遊戲黑產：我還在空中跳傘，就被人用拳頭遠程打死

以前，有一個美得不行、工作又努力的市場妹子為了和大家做好朋友，刻苦鑽研王者榮耀，並且積極邀請大家和她一起組隊。後來，妹子要離職了，臨別時向一位宅男發出了來自靈魂的質問：「為什麼每次我打王者榮耀發出組隊請求時，你總是沒有響應？」

宅男沉默三秒之後，耿直地表示：「我看了你的等級和戰果，決定忽略你的組隊請求……」

再美的妹子都不動心，宅男的目標是：打遊戲就是要贏！所以，豬隊友不可忍，但坑你的絕不止是豬隊友。

最近，騰訊安全雲鼎實驗室安全研究員御風研究了遊戲行業遭遇的安全威脅，他把研究結果分享給了雷鋒網宅客頻道，我們才了解到，朕能在遊戲里打下江山，跨越了這麼多坎，原來「總有刁民要害朕」。

正常人可能手持1-2個手機，但有人有一堵手機牆。

哦不，是下面這個?

一些打金工作室為了註冊更多的機器人帳號，獲取遊戲里的金幣等資產，常常給自己構建一張蘋果牆或安卓牆。因為這些打金工作室的牟利方式之一是靠一些設備專門打遊戲金幣和裝備，通過一系列小號進行交易，再匯總到某個帳號，賣給有需要的玩家，或者直接販賣高級帳號。

但批量註冊帳號好歹也要一些裝備（成本），有沒有更節省成本的方法？

有的，隨著近年來黑市泄漏賬號數據的廣泛流通，攻擊以撞庫攻擊和賬號掃描為主，攻擊成功後進一步進行資產竊取。

為了查清黑灰產利用撞庫攻擊等手段「搶劫帳號」的成功率，安全研究員想了一個辦法，在網路上布置便宜的蜜罐網路吸引攻擊者跳轉，獲取他們的流量，然後了解他們到底幹了哪些事，有多高的成功率。

這個成功率居然在千分之二到千分之四之間。看上去，也不是讓人驚悚的數據，但這個基數是龐大的，我們來算一筆賬：如果攻擊者撞了100萬個帳號，就有幾千個帳號中招，匹配密碼成功，攻擊者自然能橫掃裡面的資產。

御風年少時遇到的攻擊者還在辛辛苦苦地開發木馬，誘騙玩家中馬，同時還要分析遊戲的安全進程，從而搶劫帳號，沒想到，現在在賬號安全側，撞庫相關攻擊實際佔據了80%以上的份額。攻擊者只要在愈演愈烈的數據泄漏中，從網站的登錄介面，直接拿已經泄露的資料庫進行查詢即可。

這與早期以盜號木馬為主的帳號類攻擊形成了鮮明的對比。看來，攻擊者已經把搶劫帳號這件事從智力勞動降低到了批量的「體力勞動」。

有意思的是，由於國內發達的黑產鏈條，國內遊戲公司吸引了近 6 成的攻擊量，而國外遊戲公司的攻擊很多也來自國內。國內遊戲公司的攻擊流量來源幾乎全部源自於國內，源自海外的幾乎可以忽略不計。其中以吉林、浙江、江蘇、江西、廣東等省份的來源為多，以上省份佔了60%以上的攻擊請求，國外遊戲公司面對的攻擊則來自各個國家，而源自中國的攻擊流量也佔據了半壁江山。

［國外遊戲公司攻擊來源分布］

和中國攻擊者有同樣志趣的也就只有隔壁的俄羅斯大兄弟了，聞名世界的烏克蘭黑客似乎正忙著在軍事上和其它黑客一較高下，沒空搭理遊戲行業。

雷鋒網編輯試圖和御風一起梳理，為什麼國內這樣的黑產鏈條比較發達，我們找出了三個原因。

第一，國內遊戲工作室僱傭成本低，在偏遠地區 2000 塊工資就能湊齊一波人。

第二，這種黑產鏈條分銷渠道完整，上游打了東西出貨給下游，你就不用管了，下游會幫你賣掉，比如，5173 這種簡易的出貨平台。。。有可能國外是沒有的。

第三，蘿蔔青菜，各有所愛，其它黑客志向不同，不像中國遊戲黑產立足腳下。

女人最怕撞衫，遊戲廠商難免撞款。

當然，我們不是指控所有的 DDoS 攻擊都是友商所為，但這種情況不少見。

一般大遊戲廠商＋安全措施做得好的廠商還能扛住，但是沒什麼安全機制的小遊戲廠商以及私服之間容易遭遇同行這樣的問候——十分鐘內，直接癱瘓掉遊戲伺服器，導致遊戲玩家掉線、延遲、遊戲系統假死等。

以前，攻擊者調用互聯網上的肉雞組成殭屍軍隊，發起大規模攻擊，但是組建以及維護殭屍網路都需要很高的成本，後來為了降低成本，獲取更大的攻擊效果，攻擊者流行起用互聯網開放伺服器發起反射拒絕服務攻擊。

比如，偽造成被攻擊者的IP地址向互聯網上大量的智能設備發起 SSDP 請求，接收到請求的智能設備根據源IP地址將響應數據包返回給受害者，SSDP 可把 DDoS 的攻擊效果放大 30 倍。

御風研究發現，針對遊戲行業的 DDoS 攻擊還是主要以攻擊帶寬為主，以組合式攻擊打出超大的流量堵塞寬頻，其中各類反射類攻擊佔據一半以上。

其中，Memcached 反射攻擊是新出現的一類方法，其效果可以放大超5萬倍，換句話說，鳥槍換大炮。

這種打法大致就是，以前我不讓你從超市大門進來購物，派了10個人把門堵住，現在我又是派人堵門，又是把共享單車、摩托車、小汽車都堆積在超市門口，還招來小攤小販擋住。

遊戲周邊行業也成為了 DDoS 的新攻擊目標，針對遊戲的 DDoS 攻擊不僅在新的 H5Game 上出現，而且逐漸向所攻擊遊戲的周邊行業擴展，如遊戲虛擬財產買賣、電競、遊戲資訊、遊戲雲服務等。攻擊者除了針對某一遊戲除進行主伺服器、網路結點攻擊外，還對「無辜的」第三方支撐與合作平台發起了攻擊，真正實現了「我不但要搞你，還要全方位搞垮你」。

為了不被警察蜀黍抓住，狡猾的攻擊者還會將伺服器遷到國內外不易察覺的地方，這些都是遊戲行業發起 DDoS 攻擊的攻擊者經常藏匿 C2 伺服器的地區和國家。。。

玩家小明剛投入感情到某遊戲，就體驗了「社會掛」的強大。

他一出飛機，還在空中跳傘，就被人用拳頭遠程打死……

這是什麼鬼操作？？？小明甚至連死亡回放都看不了，哼，不服氣，再來一次。

第二次，小明成功落地了，正興沖沖地奔跑，突然被人從八百里外用衝鋒槍爆了頭。

遊戲行業的外掛產業已經實現了「產業鏈化」，分工明確，不同的功能有不同的人做，最後呈現的效果就像拼積木一樣，可以說，外掛可能是遊戲黑產里最具技術含量、最複雜的領域，但是，現在的門檻已經大大降低。

「有人幫你想在遊戲里做怎麼樣的功能可以贏利，有人能提供針對具體的一些功能的技術點分析，還有人賣數據，賣外掛後台，甚至能幫你實現外掛的防破解，加密網路通訊等模塊都可出售。」御風說。

以流通渠道劃分，神奇的外掛還可分為「玩家掛」和「工作室掛」。

所謂玩家掛，就是上游的外掛開發者將掛交給總代理去賣，總代下一堆的小代理，他們各自拉群宣傳，輔助類的外掛幾乎都得找這種玩家掛買。「工作室外掛」則更隱蔽，外掛開發者直接聯繫幾個遊戲工作室，讓它們承包掛的銷售，這種外掛不會在市面上流通，降低因為宣傳被封禁的風險，拉長生存周期。

由於 PC 遊戲熱度降溫以及手游交易系統的限制，2018 年外掛主要集中在手游的吃雞類遊戲上，而傳統的打金類外掛熱度佔比已經很低。

也就是說，外掛已從「獲取資產」逐漸向「增強玩家體驗」轉變——「打得爽」成了主流訴求。

偷偷告訴你外掛出現得最兇猛的遊戲排名。如果你在這些遊戲過程中遭遇了匪夷所思的對手，呵呵，就是它了！掛神的碾壓會讓你懷疑人生。

想好好玩個遊戲居然這麼不容易？是的，憂愁的不止是玩家，還有廠商。如果邁過了前面三道坎，還有一個坑：代充黑產。從最開始的外幣匯率差、退款、36漏洞，再到黑卡、盜刷信用卡，甚至出現了專門的庫存系統，造成遊戲廠商損失慘重。

前面幾種你可能都聽說過，而所謂的「專門的庫存系統」是指由於使用黑卡或盜刷信用卡，可能會在很短時間內被蘋果封號。但黑客發現在蘋果的購買流程中，如果把支付憑據截取下來，讓流程不進入發貨環節，充值商家等到有客戶時候可以隨時使支付憑據發貨，完美繞過蘋果風控系統，蘋果結算時可能因此損失一大筆錢。

最後，你知道這類針對App store 的「蘋果系」黑產主要分布在哪嗎？

來個競猜吧！

A.電信詐騙之鄉福建龍岩

B.冷麵哪裡最正宗——吉林延邊

C.沒有聽過，存在感不高的甘肅金昌，你不要為自己加戲了

D.旅遊哪裡去，廣東江門歡迎你

E.說句天子腳下北京，會不會挨打？

F.北上廣不愛你之深圳挽留你

友情提示：答案可能讓你震驚到深深地懷疑這個世界，就在騰訊安全雲鼎實驗室發布的這個報告里了。

歡迎關注雷鋒網宅客頻道，微信號：letshome。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！