百万IP,千万暴利:追溯黑产最上游的掘金之地

楔子:掘金之地

受好莱坞电影的潜移默化,一般人对黑客的印象,要么是戴墨镜披风衣、在赛博空间穿梭自如的网络大盗,要么是木讷寡言、一心沉迷破解与反破解的技术宅男。

而老张,既不是大盗,也不是宅男。比起“黑客”,他更愿意称自己为“商人”。

作为一名成功的“商人”,老张从白手兴家到身家千万,仅仅用了三年时间。但千万暴利背后,老张的发家史绝对算不上清白。

“其实,我们和一般的互联网服务提供商没啥两样,都是致力于用创新的技术和产品,来满足用户需求。”老张所说的用户需求,其实指的是黑产玩家的需求,而且是强需求。

有需求,也就意味着机会丛生。凭着早年当黑客的经验,老张深谙一切黑产活动的基本运行模式——黑灰产业形形色色、日异月殊,始终离不开资源作为底层支撑。IP地址,就是一种不可或缺的资源。

黑产IP所牵涉的业务范围及规模远超常人想象,它凭借着巨大的需求效应盘踞在地下市场已久。其中,像老张这样擅于发掘底层需求的掘金者不在少数。真正的掘金之地,都是在源头之上建立供给,在荒蛮之中建立秩序。

今天,防水墙寻根溯源,通过深度追踪调研及黑市监控数据分析,聚焦关键人物“老张”及其带领的重大犯罪团伙,真实还原一个黑产底层需求产业的面貌和秩序。

01 寻根

今年年初,John开始着手经营一家游戏工作室,以兜售高级游戏账号和代练为主业。为了实现盈利,工作室需要注册大量的游戏账号。但John很快就遇到了瓶颈——几乎所有游戏都规定,短时间内同一IP只能注册一个账号。

经圈里熟人介绍,John辗转找到了老张。令John头疼不已的难题,在老张看来再简单不过。通过老张提供的“秒拨动态IP服务”,工作室轻松绕过了游戏的IP判定策略,问题迎刃而解。

实际上,像John一样被互联网厂商IP策略绊住的黑产从业者不在少数。当前,IP判定是互联网账号体系中最基础的安全策略之一,举几个例子:

  • 某个水军组织被公关公司雇佣,需在各大社交平台大量发帖。然而大部分社交网站都规定1分钟内同一IP的发帖次数不能超过3次。
  • 某盗版漫画工作室,想要批量爬取某动漫网站上的独家漫画,但由于版权授权仅限中国台湾,该网站限定台湾IP才可访问这些漫画。
  • 某羊毛党团伙,计划进攻某电商的周年营销活动,但该活动为了防止恶意刷券,规定同一IP只能参加一次领券活动。

寻根究底,一切恶意活动在产业化之后,都离不开底层资源的支撑。获取大量或特定归属地的IP资源,是大部分黑产从业人员的首要需求。而老张所经营的行当——秒拨动态IP服务,就是为了满足了这样的需求。

图:IP资源是大量黑产活动必备的基础资源

近年来,由强需求拉动的IP资源再分发,成了黑产链条的一个精细化环节,专门提供IP资源的秒拨IP黑产应运而生。而老张老早就瞄准IP资源这个刚需市场,并不断深挖、拓张、变形,一跃成为地下产业链中最上游的供货商之一。

秒拨动态IP技术,自然不是什么摧城拔寨的黑客武器,却为地下世界80%以上的黑灰产活动提供着基础支持,包括薅羊毛、爬虫、诈骗、群控、挂机、游戏代练、撞库晒密、刷量等等。利用秒拨IP,黑产分子能实现快速变换IP或指定IP归属地,绕过时间、地域、次数的限制,直接洞穿行业的IP安全策略,将锋利的獠牙伸向各个互联网业务。

图:从动机上看,黑产利用IP主要是为了爬取数据,其次为游戏挂机

02 觅迹

谭某原是一名无业游民,常年活跃在各大黑产群里,左右逢源,野路子多。三年前,老张在一个资源交流群里结识了谭某,两人一拍即合,合伙搞起了IP资源倒卖这门生意。

“创业”之初,老张出大钱,担任公司老板;谭某则包揽起资源采购的重活儿,主要从全国各地运营商、云服务商处购入IP资源,也就是替公司“入货”。后来,陆陆续续组建成7人团队,各司其职,像个正儿八经的网络科技公司。

图:以张某为首的提供秒拨动态IP服务的黑产团伙,核心人员共7人

摸清门路之后,老张带领团队系统化地搭建了秒拨动态IP集群,将多种网络IP资源捆绑集成,再根据秒级切换IP、隐藏IP、VPN、群控等不同功能,集成了好几种不同的产品,挂在网站上按天、按周、按月租售。生意越做越大,IP资源池也在不断扩张。公司网站甚至高调地挂上了“IP数量业内No. 1”的大字招牌。

图:群控,是以IP资源为基础的集成产品之一

乘着下游黑产发展的东风,老张的平台在过去两三年里迅速崛起。如今,平台累计用户量已达到15万,日活用户近5万——也就意味着,每一天都有5万黑产从业者从老张这里获得不可或缺的IP资源,进而对互联网业务敲脂吸髓,作恶牟利。

图:平台某产品的订单记录,每单金额至少过千

防水墙发现,底层市场的牟利模式非常清晰——掌握了最基础的资源后,就能向上摄取上层黑产的利润。而上层黑产的进一步发展,又反过来抬升基础资源的价值。这三年间,黑市中IP产品的利润翻了又翻。凭借着越揽越大的资源池和多款精细的IP集成产品,如今老张团伙年收入达到1800万+,利润率达到260%。以监控的其中一款IP切换产品为例,其年销售额就达到百万量级,且持续上升中。

图:黑市中IP资源类产品的销售额持续上升(以某款IP切换产品为例)

03 暗昧

黑产圈里混久了,自然积攒下不少口碑和熟客。凭借着这些人脉关系,老张的团伙搞起了“私人订制”服务。

这里说的“私人订制”,是指针对不同互联网业务模式、根据不同客户需求,量身定制IP相关服务,如社交帐号资料爬取、手游工作室养号、电商账号批量注册等等。

图:黑产IP访问的业务以即时通讯类和游戏类为主

不过,这些暗昧之事在网站上难寻踪迹。防水墙追踪挖掘发现,所有交易一律私下联系,不走公开平台,这就使得所有定制服务都在私密圈子里悄然进行着。经“熟人”引荐进入这个私人定制服务的圈子后,我们发现,每单定制服务定价5万元起,价格无上限——隐藏在台面之下的这部分生意,才真正是老张公司的收入大头。而以老张为首的秒拨IP团伙,所涉及业务极其广泛,共针对800多款互联网业务为黑产提供定制服务,以社交类和游戏类业务为主。

图:某客户的定制服务需求

资源的获取越便捷简单,网络黑产的攻击门槛就越低,互联网业务所面临的威胁就越大。前方的羊毛党、刷票党、挂机党等各门各派,与后方源源不断提供IP资源服务的后勤团伙,连成一条严丝合缝的暗黑产业链,共同侵蚀互联网厂商的利益。

04 分销

国内互联网产业发展二十余年,黑产底层需求市场的淘金者,始终稳稳占据一席之地,分食暴利,这吸引了一波又一波的逐利者投身其中。

然而,新进场的玩家摩拳擦掌,环顾四周,却发现老玩家早已占山为王,实在没有太多余地可开疆辟土。要想分一杯羹,最便捷的途径就是选择“加盟”,成为老玩家的下级代理。

“我们以开放的理念,通过资源共享、技术共享,让跟随我们的合作伙伴得到丰厚的回报。”被老张说得如此冠冕堂皇的,其实是黑产中风生水起的“分销模式”——总代理给下级代理提供秒拨IP的集成技术和产品,由其代为销售,或继续往下发展代理。其中,一级代理的月销量低至数万,高达数十万。各级代理每个月按照销量的22%~33%上返费用,上返金额从数千元到数万元不等。

图:IP资源流向

据防水墙追踪,发展至今,以老张为首的“超级总代”,目前下辖代理层级已达到3级,代理人数近200人。由此,这个掌握百万黑产资源的“商人”,站在金字塔的塔尖,掌管着他的资源分发小帝国,各级代理如兵卒散落各地,招揽客户,聚敛无厌。通过发展分销模式,老张野心勃勃地侵占着IP供给市场更大的蛋糕。

图:二级代理是人数占比最多的层级,三级代理规模在不断扩张中

05 一点思考

老张的故事,只是黑产底层需求市场的一个缩影。其发家史大可谱写成一个秘而不宣的江湖故事。

我们都喜欢江湖故事,我们也同在这一方江湖中。在互联网黑产圈深挖十多年,防水墙见证了数个互联网风口的快速转换,见证了行业上演着一场又一场资源和流量的争夺之战,也见证了各门各派黑灰产业的萌芽、发展、鼎盛、衰败,以及产业链条承上启下的转换变化。

在长期研究黑产的作恶模式及利益链条后,我们发现黑产攻击活动都有一大共同点——从一种攻击形式出现,到进化出成熟的产业链路,再到攻击到达受害者,整个过程有一个完整的生命周期。

那么,如果我们能从攻击酝酿阶段,到攻击发起阶段,再到变现收尾阶段,全面感知并牢牢掐住攻击经过的每一个关键路径,掌握攻击各链路所涉及的人员、人际、行为、设备、资源、流量、手法等信息,就能提前堵源、破链、狙击。基于这种对抗理念,我们看到的不是我们遭受了多少次攻击,而是谁在盯着我们、谁准备攻击我们、攻击会从哪些路径来……

以秒拨IP黑产为例,我们以攻击人员及其使用的关键资源为抓手,从攻击酝酿阶段开始溯源,并先于攻击方到达被攻击方的防御前沿,对攻击者使用的关键资源给予阻击拦截,而非等攻击到达时再对攻击本身做拦截。这样,便能使对抗形成“敌方未攻我先控”的局面。这是威胁情报感知的价值所在。

后续,防水墙将不断完善威胁情报建设与黑产监控体系,继续深入追踪挖掘,配合我们的数据与策略,为企业提供更全面的业务安全解决方案。

原文发布于微信公众号 - 腾讯防水墙(tencent_fsq)

原文发表时间:2018-10-22

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏VRPinea

VR将助力首例换头手术 帮助患者提前适应新身体

3447
来自专栏镁客网

虚拟现实跑步机Kat Walk自由来袭

2287
来自专栏Java成长之路

破解,汉化,越狱,解锁,为什么中国的大神总是“昙花一现”?

本文来自网友:周行文投稿。作者从PSP破解引入,讲诉国内外的破解大师们对伸手党无端的指责谩骂感到无奈和心酸,引申到对追求破解玩家群体素质的思考,提出对互联网共...

1332
来自专栏ATYUN订阅号

个头小力量大:微型无人机操控比自身重40倍的物体

受到自然工程学的启发,机器人研究人员展示了手掌大小的微型无人机是如何通过将自己固定在地面或墙壁上,拖动40倍于自身质量的物体。这也给我们以提示:小型无人机如何能...

1093
来自专栏VRPinea

单身狗福利丨不可描述的VR体验,VRPinea免费带你嗨翻天

3476
来自专栏云加头条

12月4日 云头条:网络视听,新的“黄金赛道”?

要做生意,最重要的一件事,就是紧跟大势。红利来了,傻子也能躺着赚钱。红利没了,神坛说塌也就塌了。而现在,网络视听内容行业即将迎来一波巨大的红利。在5G、4K、A...

1223
来自专栏量子位

自动驾驶雨伞身边走,一首凉凉唱起来 | 视频

1204
来自专栏腾讯数据中心

快讯:腾讯T-block数据中心斩获两项DCD大奖

2016年11月9日晚,在香港国际会展中心举行的2016年度DataCenterDynamicsAPAC(DCD亚太地区) 颁奖典礼上,250多位行业同仁共同见...

4635
来自专栏京东技术

【组图】11.11前夕被撞见京东秘密武器进入某机房!

今天,老湿刷着朋友圈,被一条消息震精了,11.11前夕,有人拍到有貌似钢铁匣样的大量神秘箱体。 ? 老湿最近变身《白夜追凶》萌妹,必须安排外围狗仔队尾随这些神秘...

3225
来自专栏CIT极客

极客周刊丨fuckqq.com再起争端,霍金离世,乐视股票停牌,AMD爆漏洞...

3769

扫码关注云+社区

领取腾讯云代金券