2011 年底,黑产年收入已经到了 900 万时,抗击黑产的老毕在金山干了一年,月薪从 4500 米涨到了8000米。
老毕傻了眼。
2010 年 8 月之前,老毕(毕裕)还是沈阳小村里的“小毕”,那时月薪不到 3000 的他,梦想是在沈阳获得一份月薪 5000 的工作。直到 8 月,在著名安全社区看雪论坛上闯出了一些名声的小毕接到了自称金山公司“老铭”的电话,对方邀请他到珠海工作。
那时,金山尚未遭遇劲敌 360 免费杀毒策略的无情扫荡,在小毕心中,是现在 facebook 一样的存在。
“呵呵,都说南方电信诈骗骗死人不偿命,这个骗子还挺有意思的。”小毕差点挂了电话。
但是,将信将疑的他还是通过了金山的两轮电话面试,背着包,弄了一个行李箱,坐了 40 多个小时的绿皮火车从沈阳到了广州,再坐大巴到了珠海。
【毕裕,人称“老毕”,安全公司威胁猎人创始人】
本文作者:李勤,雷锋网(公众号:雷锋网)网络安全专栏主笔 | 微信号:qinqin0511
初到金山时,小毕干的属于“苦累活”,分析病毒行为、注册表之类。慢慢的,他接触到了对黑灰产的数据分析。
2010 年之前,黑灰产还没有“猛如虎”。黑灰产交易网站通过搜索引擎优化寻找潜在受害者,比如,针对某一个关键词的排名,调取目标人群。
相应的,攻防对抗的节奏没那么快,一个黑灰产域名的有效时长都不到一天,这种交易网站延续了以前传统杀毒软件的机制,只寻找首例受害人,一个交易网站整个全网覆盖的用户不到 2 个人,但到达率是100%,也就是说,一定有人受害。
因此,防护工作比较简单,小毕和同事要做的是,把这种网站识别出来,列到黑名单,再实施拦截,搞定。“响应大概在10秒内,潜在受害者可能还没填完身份证号、银行卡号,我们就能返回结果,直接拦截。”小毕说。
这种惬意的日子没有维持多久。
很快,小毕发现自己多了项工作。他们的注意力从围绕网址本身做快速鉴定与响应转移到了背后的关联情报,比如黑灰产域名背后注册的邮箱、IP、DNS 的解析服务过程。
对黑灰产而言,域名便宜,被打掉一个,大不了再换一个,但其挂靠的服务器属于重资产,不会轻易变动。如果要一针见血地解决问题,除了对浅层服务器表征进行分析,最好的方法莫过于研究服务器本身的特征。就像一个擅长易容装扮的罪犯,有时装成耄耋老人,有时是待产孕妇,但小毕们的任务就是,发现他是他。
这一年里,小毕尚未有机会像同事一样协助警方在一线将黑灰产从业者绳之以法,就遭遇了安全行业的动荡。
2011年年初,360 宣布旗下所有基础信息安全产品均实行免费策略,此举导致中国信息安全行业“靠收费学习”的方法瞬间失去效应。
整个免费战争打完之后,老金山的整个营收和商业模式全被打穿,傅盛进来后,金山也宣布免费了,在没有营收的环境下,金山形势非常不好,大量员工出走。此时,360 和腾讯的“3Q”大战正如火如荼。彼时的 QQ 医生直接变成了 QQ 电脑管家,并成立了一个部门。小毕称,腾讯一下子在安全人员上产生了巨大的缺口。
电脑管家的人给小毕打了两个电话,心里正慌张的他接下了这个 offer,跳槽到了腾讯。
小毕花了四年时间成了“老毕”。
小毕在腾讯做的依旧是业务安全与数据分析,金山打开的洞悉黑灰产的大门没有关闭,相反,由于腾讯业务众多,场景丰富,小毕有了更多的积累空间,最重要的是,他花了两年多的时间,协助一线警方抓捕黑灰产犯罪嫌疑人,像剥洋葱一般,慢慢探寻到关于这个产业更多的真相。
警方的现场抓捕震撼了这个之前只在赛博世界的 0 与 1 之间与对手过招的他。
“砰”的一声,海口一栋别墅门被警察踹开后,是一个 19 岁的小孩开的黑产工作室,里面有一个周末跑过来兼职的员工,一查竟然还是某大公司的技术骨干,别墅里藏了好几把打猎的霰弹枪。小孩慌了:“别杀我,我给你钱”。再后来一看,这个黑产工作室竟还有 10 几个不到 20 岁的年轻人,一个黑产团伙的年收入到了几千万。