返回

黑产猎人:老毕

2018-03-13 09:32雷锋网

2011 年底,黑产年收入已经到了 900 万时,抗击黑产的老毕在金山干了一年,月薪从 4500 元涨到了 8000 元。

老毕傻了眼。

2010 年 8 月之前,老毕(毕裕)还是沈阳小村里的“小毕”,那时月薪不到 3000 的他,梦想是在沈阳获得一份月薪 5000 的工作。直到 8 月,在著名安全社区看雪论坛上闯出了一些名声的小毕接到了自称金山公司“老铭”的电话,对方邀请他到珠海工作。

那时,金山尚未遭遇劲敌 360 免费杀毒策略的无情扫荡,在小毕心中,是现在 facebook 一样的存在。

“呵呵,都说南方电信诈骗骗死人不偿命,这个骗子还挺有意思的。”小毕差点挂了电话。

但是,将信将疑的他还是通过了金山的两轮电话面试,背着包,弄了一个行李箱,坐了 40 多个小时的绿皮火车从沈阳到了广州,再坐大巴到了珠海。

【毕裕,人称“老毕”,安全公司威胁猎人创始人】

本文作者:李勤,微信号:qinqin0511,雷锋网(公众号:雷锋网)网络安全专栏主笔

初识黑灰产

初到金山时,小毕干的属于“苦累活”,分析病毒行为、注册表之类。慢慢的,他接触到了对黑灰产的数据分析。

2010 年之前,黑灰产还没有“猛如虎”。黑灰产交易网站通过搜索引擎优化寻找潜在受害者,比如,针对某一个关键词的排名,调取目标人群。

相应的,攻防对抗的节奏没那么快,一个黑灰产域名的有效时长都不到一天,这种交易网站延续了以前传统杀毒软件的机制,只寻找首例受害人,一个交易网站整个全网覆盖的用户不到 2 个人,但到达率是100%,也就是说,一定有人受害。

因此,防护工作比较简单,小毕和同事要做的是,把这种网站识别出来,列到黑名单,再实施拦截,搞定。“响应大概在 10 秒内,潜在受害者可能还没填完身份证号、银行卡号,我们就能返回结果,直接拦截。”小毕说。

这种惬意的日子没有维持多久。

很快,小毕发现自己多了项工作。他们的注意力从围绕网址本身做快速鉴定与响应转移到了背后的关联情报,比如黑灰产域名背后注册的邮箱、IP、DNS 的解析服务过程。

对黑灰产而言,域名便宜,被打掉一个,大不了再换一个,但其挂靠的服务器属于重资产,不会轻易变动。如果要一针见血地解决问题,除了对浅层服务器表征进行分析,最好的方法莫过于研究服务器本身的特征。就像一个擅长易容装扮的罪犯,有时装成耄耋老人,有时是待产孕妇,但小毕们的任务就是,发现他是他。

这一年里,小毕尚未有机会像同事一样协助警方在一线将黑灰产从业者绳之以法,就遭遇了安全行业的动荡。

2011 年年初,360 宣布旗下所有基础信息安全产品均实行免费策略,此举导致中国信息安全行业“靠收费赚钱”的方法瞬间失去效应。

整个免费战争打完之后,老金山的整个营收和商业模式全被打穿,傅盛进来后,金山也宣布免费了,在没有营收的环境下,金山形势非常不好,大量员工出走。此时,360 和腾讯的“3Q”大战正如火如荼。彼时的 QQ 医生直接变成了 QQ 电脑管家,并成立了一个部门。小毕称,腾讯一下子在安全人员上产生了巨大的缺口。

电脑管家的人给小毕打了两个电话,心里正慌张的他接下了这个 offer,跳槽到了腾讯。

挣脱赛博世界的 0 与 1 

小毕花了四年时间成了“老毕”。

小毕在腾讯做的依旧是业务安全与数据分析,金山打开的洞悉黑灰产的大门没有关闭,相反,由于腾讯业务众多,场景丰富,小毕有了更多的积累空间,最重要的是,他花了两年多的时间,协助一线警方抓捕黑灰产犯罪嫌疑人,像剥洋葱一般,慢慢探寻到关于这个产业更多的真相。

警方的现场抓捕震撼了这个之前只在赛博世界的 0 与 1 之间与对手过招的他。

“砰”的一声,海口一栋别墅门被警察踹开后,是一个 19 岁的小孩开的黑产工作室,里面有一个周末跑过来兼职的员工,一查竟然还是某大公司的技术骨干,别墅里藏了好几把打猎的霰弹枪。小孩慌了:“别杀我,我给你钱”。再后来一看,这个黑产工作室竟还有 10 几个不到 20 岁的年轻人,一个黑产团伙的年收入到了几千万。

黑灰产的成长速度让小毕惊讶,“那时候,在技术水平上,黑灰产毫无疑问地超过了我们。”黑产从以前的小作坊、干点脏活,发展成了可逆向一些非常有深度的协议,比如自动模拟受害者的 QQ,在 QQ 群发送文件,自动传播,期间不需要受害者进行任何操作。

黑产还有厉害的变现路径,把有 Q 币的号盗走,登陆,把Q币充值给另外一个人,完成变现交易。当时,腾讯的风控策略是,如果受害者的登陆常用地在北京,突然有一天变成了在深圳登陆,而且登陆完之后马上充值,他们将这种行为判定为异常。

没有什么风控策略可以让防守方一直处于上风,安全守卫者和黑产从业者往往处于螺旋式上升的你争我夺的状态。

不久后,黑产不再需要盗号,而是在受害者本地种上木马,登陆 QQ,黑产直接模拟受害者一方的协议,在本地直接发起充值行为,对受害者而言,还没明白怎么回事,莫名其妙钱就没了。

“从协议上看操作,就是受害者本人操作。所以这种方式对风控来讲,挑战是极大的。”小毕说。

防守者发现了新的攻击方式,只能马上跟上。

这时,数据能力发挥出强大的效应。小毕说:“我们在 QQ上做了一个叫 Q 盾的东西,可以抓取端上的一些特征和行为,监控第三方进入。然后,我们就能知道端上面大概发生了什么。我们还得分析这种木马的技术路径、特征,这样在端上的进程中,才能做识别。到后面,无外乎就是把运营体系打通。因为整个腾讯在端上有全量用户,只要超过一两千个用户中毒,绝对有用户会落到监控里。”

他也渐渐发现,在端上做了非常强的监控,一旦出现一个新的木马,及时发现后,防守者提取特征,及时防护,整个攻防效率非常高。小毕向老板汇报成果时,老板不再注重“你防护了多少用户”,而是没防住多少。守方的关注点从攻防数量转移到了攻防效率上。

与此同时,安全人员也在经历成长。一个明显的变化是,风控的“黑盒子”在逐渐打开。

打开黑盒子前,一般公司的风控人员可能是这样对话的:

A:今天我做了数据分析,发现有几十万个账号在登陆后的立马进行了资产查询,奇怪的是,它们还调用了另外一个接口,我觉得这个东西不太正常啊!

B:一定是恶意的吗?我也不确定。不过,我觉得有点意思。

A:我也觉得是,咱们就封号吧,封三天行不行?

B:行,差不多封吧,就封三天,就这样。

可能性 1 客服团队反馈 :没有误报,挺好的

可能性 2 客服团队反馈:有误报,赶紧改。

为什么会有这种现象?业务安全的客观现实是,大部分早期公司的业务安全团队都是研发出身。以前只有一个业务体系,突然之间,出现了一种风险,研发人员自然会被叫过来写一个规则。然后,研发人员慢慢变成了一个规则运营工程师,在数据能力、分析能力、算法能力、画像能力等方面就强了,技术底层的基础素质非常高。

但是,已是中年的老毕回过头来看当初,发现这样对黑产其实是不了解的。“木马是什么?有哪些木马?通过什么渠道传播?怎么到的这?到了之后又干了什么?有什么影响?我们需要从一个完整的攻防角度考虑,逆向分析这种风险。”历经沧桑的老毕说。

相关文章 大家在看
黑产猎人
1篇文章
查看