旧事重提:韩国网游黑产链之萌芽(原创)
话说在十一年前,也就是2007年7月左右,韩国正式开始实施网络实名制。官方的用意在于,“减少网上的语言暴力、名誉损坏、虚假信息传播以及不正常的人肉搜索”。韩国几乎所有的游戏公司都强制部署了实名制系统,此时韩国网游黑产还处于网站挂马盗号的初级阶段,实施实名制后,各大黑客团体就开始频频渗透韩国游戏公司拿到数据库,网游黑产产业链逐渐形成。
有必要先了解下有哪些韩国游戏公司及其端游产品:(游戏公司排名部分先后)
| 公司 | 产品 |
|---|---|
| webzen | 奇迹MU 霸王大陆 奇迹世界 |
| NCsoft | 天堂 天堂2 永恒之塔 剑灵等 |
| Neople | 地下城与勇士 |
| NEXON | 洛奇 冒险岛 泡泡堂 跑跑卡丁车 洛奇英雄传 |
| wemade | 热血传奇 传奇3 苍天 |
| ChoiRockGames | 神泣 |
| Mgame | 决战 骑士 英雄 热血江湖 |
| EYEDENTITY | 龙之谷 地城之光 |
| Estsoft | Cabal |
| NHN | R2 第九大陆 |
| KOG | 艾尔之光 |
| ACTOZ | A3 千年 彩虹岛 |
| Eyasoft | 墨香 LUNA Iris |
| T3 | 劲舞团 |
| Gravity | 仙境传说 |
| Gamehi | 挑战 |
| MAGICS | 破天一剑 |
| ALT1 | 十二之天 |
| ZEMI | 英雄王座 4story |
| GravityGames | 龙族 梦幻龙族 |
| Neowizcrs | 武林外史 七魂 魔剑英雄 |
| CCR | RF |
| YD Online | 精灵 精灵2 |
| HiWin | 天上碑 |
| Ndoors | 王者世界 |
一、黑号信封
自从实名制以后,黑灰产团体开始摒弃过去散兵游勇式的针对韩国门户网站和SNS进行批量挂马盗号,逐渐引入更正统的渗透测试方式来获取游戏数据库。由于韩国政府机构对实名制采取了强制要求,而韩国游戏公司也缺少充足的网络安全防护与对抗经验,甚至招聘不到合适的员工担任,同时也没有给予足够的重视,于是乎,各大游戏厂商纷纷被扒库。虽说部分公司的敏感数据字段已经HASH加密,但依靠来自某种东方神秘力量的中国团队,还是将这些数据逐步还原成明文。 数据库后会按照不同游戏分门别类,按照当时价格单条0.5元人民币批发给国内销售信封的代理,代理商则会按照50%-500%的加价卖给洗号工作室或者打币工作室。洗号工作室会批量登录帐号把金币进行转移,道具进行分解,放在仓库号里到韩国itembuy等类似国内的虚拟物品交易网站卖给韩国人。打币工作室则利用帐号进行打币,如果有道具和金币他们同样会这么操作,不过打币工作室主要还是生产游戏币和道具进行销售获利。 黑灰产团体在大范围攻击游戏数据库后,必然引起游戏厂商广泛而高度的重视,新生的游戏公司,损失惨痛的老资格的游戏厂牌都在网络安全防护方面持续加大投入,渗透攻击的门槛也日涨船高。当积攒的用户+密码字段数据量与日俱增后,黑灰产团体转向围绕社工库开始做文章。俗话说,“大数据杀熟”,在当时年代的局限下,典型的杀熟场景就是社工库。于是,批量扫号器业务逐渐兴起,甚至正规的软件外包开发公司也参与其中,打造了一站式扫号器服务模式。按照当时单条0.1元人民币的信封价格销售给批发商或者代理商,新一轮的盗号撞库洗号链条操作随之开始,7*24小时周而复始。 某团队就曾脱过webzen数据库,大约 1700多万条数据,直接以50万元人民币的打包价格卖给了李某某,其本身就是洗号工作室的负责人。经验丰富的李某某知晓官方一旦发现账号密码泄露便会告知玩家修改密码,所以其第一时间便开启二次销售,同时加快了工作室的洗号过程。在一周左右的时间分拆销售完毕后获利300多万元,然后两天后webzen才提示玩家修改密码。
二、代理业务
韩国实施实名制后,由于中国黑客的网络攻击导致网络安全问题日趋紧张,韩国政府游戏产业组织就颁布命令索性就把所有中国IP地址设置为黑名单,禁止中国IP登录韩国游戏和相关游戏网站。然而,引用人民日报的说法,本着“智者建桥,愚者建墙”的理念,聪明的中国人想到了搭桥的办法,那就是开展代理业务。 具有地缘和语音优势的东北延边地区的朝鲜族聚集地,便成了该业务的第一批尝鲜者。在韩国自建IDC机房,批量向韩国信息部门申请IP地址,架设代理服务器并转卖。随着黑号和工作室对代理的需求量日渐增加,自建的IDC机房已经难以满足。遍开始大举攻击韩国友商IDC机房,拿到服务器权限后再架设代理转卖给洗号和打币工作室。 所谓道高一尺,魔高一丈。韩国游戏公司逐渐发现IDC机房的IP越来越多的参与到黑色产业链中,便将韩国境内所有IDC机房IP地址加以统计,形成所谓早期的风控策略,一旦匹配到此类ip登录账号,立刻冻结。聪明的中国人再次想起了那句名言,寻找当地韩国人或者留学生合作,以其身份申请韩国宽带,利用民用IP地址池作为代理架设源,继续转卖到国内,赚得盆满钵满。 朴某某是延吉市周边的普通朝鲜族,在没有找到合适的工作后,在手动打币工作室做小工寻求温饱。当时,单台机器一个月的收入范围在2000-3000元人民币这个区间,在看到封锁中国IP日趋严重的情况下,为了维持工作室继续生存,被迫租用了韩国的vps服务器当做代理使用,后来发现周遭的兄弟工作室都有类似代理的需求,便破釜沉舟从亲友借到巨款在韩国自建了IDC机房。而后又以各种名目向韩国有关部门申请了大量IP地址,半年后,机房IP几乎全部被屏蔽。仍然不死心的朴某某,不想放弃这个赚钱的业务,动用了个人所有在韩国的人脉和资源,寻找当地留学生合作申请家用宽带,最高峰的时候拥有几百个家用IP资源,然而依然无法满足市场需求。朴某某经过深思熟虑,借用了当前火热的“共享经济”思路,在国内招聘了软件开发人员做出了一款软件产品。韩国用户只需开机挂着软件共享自己的IP地址,就能获得一半的收入分成。借此思路,朴某某拥有的代理IP资源数量终于到达了五位数。若干年间,朴某某也从普通的打币少年,如今有房有车,老婆孩子热炕头,继续着他所谓的“事业”。
三、游戏帐号
自从实施实名制以后,所有帐号注册都必须填写身份证和手机号,验证系统会根据用户填写的资料来进行开通。中国大陆地区靠韩服生存的打币工作室,主要集中在东北、山东、福建、广东等地区,其中以福建龙岩为规模之最。例如,韩国的《天堂》游戏在龙岩地区挂机打币的机器数量高达5万台。如此大的规模,也导致游戏帐号需求量暴增,市场也就催生了出来。
很多东北朝鲜族在语言文字无障碍的情况下,前往韩国偏远地区去购买韩国当地人的资料并用于注册游戏帐号。购买1人份的资料后,将所有游戏都批量注册,资料整合后出售给工作室。经过几轮的购买,韩国居民的资料获得的成本越来越高。黑灰产团体继续发挥聪明才智,整编了市面上流通的韩国数据库,将个人信息全部提取出来,通过社交软件勾搭韩国当地人进行帐号注册,而后再卖给打币工作室。
林某某是一名朝鲜族韩国留学生,起初在首尔向中国大陆出售网游新账户,从事所谓的虚拟产品代购。后来演变到以组织免费旅游的名义去偏远地区套取韩国人的个人信息资料,来注册所有网络游戏账户。再后来跟西南某黑灰产团体合作,林某某负责在韩国搞定手机卡号,黑灰产团体负责提供真实个人资料,分工明确。据说在当时,单个账号热门游戏可获利数十元,冷门游戏也可以获利几元。
四、游戏外挂
网络游戏的成长发展史同时也伴随着外挂,两者相爱相杀,韩国在实施实名制后,大陆的部分外挂团队本着直觉嗅到了淘金的机会。虽然说实名制提高了韩国游戏市场的准入门槛,但是庞大的韩国网络游戏购买力面前,很多外挂开发商在国内高压的政策下陆续放弃了国内市场转向韩服市场。特别是山东、广东、四川等地知名外挂团队都纷纷杀进韩国市场。瞄准的庞大的韩服网络游戏打币工作室,批量上号挂机产钱的市场。在这里不得不提下,腾讯公司在游戏安全方面乃至于网络安全方面做出的卓越贡献。
拿《天堂》来举例,在当时年代,外挂的牌子炽天堂、九月天堂、久久天堂、天变传说、天堂霸主、天堂伴侣、天堂蓝狐、天堂蚂蚁、天堂神话、挑战天堂、雄霸天堂、天堂小霸王等等18家,可见在韩国网络游戏打币市场的庞大。
韩国网络游戏由于打币工作室和外挂的泛滥,韩国政府主导了反外挂系统。Nprotect、X-trpe、HackShield、Xingcode3等等,初期这几款反外挂系统在一定程度上阻止了国内外挂研发团队的脚步。然而在利益的驱使下,不少国内内核驱动的大牛,甚至中科院的博士也参与其中,通过研发过反外挂的插件或者技术也赚到了人生第一桶金。
与韩国血溶于水的朝鲜也禁不住金钱的诱惑,在偌大的网络游戏市场面前,三胖同志也坐不住了,竖起了举国体制的大旗,从部队挑选各类精英人才,由国防部亲自带队,派往中国东北丹东某处偏僻的地点,接受系统完整的网络游戏外挂开发现场实战培训。培训教师都是从国内高薪聘去的一线从业人员,经过数月的系统培训实战能力强、资质好的学员就留在中国境内,研发韩服网络游戏外挂,学不会的就遣返回国,很多学员为了不回平壤便暗中贿赂领队。由于众所周知的“经济”常识,连电视机对于普通民众都是稀罕物件的国度,能够获得外派资格的都是高官厚禄的子弟。朝鲜人逆向调试的基础功底比较好,但限于技术交流的环境比较封闭,还在使用陈旧的、Softice、W32dasm等工具,Ollydbg、IDA等几乎没有接触过。不过在面对学不会就被遣返的恐惧下,再难的技术也会变的容易。
