传统黑产行业的特点


1、网络攻击初期

这个时候不得不提的一个名词就是C/S架构。为了便于非IT行业的人员理解,所有的专业词汇我们都先解释一下。

那么什么是C/S呢,C就是英文Client的缩写,S是英文Server的缩写。这个词汇描述的就是客户端/服务器的意思。C/S在线下也有很多类似的场景,比如打麻将,这个80%中国人都爱的体育运动,一般需要4个选手和1副麻将组成,每位参赛选手不停地与服务端交互,获取和打出自己想要的麻将牌,并获取到其他选手打出的麻将牌的内容,并且判断自己是否获胜。

这个典型的场景如果按照C/S架构来划分,那么选手就是C,麻将以及麻将桌等整个环境就是S,每一个打出的麻将牌都是存储在S中的数据。在没有网络互联的时候,所有的软件都安装在自己的电脑上,所有的数据和内容也都保存在电脑的硬盘上,比如我们小的时候玩过的很多经典游戏仙剑奇侠传、三国群英传等。

这种单机的程序带来最大的问题就是数据的孤岛,每个主机直接的数据无法共享,而互联网的发展带来的就是多人数据之间的互相不停交换,21世纪初,C/S架构是主流架构,当时典型的应用有腾讯公司的QQ、联众的棋牌游戏、CS真人对战游戏等。

从那时起,QQ开始风靡各大网吧,那时候的互联网还不像现在这么发达,腾讯的QQ号码的申请需要很久,成功率还不高。2001年,我的关系很好的大学同学在一下午逃课的奋斗后,成功为我申请到人生的第一个QQ号码,而这个号码在我手上的寿命也仅存活了2个月。丢失的过程很简单,在我们学院的机房里,在点击桌面的QQ图标后输入了用户名和密码没能登陆,我以为是网络慢,于是就离开了,后来就再也没能登陆那个QQ。后来经高手指点,我也第一次清楚了快捷方式和可执行程序到底有什么区别。

回想起来,这个盗号的木马做的粗制滥造,就伪装了一个跟QQ一样的图标,放在桌面上,删除掉原来的快捷方式,诱导点击以后把输入的口令保存到电脑的某个位置,下次盗号者可以自己过来偷偷清理。

这个时候,人们的信息还很少放在网上,上网的人也很少,但是QQ号作为稀有资源,已经成为了网络攻击者的目标。这个阶段的攻击人员大多没有太多技术含量,这种攻击手法或者方式也都是通过搜索引擎或者是朋友相互传播介绍,攻击基本不需要任何成本,一个人单枪匹马就可以搞定。当然这种攻击也不需要太多技术手段,这种级别的盗号木马如今已经不复存在,一是QQ号码不在那么难以申请,同时,这种木马也极易被杀毒软件识别和清理。

2、黑产萌芽的出现

C/S阶段成熟的后期,人们不停地在电脑上安装各种软件,越来越多,电脑负荷越来越大的同时也越来越不方便使用。

如果只安装一个软件就能使用很多功能,这种瘦客户端的需求越来越凸显出来。随着网络技术的发展和Web技术的不断成熟,B/S 这种软件体系结构出现了。

B/S(Browser/Server)架构也被称为浏览器/服务器体系结构,这种体系结构可以理解为是对 C/S 体系结构的改变和促进。用户只需安装浏览器即可,不用再一个一个地在电脑上安装各种应用。

比如,中国传统的零售模式是店面式,不同的店铺销售不同的商品,如水果店、蔬菜店、各种服饰店、铁匠铺等,人们想购置自己需要的物品需要去很多店铺购买东西,如果是过年需求量大,那么光是购买年货就需要很长的时间,以下的歌谣也大致反应了过年的时候正常的购买年货的流程:

“小孩小孩你别馋,过了腊八就是年,腊八粥,喝几天;哩哩啦啦二十三,二十三,糖瓜粘;二十四,扫房子,二十五,磨豆腐;二十六,去买肉,二十七,宰只鸡;二十八,把面发,二十九,蒸馒头;三十晚上熬一宿。初一、初二,满街走”

这种模式的商店现在已经很少了,超级市场的概念进入中国后,迅速打败了传统的店面销售模式。人们可以在超市一次性购买自己所需的所有物品。这就是比较典型的C/S架构取代B/S架构的案例。B/S的根本目的是为用户提供更加方便的服务,一个浏览器可以访问许多不同的网站,满足不同的需求,所以浏览器也逐渐成为了互联网的最大入口。

时至今日,B/S架构依然是IT行业开发的主流方向之一。中国互联网有名的公司大多是B/S架构的服务模式,如搜狐、新浪、网易、阿里巴巴等等。而相应地,Web渗透测试工程师也是网络安全里一个专门的职位,时至今日,需求量还是非常庞大,就是因为有太多的B/S架构的网络需要安全性检查和防护加固。

B/S发展的早期,万维网上存放的大多是静态页面,而个人主机的主要用途是打字和单机游戏,那时候的攻击大多以恶作剧为主,目的也主要是炫耀技术和一种作弄心理。首先最重要的一条是,当时的程序员还不像今天这么多,程序员或者IT从业者身上虽然有一层神秘的面纱,但是程序员本身的收入并不像今天这么高,信息产业在整个社会占的比重比制造业差的很多,程序员的地位并没有制造业从业者重要,更别提当时的热门专业——通信行业。这里多提一句,为什么20世纪初的时候互联网行业远不如通信行业重要,是因为网络速度还非常慢,很多我们现在看起来习以为常的网络应用在当时是无法实现的,正因为如此,当时的通信行业发展迅猛,从有线到无线,从3G到现在的5G,解决了互联网很多关键的问题,如果是网络安全的发展离不开互联网的发展,那么互联网的发展是不能离开通信的发展的。

我们在互联网上搜索或者以前的老新闻上看到的炫耀各种技术的黑客,经常要么是10几岁的孩子,要么就是学历比较低的人员,如知名的“熊猫烧香”的制作者李俊等。其实炫耀技术的不止是这类人,现在的元老级别的黑客或者知名大神程序员大师们,都有过类似的经历,以前的程序经常被人放各种彩蛋,游戏经常有各类秘籍,其实很多也都是他们的自我炫耀的表达形式。年轻时我们会觉得自己聪明过人,什么活都会,干什么都行,总喜欢在聚光灯下展示自己的才华,幼稚的想法,出格的行为,还有冲动的表现欲。虽然你慢慢也会发现这些并不会给你带来渴望的成就与地位,还总认为自己生不逢时、怀才不遇。

时过境迁,当你成为更成熟的自己,兢兢业业地做着原本不屑一顾的琐碎工作,一步步趋向成功的时候,你才会明白踏实才是爱耍小聪明的你所最需要的东西,黑客们也是普通人,他们也有很多一部分人的心理会经历这个变化。这种炫技的行为如果没有给用户带来特别大的不便,其实是无可厚非的。而如果炫耀的是极具传播感染和破坏性的病毒,比如1999年的Melissa蠕虫病毒、2006年的“熊猫烧香”等、就会给整个互联网社会带来极大的震动,如同非典之于中国社会一样。

静态网页是无法满足人们在网上冲浪的需求的,人们去超市购买是去购买物品的,不是去参观物品的。随着通信技术、程序开发技术等多种技术的发展,B/S架构也愈发成熟,动态网站逐渐发展起来,这里说的动态网站里的动态不是动画的意思,而是指网站内容可根据不同情况动态变更的网站,一般情况下动态网站通过数据库进行架构。动态网站除了要设计网页外,还要通过数据库和编程序来使网站具有更多自动的和高级的功能。网页只是我们看到的展现形式,而数据库才是B/S架构中最有价值的东西,也是可以带来经济利益的东西。

热衷于炫耀技术的老一代黑客已归隐山林成为过去,经济利益正在改变着这个隐秘领域的游戏规则。随着人们对于互联网的依赖越来越深,网上订房,网上购物等形式开始出现。2005年淘宝的成交额破80亿元,超越沃尔玛。这类企业涉及到大量个人用户隐私的数据可以卖给很多广告公司、电话/网络诈骗者、其他不法分子等,针对网上订房、电商等精准数据的盗取开始演变成为攻击的重点。由此也专门诞生了一个词汇“社工库”。

如果说之前攻击者大多是针对个人的一些简单账号的获取,那么这个时候就变成了针对互联网企业的数据库的盗取。而这个时候的互联网开始国际化,国内外的数据都成为地下产业链交易的重点。数据库的贩卖最初的时候在地下市场其实并没有明码标价,在这条产业链形成之前,拿到数据库的黑客们可能自己都没意识到这些数据的货币价值,这个时候呈现的是明显的买方市场,电信诈骗的市场在此时其实比较成熟,他们获取数据的方式很多,最直接的是向厂商直接购买,比如车管所、论坛主、电商等公司的网络管理员有很多都参与过这类交易。而网络黑客的出现打破了部分平衡,这个时候网站的防护能力较弱,还没出现WAF这类应用防火墙产品,一个SQL注入漏洞就可以直接拖走所有网站数据。

由于数据到手容易,被牵涉到的可能性不大,黑客愿意以比较低的价格进行大批数据的售卖,逐渐地将数据售卖的市场在地下形成。由于数据量越大带来的利益就越丰厚,交易次数越多暴露的风险就越高。有一小部分聪明的黑客或者说高手在出售自己的数据之前,与其他黑客进行数据直接交换,互补有无,互相扩大自己的数据量,然后迅速交易,达到自己的心里预期后洗白进入早期的网络安全公司或其他行业。这个时候的攻击者比起之前的攻击者来说,具备了一定的技术含量。

经济利益的驱动是一件事情能否行业化的关键,在网络防护出现之前,网络攻击行业逐渐开始产业化。同样地,这个行业初期一定是蓝海市场,进入这个行业的大多数人都享受到了暴利,有些人洗白了,而有的人留恋这个行业的暴利,有的部分被抓,剩下的人开始成为构建黑色产业链的螺丝钉。1776年3月,亚当·斯密的《国富论》中第一次提出了劳动分工的观点,并系统全面地阐述了劳动分工对提高劳动生产率和增进国民财富的巨大作用。黑产进入了萌芽阶段,一如资本主义萌芽阶段一样,他们也开始有了分工。黑产产业化后,会逐渐出现市场的导向,那么这个时候的甲方乙方开始出现,甲方一般不是从事具体工作的而是具有明确需求的人员,他们中有为了获取竞争对手秘方、图纸、技术的公司,也有股市期货操盘人员,有为了获取他国情报的政府机构,也有想直接获取现金的人员。乙方的发展也经历了一个人单打独斗到多人联合作战的过程,20世纪初的互联网上出现的各种网络安全团队,大多参与的人员都有黑产的经历。这个时候的黑产产业链比较简单,主要就是甲方——乙方构成。

3、黑产行业的成熟

现在看来,貌似最赚钱的公司如腾讯,如阿里,都是平台提供者,但是在商业社会早期,中间商才是一个行业里最大的受益者。

《国富论》的作者亚当斯密认为:人们在经济活动中追求个人利益,正因为每个人都有利己主义,所以,每个人的利己主义又必然被其他人的利己主义所限制,这就迫使每个人必须顾及他人的正当利益,由此而产生了社会利益,社会利益正是以个人利益为立脚点的。薛兆丰老师也曾经说过,“金融的核心问题是解决人际之间非常基本的约束,就是信息不对称,世界上没有任何一个人是绝对信得过的,哪怕是你最亲密的人,但是必须打交道,会有更好的产出。”这一点在黑产中体现的尤为明显,黑产初期,虽然没有专门的网络安全法规治理,但这种数据的贩卖依然会受到公安机关的关注,很多乙方最怕碰到的就是钓鱼执法或者自己的行为被暴露。而甲方出于个人不可告人的目的,同样有着这种隐蔽身份的需求,因此甲乙双方的信任成为了阻碍行业发展最大的难题,但是人性都是逐利的,只要有利益存在的地方,就会自然地出现解决问题的人,黑产的中介由此生。

这种中介自己不从事具体工作,他们最初可能是甲方,由于自己的需求不足,而其他的朋友知道自己有这一方面的技术资源进行中介,也有可能是乙方,由于担心攻击行为被发现,或是像安全圈子里的很多大佬一样,年纪大了以后技术过时只能靠人气吸引市场。总而言之,中介不断地形成。同样,由于行业见不得光,整个销售的链条中,甲乙双方的价格都是不透明不规范的,这就导致中介在交易中的抽水是巨大的,一份机密文件,甲方也许出了几百万,给到最终攻击者手上可能就几万甚至几千元,巨大的利润吸引着更多能了解到信息的相关人士加入到黑产中介中来,形成了庞大的中介利益群体。几年以后,由于中介人数太多而形成了竞争,真实的买卖价格逐渐被乙方了解到,黑产各条目的具体价格开始规范化起来,例如贩卖数据、DDOS攻击、针对个人攻击、人员定位等都开始有了自己的明确的价格体系标准,当然这种价格体系依旧在地下市场的潜规则中执行。我无法准确判断黑产的形成时间,这些也都是通过接触到的一些大佬们和小黑们的行为中自我判断,每个人入行和悟道的时间有长有短,有早有晚,只能说轨迹上大多相似。

这个时候的黑产市场由于价格体系的稳定也逐渐趋于稳定,不同于传统商品交易市场的是,黑产中还有一个额外的也是最重要的环节,就是资金的洗白,或者说洗钱。

洗钱(Money Laundering)是一个金融行业专业术语,是一种将非法所得合法化的行为。主要指将违法所得及其产生的收益,通过各种手段掩饰、隐瞒其来源和性质,使其在形式上合法化。为了防止洗钱,一般政府的做法是在源头上进行监控,也就是通过银行来监控个人资金的动向,在出现大额交易的时候进行预警和检查。当资金较少的时候,甲乙和中介等通过现金或者转账的方式进行交易就行了,不会引起关注。(之前是因为技术能力不足,无法对每笔交易都进行检查分析,随着大数据的到来,每笔交易的检查分析也会成为现实)随着行业的发展,黑产规模的不断扩大,洗钱成为了制约行业发展的最大问题。洗钱的需求,也使得网络攻击者开始积极了解网络匿名技术、黑市身份证、博彩业等行业。一种最典型的洗钱技术就是在赌场中兑换代币后,再兑换成现金带出,在赌博合法的地方,这种金钱可以伪装成赌博的合法赚取洗白。网络攻击者大多都知道赌的危害性,所以一般不会参与真正的赌博,这种需求也使得很多赌场专门出现地下中介,为黑客们提供洗钱的一整套服务并收取中介费。当然可能还有很多更先进更好用的洗钱手法,在刑法中大抵都能查得到,这里就不再深入研究了。

这个时候的粗的黑产链条形式基本上是甲方——中介——乙方——洗钱中介——洗钱操盘手。这种模式现在还存在,而这种模式虽然稳定,但是所有的过程都建立在人与人之间的沟通合作上,因此网络攻击者依然存在很大的暴露的风险,随着现在大数据技术的发展,这种模式也会逐渐变少或者在中间采取更为隐蔽的方式。

分享到