发布日期:2018-10-22 09:31:13 +0000
楔子:掘金之地
受好莱坞电影的潜移默化,一般人对黑客的印象,要么是戴墨镜披风衣、在赛博空间穿梭自如的网络大盗,要么是木讷寡言、一心沉迷破解与反破解的技术宅男。
而老张,既不是大盗,也不是宅男。比起“黑客”,他更愿意称自己为“商人”。
作为一名成功的“商人”,老张从白手兴家到身家千万,仅仅用了三年时间。但千万暴利背后,老张的发家史绝对算不上清白。
“其实,我们和一般的互联网服务提供商没啥两样,都是致力于用创新的技术和产品,来满足用户需求。”老张所说的用户需求,其实指的是黑产玩家的需求,而且是强需求。
有需求,也就意味着机会丛生。凭着早年当黑客的经验,老张深谙一切黑产活动的基本运行模式—— 黑灰产业形形色色、日异月殊,始终离不开资源作为底层支撑。IP地址,就是一种不可或缺的资源。
黑产IP所牵涉的业务范围及规模远超常人想象,它凭借着巨大的需求效应盘踞在地下市场已久。其中,像老张这样擅于发掘底层需求的掘金者不在少数。 真正的掘金之地,都是在源头之上建立供给,在荒蛮之中建立秩序。
今天,防水墙寻根溯源,通过深度追踪调研及黑市监控数据分析,聚焦关键人物“老张”及其带领的重大犯罪团伙,真实还原一个黑产底层需求产业的面貌和秩序。
01 寻根
今年年初,John开始着手经营一家游戏工作室,以兜售高级游戏账号和代练为主业。为了实现盈利,工作室需要注册大量的游戏账号。但John很快就遇到了瓶颈—— 几乎所有游戏都规定,短时间内同一IP只能注册一个账号。
经圈里熟人介绍,John辗转找到了老张。令John头疼不已的难题,在老张看来再简单不过。通过老张提供的“秒拨动态IP服务”,工作室轻松绕过了游戏的IP判定策略,问题迎刃而解。
实际上,像John一样被互联网厂商IP策略绊住的黑产从业者不在少数。当前,IP判定是互联网账号体系中最基础的安全策略之一,举几个例子:
某个水军组织被公关公司雇佣,需在各大社交平台大量发帖。然而大部分社交网站都规定1分钟内同一IP的发帖次数不能超过3次。
某盗版漫画工作室,想要批量爬取某动漫网站上的独家漫画,但由于版权授权仅限中国台湾,该网站限定台湾IP才可访问这些漫画。
某羊毛党团伙,计划进攻某电商的周年营销活动,但该活动为了防止恶意刷券,规定同一IP只能参加一次领券活动。
寻根究底,一切恶意活动在产业化之后,都离不开底层资源的支撑。 获取大量或特定归属地的IP资源,是大部分黑产从业人员的首要需求。 而老张所经营的行当——秒拨动态IP服务,就是为了满足了这样的需求。
图:IP资源是大量黑产活动必备的基础资源
近年来,由强需求拉动的IP资源再分发,成了黑产链条的一个精细化环节,专门提供IP资源的秒拨IP黑产应运而生。而老张老早就瞄准IP资源这个刚需市场,并不断深挖、拓张、变形,一跃成为地下产业链中最上游的供货商之一。
秒拨动态IP技术,自然不是什么摧城拔寨的黑客武器,却为地下世界80%以上的黑灰产活动提供着基础支持,包括 薅羊毛、爬虫、诈骗、群控、挂机、游戏代练、撞库晒密、刷量 等等。利用秒拨IP,黑产分子能实现快速变换IP或指定IP归属地,绕过时间、地域、次数的限制,直接洞穿行业的IP安全策略,将锋利的獠牙伸向各个互联网业务。
图:从动机上看,黑产利用IP主要是为了爬取数据,其次为游戏挂机
02 觅迹
谭某原是一名无业游民,常年活跃在各大黑产群里,左右逢源,野路子多。三年前,老张在一个资源交流群里结识了谭某,两人一拍即合,合伙搞起了IP资源倒卖这门生意。
“创业”之初,老张出大钱,担任公司老板;谭某则包揽起资源采购的重活儿, 主要从全国各地运营商、云服务商处购入IP资源,也就是替公司“入货”。 后来,陆陆续续组建成7人团队,各司其职,像个正儿八经的网络科技公司。
图:以张某为首的提供秒拨动态IP服务的黑产团伙,核心人员共7人
摸清门路之后,老张带领团队系统化地搭建了秒拨动态IP集群, 将多种网络IP资源捆绑集成,再根据秒级切换IP、隐藏IP、VPN、群控等不同功能,集成了好几种不同的产品,挂在网站上按天、按周、按月租售。 生意越做越大,IP资源池也在不断扩张。公司网站甚至高调地挂上了“IP数量业内No. 1”的大字招牌。
图:群控,是以IP资源为基础的集成产品之一
乘着下游黑产发展的东风,老张的平台在过去两三年里迅速崛起。如今,平台累计用户量已达到 15万 ,日活用户近 5万 ——也就意味着, 每一天都有5万黑产从业者从老张这里获得不可或缺的IP资源,进而对互联网业务敲脂吸髓,作恶牟利。
图:平台某产品的订单记录,每单金额至少过千
防水墙发现,底层市场的牟利模式非常清晰—— 掌握了最基础的资源后,就能向上摄取上层黑产的利润。而上层黑产的进一步发展,又反过来抬升基础资源的价值。 这三年间,黑市中IP产品的利润翻了又翻。凭借着越揽越大的资源池和多款精细的IP集成产品,如今老张团伙年收入达到 1800万+ ,利润率达到 260% 。以监控的其中一款IP切换产品为例,其年销售额就达到百万量级,且持续上升中。
图:黑市中IP资源类产品的销售额持续上升(以某款IP切换产品为例)
03 暗昧
黑产圈里混久了,自然积攒下不少口碑和熟客。凭借着这些人脉关系,老张的团伙搞起了“私人订制”服务。
这里说的“私人订制”,是指针对不同互联网业务模式、根据不同客户需求,量身定制IP相关服务,如社交帐号资料爬取、手游工作室养号、电商账号批量注册等等。
图:黑产IP访问的业务以即时通讯类和游戏类为主
不过,这些暗昧之事在网站上难寻踪迹。 防水墙追踪挖掘发现, 所有交易一律私下联系,不走公开平台,这就使得所有定制服务都在私密圈子里悄然进行着。 经“熟人”引荐进入这个私人定制服务的圈子后,我们发现,每单定制服务定价5万元起,价格无上限——隐藏在台面之下的这部分生意,才真正是老张公司的收入大头。而以老张为首的秒拨IP团伙,所涉及业务极其广泛,共针对 800多款 互联网业务为黑产提供定制服务,以社交类和游戏类业务为主。
图:某客户的定制服务需求
资源的获取越便捷简单,网络黑产的攻击门槛就越低,互联网业务所面临的威胁就越大。 前方的羊毛党、刷票党、挂机党等各门各派,与后方源源不断提供IP资源服务的后勤团伙,连成一条严丝合缝的暗黑产业链,共同侵蚀互联网厂商的利益。
04 分销
国内互联网产业发展二十余年,黑产底层需求市场的淘金者,始终稳稳占据一席之地,分食暴利,这吸引了一波又一波的逐利者投身其中。
然而,新进场的玩家摩拳擦掌,环顾四周,却发现老玩家早已占山为王,实在没有太多余地可开疆辟土。 要想分一杯羹,最便捷的途径就是选择“加盟”,成为老玩家的下级代理。
“我们以开放的理念,通过资源共享、技术共享,让跟随我们的合作伙伴得到丰厚的回报。”被老张说得如此冠冕堂皇的,其实是黑产中风生水起的“分销模式”——总代理给下级代理提供秒拨IP的集成技术和产品,由其代为销售,或继续往下发展代理。其中,一级代理的月销量低至数万,高达数十万。 各级代理每个月按照销量的22%~33%上返费用,上返金额从数千元到数万元不等。
图:IP资源流向
据防水墙追踪,发展至今, 以老张为首的“超级总代”,目前下辖代理层级已达到3级,代理人数近200人。 由此,这个掌握百万黑产资源的“商人”,站在金字塔的塔尖,掌管着他的资源分发小帝国,各级代理如兵卒散落各地,招揽客户,聚敛无厌。通过发展分销模式,老张野心勃勃地侵占着IP供给市场更大的蛋糕。
图:二级代理是人数占比最多的层级,三级代理规模在不断扩张中
05 一点思考
老张的故事,只是黑产底层需求市场的一个缩影。其发家史大可谱写成一个秘而不宣的江湖故事。
我们都喜欢江湖故事,我们也同在这一方江湖中。在互联网黑产圈深挖十多年,防水墙见证了数个互联网风口的快速转换,见证了行业上演着一场又一场资源和流量的争夺之战,也见证了各门各派黑灰产业的萌芽、发展、鼎盛、衰败,以及产业链条承上启下的转换变化。
在长期研究黑产的作恶模式及利益链条后,我们发现黑产攻击活动都有一大共同点—— 从一种攻击形式出现,到进化出成熟的产业链路,再到攻击到达受害者,整个过程有一个完整的生命周期。
那么,如果我们能从攻击酝酿阶段,到攻击发起阶段,再到变现收尾阶段, 全面感知并牢牢掐住攻击经过的每一个关键路径,掌握攻击各链路所涉及的人员、人际、行为、设备、资源、流量、手法等信息,就能提前堵源、破链、狙击。 基于这种对抗理念,我们看到的不是我们遭受了多少次攻击,而是谁在盯着我们、谁准备攻击我们、攻击会从哪些路径来……
以秒拨IP黑产为例,我们以攻击人员及其使用的关键资源为抓手,从攻击酝酿阶段开始溯源,并先于攻击方到达被攻击方的防御前沿,对攻击者使用的关键资源给予阻击拦截,而非等攻击到达时再对攻击本身做拦截。这样,便能 使对抗形成“敌方未攻我先控”的局面。这是威胁情报感知的价值所在。
后续,防水墙将不断完善威胁情报建设与黑产监控体系,继续深入追踪挖掘,配合我们的数据与策略,为企业提供更全面的业务安全解决方案。