资讯 政企安全
此为临时链接,仅用于文章预览,将在时失效

黑产猎人:老毕

作者:李勤
2018/03/09 16:08

2011 年底,黑产年收入已经到了 900 万时,抗击黑产的老毕在金山干了一年,月薪从 4500 元涨到了8000元。

老毕傻了眼。

2010 年 8 月之前,老毕(毕裕)还是沈阳小村里的“小毕”,那时月薪不到 3000 的他,梦想是在沈阳获得一份月薪 5000 的工作。直到 8 月,在著名安全社区看雪论坛上闯出了一些名声的小毕接到了自称金山公司“老铭”的电话,对方邀请他到珠海工作。

那时,金山尚未遭遇劲敌 360 免费杀毒策略的无情扫荡,在小毕心中,是现在 facebook 一样的存在。

“呵呵,都说南方电信诈骗骗死人不偿命,这个骗子还挺有意思的。”小毕差点挂了电话。

但是,将信将疑的他还是通过了金山的两轮电话面试,背着包,弄了一个行李箱,坐了 40 多个小时的绿皮火车从沈阳到了广州,再坐大巴到了珠海。

黑产猎人:老毕

【毕裕,人称“老毕”,安全公司威胁猎人创始人】

本文作者:李勤,雷锋网网络安全专栏主笔 | 微信号:qinqin0511

初识黑灰产

初到金山时,小毕干的属于“苦累活”,分析病毒行为、注册表之类。慢慢的,他接触到了对黑灰产的数据分析。

2010 年之前,黑灰产还没有“猛如虎”。黑灰产交易网站通过搜索引擎优化寻找潜在受害者,比如,针对某一个关键词的排名,调取目标人群。

相应的,攻防对抗的节奏没那么快,一个黑灰产域名的有效时长都不到一天,这种交易网站延续了以前传统杀毒软件的机制,只寻找首例受害人,一个交易网站整个全网覆盖的用户不到 2 个人,但到达率是100%,也就是说,一定有人受害。

因此,防护工作比较简单,小毕和同事要做的是,把这种网站识别出来,列到黑名单,再实施拦截,搞定。“响应大概在10秒内,潜在受害者可能还没填完身份证号、银行卡号,我们就能返回结果,直接拦截。”小毕说。

这种惬意的日子没有维持多久。

很快,小毕发现自己多了项工作。他们的注意力从围绕网址本身做快速鉴定与响应转移到了背后的关联情报,比如黑灰产域名背后注册的邮箱、IP、DNS 的解析服务过程。

对黑灰产而言,域名便宜,被打掉一个,大不了再换一个,但其挂靠的服务器属于重资产,不会轻易变动。如果要一针见血地解决问题,除了对浅层服务器表征进行分析,最好的方法莫过于研究服务器本身的特征。就像一个擅长易容装扮的罪犯,有时装成耄耋老人,有时是待产孕妇,但小毕们的任务就是,发现他是他。

这一年里,小毕尚未有机会像同事一样协助警方在一线将黑灰产从业者绳之以法,就遭遇了安全行业的动荡。

2011年年初,360 宣布旗下所有基础信息安全产品均实行免费策略,此举导致中国信息安全行业“靠收费赚钱”的方法瞬间失去效应。

整个免费战争打完之后,老金山的整个营收和商业模式全被打穿,傅盛进来后,金山也宣布免费了,在没有营收的环境下,金山形势非常不好,大量员工出走。此时,360 和腾讯的“3Q”大战正如火如荼。彼时的 QQ 医生直接变成了 QQ 电脑管家,并成立了一个部门。小毕称,腾讯一下子在安全人员上产生了巨大的缺口。

电脑管家的人给小毕打了两个电话,心里正慌张的他接下了这个 offer,跳槽到了腾讯。

挣脱赛博世界的 0 与 1 

小毕花了四年时间成了“老毕”。

小毕在腾讯做的依旧是业务安全与数据分析,金山打开的洞悉黑灰产的大门没有关闭,相反,由于腾讯业务众多,场景丰富,小毕有了更多的积累空间,最重要的是,他花了两年多的时间,协助一线警方抓捕黑灰产犯罪嫌疑人,像剥洋葱一般,慢慢探寻到关于这个产业更多的真相。

警方的现场抓捕震撼了这个之前只在赛博世界的 0 与 1 之间与对手过招的他。

“砰”的一声,海口一栋别墅门被警察踹开后,是一个 19 岁的小孩开的黑产工作室,里面有一个周末跑过来兼职的员工,一查竟然还是某大公司的技术骨干,别墅里藏了好几把打猎的霰弹枪。小孩慌了:“别杀我,我给你钱”。再后来一看,这个黑产工作室竟还有 10 几个不到 20 岁的年轻人,一个黑产团伙的年收入到了几千万。

黑灰产的成长速度让小毕惊讶,“那时候,在技术水平上,黑灰产毫无疑问地超过了我们。”黑产从以前的小作坊、干点脏活,发展成了可逆向一些非常有深度的协议,比如自动模拟受害者的 QQ,在 QQ 群发送文件,自动传播,期间不需要受害者进行任何操作。

黑产还有厉害的变现路径,把有 Q 币的号盗走,登陆,把Q币充值给另外一个人,完成变现交易。当时,腾讯的风控策略是,如果受害者的登陆常用地在北京,突然有一天变成了在深圳登陆,而且登陆完之后马上充值,他们将这种行为判定为异常。

没有什么风控策略可以让防守方一直处于上风,安全守卫者和黑产从业者往往处于螺旋式上升的你争我夺的状态。

不久后,黑产不再需要盗号,而是在受害者本地种上木马,登陆 QQ,黑产直接模拟受害者一方的协议,在本地直接发起充值行为,对受害者而言,还没明白怎么回事,莫名其妙钱就没了。

“从协议上看操作,就是受害者本人操作。所以这种方式对风控来讲,挑战是极大的。”小毕说。

防守者发现了新的攻击方式,只能马上跟上。

这时,数据能力发挥出强大的效应。小毕说:“我们在 QQ上做了一个叫 Q 盾的东西,可以抓取端上的一些特征和行为,监控第三方进入。然后,我们就能知道端上面大概发生了什么。我们还得分析这种木马的技术路径、特征,这样在端上的进程中,才能做识别。到后面,无外乎就是把运营体系打通。因为整个腾讯在端上有全量用户,只要超过一两千个用户中毒,绝对有用户会落到监控里。”

他也渐渐发现,在端上做了非常强的监控,一旦出现一个新的木马,及时发现后,防守者提取特征,及时防护,整个攻防效率非常高。小毕向老板汇报成果时,老板不再注重“你防护了多少用户”,而是没防住多少。守方的关注点从攻防数量转移到了攻防效率上。

与此同时,安全人员也在经历成长。一个明显的变化是,风控的“黑盒子”在逐渐打开。

打开黑盒子前,一般公司的风控人员可能是这样对话的:

A:今天我做了数据分析,发现有几十万个账号在登陆后的立马进行了资产查询,奇怪的是,它们还调用了另外一个接口,我觉得这个东西不太正常啊!

B:一定是恶意的吗?我也不确定。不过,我觉得有点意思。

A:我也觉得是,咱们就封号吧,封三天行不行?

B:行,差不多封吧,就封三天,就这样。

可能性1客服团队反馈 :没有误报,挺好的

可能性2客服团队反馈:有误报,赶紧改。

为什么会有这种现象?业务安全的客观现实是,大部分早期公司的业务安全团队都是研发出身。以前只有一个业务体系,突然之间,出现了一种风险,研发人员自然会被叫过来写一个规则。然后,研发人员慢慢变成了一个规则运营工程师,在数据能力、分析能力、算法能力、画像能力等方面就强了,技术底层的基础素质非常高。

但是,已是中年的老毕回过头来看当初,发现这样对黑产其实是不了解的。“木马是什么?有哪些木马?通过什么渠道传播?怎么到的这?到了之后又干了什么?有什么影响?我们需要从一个完整的攻防角度考虑,逆向分析这种风险。”历经沧桑的老毕说。

按下了暂停键  原来没有白费

2013年,老毕突然不想做安全了。

他感受到了 PC 端安全正走向落寞。“我们早些年做安全时,大家会追求一些极致的技术,比如检错率。但到了2012、2013年,已经没有人关注什么检错率。你说你 95%,我 96%,那个东西落地到业务上,实际产生的价值几乎是可以忽略。大家开始在C端玩品牌、商业、渠道,这些跟安全技术人员不太相关,技术承载的价值已没有那么大,我当时处于了一个非常恐慌,被动的状态。”

在这种焦虑的状态下,老毕的第一个念头是转型。恰逢当时腾讯内部有孵化器机制,老毕提出了一个现在看起来匪夷所思的拼车项目。

当时老毕的领导方斌眉头皱了皱,没说不能做,但也不支持。于是,给已是组长的老毕一个态度:你可以折腾,鉴于和电脑管家的大方向不符合,所以你的待遇也只能维持现状。

现在回想起来,老毕觉得,方斌其实给了自己足够的宽容和机会试错,没有直接说出来:你这是在瞎搞。

老毕在这个项目上做了9个月,摔得特别重。

当时腾讯内部的孵化器每周有一个评审会,项目负责人要做个 PPT,跟产品的大佬、公司的领导去讲想法、计划、需要什么资源。老毕回忆,自己当初写的那个 PPT,其实根本什么都没讲,就讲了说,拼车出行是人类的未来。“特别虚,讲的什么乱七八糟的环保、节碳。就是贼虚,讲了半天,领导说,老毕,你想想,你自己要是有100万,会花钱干这个事吗?我义愤填膺,说我绝对干,为什么不干?一定要干。

结局可想而知。

这个创业项目的失败让老毕反过头来反思自己在商业上的无知:拼车本质上是一个线下的东西,线上承载的东西在当时处于早期。吃了挫折的他发誓,第一,自己以后绝对不会百分百认定当下的想法是正确的。以后去做其他的创业项目或新项目,一定会非常谨慎地用最好的预期思考路径,但用最坏的打算来执行。第二,一定要非常尊重前辈的想法。特别对于to B的创业者,绝对有一个什么东西成功概率大的逻辑在里面。

创业是有瘾的,擅长总结经验教训的人一定不会轻易善罢甘休。

2014 年下半年,老毕在孵化器里做了第二个创业项目:物联网安全。“拼车”项目失败后,他做了两个调整,一是发现自己其实是把拼车行业的专家能想到的坑重新踩了一遍,他决心回到自己擅长的领域上。二是谨慎试错。老毕不再去做什么产品,而是先探索行业内物联网设备存在哪些安全问题,拿着这些问题和方案去碰用户的需求。

领导的态度依旧是不支持和不阻拦。但事实上,操作这种项目至少要买一些设备,需要支持。老毕心里有数:自己做的项目与当时部门、整个腾讯的业务发展方向不符。老板虽然没有明说,老毕已经懂了,大家全不听领导指挥,自己在外面搞。要再多两三个像自己这样的人,这个团队还干不干了?

但第二次创业的老毕不甘心,觉得这事还没搞起来不一定成不了,总要有试试的机会。于是,他选择在 2015 年 3 月回到了金山的怀抱——猎豹。早期的猎豹重心放在了物联网,给老毕批了预算和设备,两方一拍即合。

这次,依旧是一个失败的结局。

“我很快发现,这个其实在商业上面很难落地。这个行业有很多问题,有些在某个阶段没有商业价值。我接触到这个行业,发现这个行业是很苦逼的状态。很多公司拿了上百万人民币,这个产品能最终做出来,再卖那么一两批,已经不错了。你跟他说加一个什么安全,他觉得你疯了。”这次创业又给老毕上了一课:时机和商业价值很重要。

黑产猎人  从撤退到出发

老毕不得已撤退了。

此时,猎豹在美国发布了一个安全软件,在体量上做得不错了,但是在安全口碑和能力提上做得还不够。老板希望,老毕能想带领一支团队到台北把整个品牌、安全能力提升上来,冲击美国等海外市场。

老毕发现回到了自己的老本行:黑产猎人。

美国购物网站 12 月份也有大促,这让骗子有了可乘之机。当时,出现了很多诈骗网站,谎称某名牌鞋鞋子 2 折,LV包 1.5 折。

再往下,老毕发现了更大的错综复杂的环节,而且很多国外的黑灰产居然是中国人做的。这些人以前给大品牌做代工,失去代工后,开始卖 A 货,然后他们又发现原来海外的 VISA 没有密码,从而产生了直接套现的思路。比如,这个产业在福建就相当完善,从制作钓鱼网站、传播、获取信用卡、信用卡套现,整个的产业链居然是代工行业的延展。在这段时间里,老毕对海外黑灰产进行了详尽的分析。

2016 年 5 月,老毕到 musical.ly(雷锋网编者注:2017 年,今日头条花了 10 亿美元收购了这家短视频公司)交流,后来又给哔哩哔哩的票务系统做安全咨询后,忽然发现创业的窗口可能真的来了。

这些在移动互联网时期崛起的企业在疯狂生长,却没有同步打造互联网公司早已积累的抗击黑灰产的安全能力,一旦黑灰产如白蚁一般来袭,很可能遭遇灭顶之灾。

2016 年底,老毕带了 4 个人回到深圳,开始第三次创业,决定专心做黑产猎人。

黑灰产依旧在迅猛进化,老毕发现,自己面对的对手越来越多,因为整个黑灰产已经朝着低成本化发展。

比如,黑产会弄一批手机号。以前这些黑卡是这样流动的:搞完一家后,把手机号卖给你。如果卖家在北京,买家在深圳,卖家要把设备、卡都邮到深圳。为了增强资源的流动性,提升流通效率,黑产做了一个平台,给买家和卖家分配 SDK,直接对接到平台,一插卡,这个卡号可以上报到平台。买家可以在页面上直接获取号码,打电话、接收短信。

黑产获取 IP 的成本也在大幅降低,以前一个IP 要花 5 块钱,现在可能 4 块钱可以买 30 万个 IP。通过运营商,买 1000 个帐号,弄到虚拟机上。再给黑灰产提供虚拟化启用,黑灰产花 4 块钱买一天的服务,就可以无限拨号。

在对手作恶的成本越来越低,这意味着攻击随时可能发生时,老毕觉得,数据能力可能才是黑产猎人的抗击利器。

所谓数据能力,第一,感知对手到底是谁,用什么方法,在什么时间,攻击了什么业务,主动把控攻防节奏。第二,建立很强的风险数据标签。比如说手机号、IP、帐号等,从监控黑灰产团队、动向的方式构造黑产画像,提供给对方除自己数据外的数据标签能力。

2017 年 1 月,老毕以此为出发点创建威胁猎人公司后,在 2017 年底达到了账面盈利、实收略亏。目前,老毕正在为敲定 Pre-A 轮融资而奔走。

2018年 3 月 2 日,他坐在雷锋网宅客频道(微信ID:letshome)编辑对面,回忆起了一个故事。

初中时期的老毕已经可以自己开发网页,每个月差不多能挣 1000 块钱,他洋洋得意,这和父亲每个月挣的工资一样多。于是,老毕觉得这样就够了,高中的各门功课亮起红灯。

后来,他偶然看到一本名为《清华制造》的书,了解了五位学生如何组成团队进行自主创业,最后成功创办一家软件公司的故事。这本书打碎了围在他头顶的泡沫,老毕突然意识到自己意识的狭隘,犹如井底之蛙,于是在高三奋起努力,考上了大学,走上了不一样的路。

2016 年 12 月的某一天,老毕递交了离职申请,这个曾只想要 5000 块工资的人放弃了猎豹的 100 万年薪,拾起年少的梦,再次出发。

本文为雷锋网原创文章,未经许可,禁止转载。

长按图片保存图片,分享给好友或朋友圈

黑产猎人:老毕

扫码查看文章

正在生成分享图...

取消
相关文章