12月22日 23:50 – 12月23日 00:24

• 事件：启动一级应急响应，00:24 紧急下架App首页“直播”入口。

• 技术解析：

• 物理切断：这是安全响应中的“止血”步骤。当无法精准区分黑白流量时，运维团队选择在网关层（Gateway）直接阻断 /live/feed 接口的流量，或者在客户端配置下发中隐藏直播 Tab。

• 清理存量：此时 C2 链路可能仍未切断，但由于前端入口消失，涉黄内容无法触达普通用户，攻击的传播链被阻断。

[第四阶段：溯源与补救]

12月23日 00:30 – 03:00

• 事件：报警、账号冻结、强制改密。

• 技术解析：

• 特征提取：安全团队通过日志分析，提取出攻击账号的共性特征（如特定的 App 版本、特定的后台进程特征、或与某个恶意 IP 域名的通信记录）。

• 强制下线：01:36 发布的“核验与重置”通知，意味着平台在服务端强制注销了所有受影响账号的 Session Token。

• 封堵短信接口：平台可能暂时调高了 SMS 接口的风控等级，拦截非正常环境下的验证码请求，从而切断了黑客“静默获取验证码”的续航能力。

三、 攻击者画像与防御启示

攻击者画像

• 资源能力：掌握庞大的僵尸网络（Botnet），规模至少在 2万-5万台活跃安卓设备。
• 技术栈：精通安卓逆向、自动化脚本（AutoJS/Accessibility）、以及构建高并发 C2 架构。
• 动机：此类饱和式攻击通常不是为了引流（因为存活时间短），更像是商业敲诈、竞争对手恶意破坏或展示技术肌肉。

为何“静默获取短信”是关键？

如果黑客只是持有大量手机号，他们需要大规模的猫池硬件，这很容易被运营商定位。但利用用户被感染的手机作为跳板：

1. 成本为零：消耗的是受害者的流量和话费。
2. 隐蔽性高：利用合法 App 的权限（通知监听）掩盖非法行为。
3. 信任度高：受害者的手机在快手看来是“老设备、老IP”，信用分高，开播更容易获得推荐流。

防御启示

此次事件给所有通过 SMS 验证码进行身份验证的 App 敲响了警钟。

1. App端检测：快手等 App 需要在启动时检测已安装的应用列表和权限，识别是否存在高危的“通知监听器”或“无障碍服务”恶意软件。
2. 服务端风控：不能仅依赖 IP 和设备指纹。需要引入行为生物特征（如点击屏幕的压力、滑动轨迹），区分是“人”在操作还是“恶意代码”在后台静默执行。
3. 验证升级：对于高风险操作（如开播），仅靠 SMS 验证码已不够安全，强制引入人脸识别或SIM卡本机号码校验（一键登录）也已经不安全，需要探索更多的双向安全验证技术方案。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：先进攻防 rayh4c《快手攻击事件技术假设复盘》