楔子:掘金之地
受好萊塢電影的潛移默化,一般人對黑客的印象,要麼是戴墨鏡披風衣、在賽博空間穿梭自如的網絡大盜,要麼是木訥寡言、一心沉迷破解與反破解的技術宅男。
而老張,既不是大盜,也不是宅男。比起“黑客”,他更願意稱自己為“商人”。
作為一名成功的“商人”,老張從白手興家到身家千萬,僅僅用了三年時間。但千萬暴利背後,老張的發家史絕對算不上清白。
“其實,我們和一般的互聯網服務提供商沒啥兩樣,都是致力於用創新的技術和產品,來滿足用戶需求。”老張所說的用戶需求,其實指的是黑產玩家的需求,而且是強需求。
有需求,也就意味著機會叢生。憑著早年當黑客的經驗,老張深諳一切黑產活動的基本運行模式——黑灰產業形形色色、日異月殊,始終離不開資源作為底層支撐。IP地址,就是一種不可或缺的資源。
黑產IP所牽涉的業務範圍及規模遠超常人想象,它憑藉著巨大的需求效應盤踞在地下市場已久。其中,像老張這樣擅於發掘底層需求的掘金者不在少數。真正的掘金之地,都是在源頭之上建立供給,在荒蠻之中建立秩序。
今天,防水牆尋根溯源,通過深度追蹤調研及黑市監控數據分析,聚焦關鍵人物“老張”及其帶領的重大犯罪團伙,真實還原一個黑產底層需求產業的面貌和秩序。
01 尋根
今年年初,John開始著手經營一家遊戲工作室,以兜售高級遊戲賬號和代練為主業。為了實現盈利,工作室需要註冊大量的遊戲賬號。但John很快就遇到了瓶頸——幾乎所有遊戲都規定,短時間內同一IP只能註冊一個賬號。
經圈裡熟人介紹,John輾轉找到了老張。令John頭疼不已的難題,在老張看來再簡單不過。通過老張提供的“秒撥動態IP服務”,工作室輕鬆繞過了遊戲的IP判定策略,問題迎刃而解。
實際上,像John一樣被互聯網廠商IP策略絆住的黑產從業者不在少數。當前,IP判定是互聯網賬號體系中最基礎的安全策略之一,舉幾個例子:
- 某個水軍組織被公關公司僱傭,需在各大社交平臺大量發帖。然而大部分社交網站都規定1分鐘內同一IP的發帖次數不能超過3次。
- 某盜版漫畫工作室,想要批量爬取某動漫網站上的獨家漫畫,但由於版權授權僅限中國臺灣,該網站限定臺灣IP才可訪問這些漫畫。
- 某羊毛黨團夥,計劃進攻某電商的週年營銷活動,但該活動為了防止惡意刷券,規定同一IP只能參加一次領券活動。
尋根究底,一切惡意活動在產業化之後,都離不開底層資源的支撐。獲取大量或特定歸屬地的IP資源,是大部分黑產從業人員的首要需求。而老張所經營的行當——秒撥動態IP服務,就是為了滿足了這樣的需求。
圖:IP資源是大量黑產活動必備的基礎資源
近年來,由強需求拉動的IP資源再分發,成了黑產鏈條的一個精細化環節,專門提供IP資源的秒撥IP黑產應運而生。而老張老早就瞄準IP資源這個剛需市場,並不斷深挖、拓張、變形,一躍成為地下產業鏈中最上游的供貨商之一。
秒撥動態IP技術,自然不是什麼摧城拔寨的黑客武器,卻為地下世界80%以上的黑灰產活動提供著基礎支持,包括薅羊毛、爬蟲、詐騙、群控、掛機、遊戲代練、撞庫曬密、刷量等等。利用秒撥IP,黑產分子能實現快速變換IP或指定IP歸屬地,繞過時間、地域、次數的限制,直接洞穿行業的IP安全策略,將鋒利的獠牙伸向各個互聯網業務。
圖:從動機上看,黑產利用IP主要是為了爬取數據,其次為遊戲掛機
02 覓跡
譚某原是一名無業遊民,常年活躍在各大黑產群裡,左右逢源,野路子多。三年前,老張在一個資源交流群裡結識了譚某,兩人一拍即合,合夥搞起了IP資源倒賣這門生意。
“創業”之初,老張出大錢,擔任公司老闆;譚某則包攬起資源採購的重活兒,主要從全國各地運營商、雲服務商處購入IP資源,也就是替公司“入貨”。後來,陸陸續續組建成7人團隊,各司其職,像個正兒八經的網絡科技公司。
圖:以張某為首的提供秒撥動態IP服務的黑產團伙,核心人員共7人
摸清門路之後,老張帶領團隊系統化地搭建了秒撥動態IP集群,將多種網絡IP資源捆綁集成,再根據秒級切換IP、隱藏IP、VPN、群控等不同功能,集成了好幾種不同的產品,掛在網站上按天、按周、按月租售。生意越做越大,IP資源池也在不斷擴張。公司網站甚至高調地掛上了“IP數量業內No. 1”的大字招牌。
圖:群控,是以IP資源為基礎的集成產品之一
乘著下游黑產發展的東風,老張的平臺在過去兩三年裡迅速崛起。如今,平臺累計用戶量已達到15萬,日活用戶近5萬——也就意味著,每一天都有5萬黑產從業者從老張這裡獲得不可或缺的IP資源,進而對互聯網業務敲脂吸髓,作惡牟利。
圖:平臺某產品的訂單記錄,每單金額至少過千
防水牆發現,底層市場的牟利模式非常清晰——掌握了最基礎的資源後,就能向上攝取上層黑產的利潤。而上層黑產的進一步發展,又反過來抬升基礎資源的價值。這三年間,黑市中IP產品的利潤翻了又翻。憑藉著越攬越大的資源池和多款精細的IP集成產品,如今老張團伙年收入達到1800萬+,利潤率達到260%。以監控的其中一款IP切換產品為例,其年銷售額就達到百萬量級,且持續上升中。
圖:黑市中IP資源類產品的銷售額持續上升(以某款IP切換產品為例)
03 闇昧
黑產圈裡混久了,自然積攢下不少口碑和熟客。憑藉著這些人脈關係,老張的團伙搞起了“私人訂製”服務。
這裡說的“私人訂製”,是指針對不同互聯網業務模式、根據不同客戶需求,量身定製IP相關服務,如社交帳號資料爬取、手遊工作室養號、電商賬號批量註冊等等。
圖:黑產IP訪問的業務以即時通訊類和遊戲類為主
不過,這些闇昧之事在網站上難尋蹤跡。防水牆追蹤挖掘發現,所有交易一律私下聯繫,不走公開平臺,這就使得所有定製服務都在私密圈子裡悄然進行著。經“熟人”引薦進入這個私人定製服務的圈子後,我們發現,每單定製服務定價5萬元起,價格無上限——隱藏在臺面之下的這部分生意,才真正是老張公司的收入大頭。而以老張為首的秒撥IP團伙,所涉及業務極其廣泛,共針對800多款互聯網業務為黑產提供定製服務,以社交類和遊戲類業務為主。
圖:某客戶的定製服務需求
資源的獲取越便捷簡單,網絡黑產的攻擊門檻就越低,互聯網業務所面臨的威脅就越大。前方的羊毛黨、刷票黨、掛機黨等各門各派,與後方源源不斷提供IP資源服務的後勤團伙,連成一條嚴絲合縫的暗黑產業鏈,共同侵蝕互聯網廠商的利益。
04 分銷
國內互聯網產業發展二十餘年,黑產底層需求市場的淘金者,始終穩穩佔據一席之地,分食暴利,這吸引了一波又一波的逐利者投身其中。
然而,新進場的玩家摩拳擦掌,環顧四周,卻發現老玩家早已佔山為王,實在沒有太多餘地可開疆闢土。要想分一杯羹,最便捷的途徑就是選擇“加盟”,成為老玩家的下級代理。
“我們以開放的理念,通過資源共享、技術共享,讓跟隨我們的合作伙伴得到豐厚的回報。”被老張說得如此冠冕堂皇的,其實是黑產中風生水起的“分銷模式”——總代理給下級代理提供秒撥IP的集成技術和產品,由其代為銷售,或繼續往下發展代理。其中,一級代理的月銷量低至數萬,高達數十萬。各級代理每個月按照銷量的22%~33%上返費用,上返金額從數千元到數萬元不等。
圖:IP資源流向
據防水牆追蹤,發展至今,以老張為首的“超級總代”,目前下轄代理層級已達到3級,代理人數近200人。由此,這個掌握百萬黑產資源的“商人”,站在金字塔的塔尖,掌管著他的資源分發小帝國,各級代理如兵卒散落各地,招攬客戶,聚斂無厭。通過發展分銷模式,老張野心勃勃地侵佔著IP供給市場更大的蛋糕。
圖:二級代理是人數佔比最多的層級,三級代理規模在不斷擴張中
05 一點思考
老張的故事,只是黑產底層需求市場的一個縮影。其發家史大可譜寫成一個秘而不宣的江湖故事。
我們都喜歡江湖故事,我們也同在這一方江湖中。在互聯網黑產圈深挖十多年,防水牆見證了數個互聯網風口的快速轉換,見證了行業上演著一場又一場資源和流量的爭奪之戰,也見證了各門各派黑灰產業的萌芽、發展、鼎盛、衰敗,以及產業鏈條承上啟下的轉換變化。
在長期研究黑產的作惡模式及利益鏈條後,我們發現黑產攻擊活動都有一大共同點——從一種攻擊形式出現,到進化出成熟的產業鏈路,再到攻擊到達受害者,整個過程有一個完整的生命週期。
那麼,如果我們能從攻擊醞釀階段,到攻擊發起階段,再到變現收尾階段,全面感知並牢牢掐住攻擊經過的每一個關鍵路徑,掌握攻擊各鏈路所涉及的人員、人際、行為、設備、資源、流量、手法等信息,就能提前堵源、破鏈、狙擊。基於這種對抗理念,我們看到的不是我們遭受了多少次攻擊,而是誰在盯著我們、誰準備攻擊我們、攻擊會從哪些路徑來……
以秒撥IP黑產為例,我們以攻擊人員及其使用的關鍵資源為抓手,從攻擊醞釀階段開始溯源,並先於攻擊方到達被攻擊方的防禦前沿,對攻擊者使用的關鍵資源給予阻擊攔截,而非等攻擊到達時再對攻擊本身做攔截。這樣,便能使對抗形成“敵方未攻我先控”的局面。這是威脅情報感知的價值所在。
閱讀更多 飛飛集結號 的文章
