当前，网络已成为工作、学习、消费、社交等各类日常活动的重要支撑，部分厂商依托这一普遍的上网常态加大推广力度，因此用户需提高警惕，防范各类隐蔽的流量劫持及恶意推广行为。近期，火绒安全实验室监测发现，包含成都奇鲁科技有限公司、天津杏仁桉科技有限公司在内的多家软件厂商，正通过云控配置方式构建大规模推广产业链，远程开启推广模块以实现流量变现。这些厂商通过云端下达配置指令，动态控制软件的推广行为，不同公司及其产品的推广方式各有差异。以成都奇鲁科技旗下的鲁大师为例，其推广行为涵盖但不限于：利用浏览器弹窗推广"传奇"类页游、在未获用户明确许可的情况下弹窗安装第三方软件、篡改京东网页链接并插入京粉推广参数以获取佣金、弹出带有渠道标识的百度搜索框、植入具有推广性质且伪装为正常应用的浏览器扩展程序等。尽管流量推广向来是互联网公司常用的盈利模式，然而这些厂商却运用了多种技术对抗手段，以阻碍安全分析与行为复现，蓄意隐匿其损害用户体验的行为。它们在未充分向用户告知或故意模糊告知相关情况的前提下，利用用户流量进行变现操作。通过伪装成正规应用的方式，与用户“捉迷藏”，使用户难以识别并定位真正的推广源头。这些主体采用各种手段规避网络舆论监督，逃避公众审查。​​查杀图【一】 溯源信息声明：本节所涉及的信息均来源于外网公开可查询的信息。1.1 推广产业网的形成在对其恶意行为进行监控分析的过程中，一张由幕后人员精心编织的产业网络逐渐浮出水面。数十余家不同时间、不同地区注册的公司通过隐蔽的关联关系相互连接，利用隐藏的结算体系进行利益输送，并通过极其相似的云控模块向用户终端推送各类推广产品。为了逃避监管和技术追踪，这些公司采用了数据加密、代码混淆、动态加载、多层跳转等多种技术对抗手段。通过来自天眼查的数据，我们初步将其连带关系形成了可视化的网状图。相关企业初步关联网状图根据火绒安全情报中心的统计数据，大量软件包含本文所述的推广模块。下图中列表列出的软件被发现与本次威胁具有较强相关性（包括但不限于）：与本次威胁情报强相关的软件在收集本次威胁情报相关信息的过程中，我们发现了一系列相关的网络活动痕迹。其中，围绕"天津杏仁桉科技有限公司及其域名"apkevery.com"，产生了大量网络活跃数据。1.2 背后隐藏的利益输送关系借助外网搜索引擎可以发现由天津杏仁桉科技提供支持、搭建于"重庆赫赫有盾科技有限公司"等多家公司服务器下的"杏仁桉推广结算系统"后台，证明了背后围绕天津杏仁桉科技形成的推广结算利益输送链条。在本次威胁情报对应的推广插件中，也大量发现与："apkevery.com"对应的服务器之间的数据传输。杏仁桉推广结算系统在收集天津杏仁桉科技相关信息的过程中，我们发现其域名下搭建了一个用户中心系统，该系统仅允许以"@ludashi.com"为后缀的邮箱注册使用。经查证，"ludashi.com"域名归属于"成都奇鲁科技有限公司"，这直接证明了两家公司之间存在密切的业务关联。杏仁桉后台只允许鲁大师邮箱注册1.3 外网构建系统中的隐藏关系在收集天津杏仁桉科技域名"apkevery.com"相关信息的过程中，我们发现了一个曾面向外网开放的程序自动构建网站，相关信息被搜索引擎快照收录保存。自动构建网站该网站托管了多款软件的源码并实现自动构建，包括但不限于：天津简诚出品的"小蓝鸽"、"大力文件粉碎"，重庆赫赫有盾出品的"DXRepair"，天津欣远出品的"花瓣护眼"等软件，以及本次威胁情报中涉及的一系列推广模块。这进一步证实了这些公司之间的技术协作关系。构建系统中发现的软件名称而通过对提交构建请求的邮箱的进一步溯源，我们在"成都奇鲁科技有限公司"面向外网开放的"@ludashi.com"企业邮箱系统中发现了对应人员信息。这些人员主要提交了"重庆赫赫有盾科技有限公司"等公司旗下软件的构建请求。值得注意的是，天眼查系统显示"成都奇鲁科技有限公司"与"重庆赫赫有盾科技有限公司"之间无任何工商关联关系，但技术层面的关联证据清晰可见。奇鲁科技与赫赫有盾之间天眼查商业关系1.4 外网工作日志中的隐藏关系在对本文列表中所涉及的"小鸟壁纸"软件开展溯源分析时，我们在外网存储的数据里发现了"小鸟壁纸"系列产品的相关日志，其中记录有大量该相关产品的售后日志。售后日志中记录的产品名称信息而其中一款产品名称标注为"小鸟壁纸"的可执行程序显示"Beijing Qihu Technology Co., Ltd."公司的有效签名。小鸟壁纸显示奇虎公司数字签名在相同地址存储的文件中，发现属于"成都盈畅时代文化传播有限公司"的域名"shanhutech.cn"下的一系列商品推广链接记录。一系列商品推广链接记录而当访问网站"bizhi.shanhutech.cn"时，会进入一个小鸟壁纸软件的下载页面，网站下方的版权文字显示属于"奇鲁科技有限公司"和"ludashi.com"。盈畅所属小鸟壁纸软件网站中显示奇鲁科技有限公司1.5 总结基于上述信息，我们基本能够构建出一张隐匿于背后的庞大关系网，该关系网将看似毫无关联的数十家公司连接起来，其背后暗藏着利益输送与技术输送的纽带，完成最终的推广业务。【二】 溯源技术溯源分析作为威胁情报分析中极为重要且不可或缺的环节，火绒始终秉持合规原则，从公开可查的渠道获取溯源信息。本节文字中，将对本文溯源所采用的信源与技术予以介绍。2.1 收集相关企业名称在火绒安全情报系统中，我们通过建立规则的方式收集与本次威胁情报相关的样本关键信息。根据样本关键信息从样本库中提取相应的样本以及其来源，我们获得了大量使用本次威胁情报中涉及到的推广模块的数字签名信息，从样本数字签名中提取的详细信息中，可以获得与本次威胁情报相关的大量厂商名称，从而得到1.1节中的软件列表图。2.2 企业信息查询通过天眼查网站提供的企业信息查询能力，我们人工收集并汇总了所有相关企业的联系电话，邮箱和官方网站信息，并且通过程序自动化方式对收集到的信息进行整理形成图表，从而得到1.1节中的关联信息网状图。 2.3 相关网站信息查询通过搜索引擎对相关的情报进行搜索，可以查询到本文涉及到的内容对应的网站信息。例如在必应搜索引擎中搜索"杏仁桉推广"关键词，可以查询到1.2节中的杏仁桉推广结算系统。杏仁桉推广搜索引擎结果在"奇安信威胁分析平台"中根据天津杏仁桉域名"apkevery.com"进行相关信息搜索，可以查询到1.2节中"只允许鲁大师邮箱注册的用户中心系统"所在域名。杏仁桉域名奇安信威胁分析结果根据"天津拂云科技有限公司"法人"刘科"的杏仁桉域名邮箱"liuke@apkevery.com"在搜索引擎中进行搜索，可以搜索到其提交代码对应的一个自动构建网站记录。天津拂云联系邮箱搜索结果再针对该网站进行搜索所有提交记录的邮箱地址，可以发现相关人员的QQ邮箱。其他提交构建信息搜索结果通过对 QQ 邮箱进行对应搜索查找相关 QQ 账号，发现该 QQ 昵称由较为特殊的三个字构成，据此推断此昵称可能为姓名。进一步访问 mail.ludashi.com 网站，利用其找回密码功能获取信息，发现所得到的手机尾号与通过 QQ 找回密码流程中显示的尾号一致。综上所述，基本可以判定为同一人。2.4 小