摘要：表面看起来，数字货币的出现让黑产的变现链条变短了，坏人不需要直接伤害别人就能获利，听起来似乎不错。但，我很难说出这究竟让网络世界变得更好或者更坏了。

钛媒体注：本文转载自浅黑科技（qianheikeji），作者：谢幺。

黑客“xiaoba”要被警察盯上了。

几个月来，这家伙四处传播木马，疯狂榨取肉鸡（被黑的机器）里的每一滴价值。

一旦中了他的招，机器将受尽折磨。

先是被挂上各种垃圾广告，然后主机CPU使用率飙升，成为黑客挖取虚拟币的“矿工”。

同时，剪切板还会被监控，一旦进行虚拟币交易，收款人地址会替换成黑客的。最后，木马还会锁定电脑来勒索，榨干最后一点价值。

勒索界面

这就好比是一个强盗劫财又劫色，还企图把受害者按在地上摩擦。在普通人眼里，能干出这种事的多半是个“狠角色”。

但李铁军却告诉我，“ 这恰恰说明这个人太年轻，水平不咋地。”

李铁军是谁，为什么敢说了这么屌的话？他是更厉害的黑产大佬吗？

不，他其实是一位从事网络安全行业超过20年的老司机师傅，当幺哥还穿着开裆裤玩泥巴时，他就已经开始搞安全。

今年他去了腾讯安全，现在是腾讯电脑管家的高级安全专家：

腾讯电脑管家高级安全专家 李铁军

“电影里开头很嚣张的角色，有几个活过半集的？”

他说，黑产和黑道一样，小混混才四处乱叫，大佬总是小心又低调。

果然，当警方定位到黑客“xiaoba”时，发现他只是个未成年的小男孩。

李铁军说，“稍大些的黑产团伙都是闷声发财，有的还很讲究用户体验。”

哦？黑产也注重用户体验？这事听起来很新鲜。

在幺哥的追问之下，李铁军讲述了另一宗真实的黑产大案，里头充满了各种骚操作：

一、网管、大神、摇钱树

杨波有三个身份，网管，大神，摇钱树。

在外人眼中，他只是山东潍坊“时空网咖”的一个小网管，大专毕业后成天只会玩电脑，做生意又不会做，所以只能在网吧打打工维持生活这样子。

可熟悉杨波的人都知道，他是个自学成才的技术牛人，在网上做副业挣的钱比工资高好几倍，留在网咖上班纯粹图个乐子。

杨波的第一个副业是卖会员卡。

一年前，他照着“爱奇艺”的界面编写了一个叫“酷艺VIP影视”的软件，可以任意播放优酷、爱奇艺等各大视频网站的内容。

他以年卡、月卡方式向全国网吧兜售自己的软件，借着“网吧联盟”的便利在全国发展了几十个代理，销路覆盖全国两千多家网吧，一年能卖出五千多张卡，挣个二十来万元不成问题。

杨波的第二个副业是编写游戏外挂。

2017年下半年“吃鸡游戏”大火，他写的外挂不仅功能齐全，更新稳定且更隐蔽，因而成了不良玩家（挂B）口中的“良心软件”。

最关键的是，他的外挂是免费的。

这个策略很好地切中了众多挂B的胃口，外挂传播地相当广，创建了四五个用户群都不够用。

也正因为这个外挂，杨波成了贺强眼中的“摇钱树”。

贺强明面上是大连一家网络广告增值服务公司的老板，其实背地里搞网络黑产，专门用正常的软件带病毒木马来挣钱。

2017年下半年，杨波想给自己的外挂程序挂点广告来挣钱，在“天下网吧论坛”结识了贺强。 

贺强告诉杨波，只要他愿意在游戏外挂里捆绑一个叫“58迅推”的软件，按照机器数量抽成，每台机器给5-10元。

杨波当时手里控制着3万多台，算下来能挣二三十万，顶自己卖一年的视频软件VIP卡，他有些心动了。

“我说老弟啊，你手里机器配置都不错，拿来做弹窗广告太浪费，很适合挖矿。”

贺强跟他担保，绝对不影响用户的正常用电脑玩游戏，不容易被发现。

杨波被说动，二人达成一致，杨波成了 “58迅推客户端”的代理商，也成了贺强眼中的摇钱树。

二、佛系黑产 

贺强没骗他，这款“58迅推”既不影响用户正常使用也不容易被发现，讲究得很。

软件会实时监测电脑CPU占用率，当CPU占用率低于50%，挖矿程序就在后台默默启动。一旦用户开始玩游戏，CPU占用超过50%，挖矿程序就自动停止。

和弹窗广告、静默安装等恶意软件相比，这个挖矿软件确实非常“佛系”，用户几乎感受不到任何影响。

不过，我很难用“盗亦有道”来形容它，因为这么做的目的无非是怕被发现。而且即便不影响使用，挖矿也会大幅增加耗电，让机器提前报销，这些成本最终将由电脑拥有者来承担。

为了装上这些挖矿程序，杨波需要对抗杀毒软件。他的方法简单粗暴且有效：直接让受害者主动关掉甚至卸载杀毒软件。

“本程序属于外挂程序，100%绝对无毒，但可能会被杀毒软件误杀，请使用时关闭或卸载杀毒软件，谢谢！”

类似方法用在游戏外挂、破解软件、视频软件上屡试不爽。

在一些成人网站里，即便杀毒软件出警告，大多数情况也会被直接无视，或者卸载掉杀毒软件，原因你懂的。（这一度让安全公司很头疼，有种猪队友的感觉）

为了拿到更多抽成，杨波开始四处推广自己的外挂。社区论坛、工会频道、社交群都是不错的传播渠道，由于外挂确实免费又好用，他的生意火爆。

在一个吃鸡游戏的论坛里，杨波发的帖子后面出现了一个“火”的字样，浏览和下载量都过万。

一个帖子完成“万人斩”，为杨波挣得近十万元

同时，一些不知名的下载站也疯狂地传播这款外挂程序，只要在网上搜索“吃鸡”、“绝地求生”、“辅助”之类的关键词，就会被引导到这些下载站，流量稍微高点的网站就有十多万下载量。

一个又一个群，装不下前来送钱的人们。

至 2017年12月，这款挖矿木马传播量达到高峰，据后来的数据统计，仅当天就有20万台电脑主机受影响。

三、螳螂捕蝉

看着账上打来的 26.8 万元，杨波心情复杂。

虽然钱不少，可他去查了查当时的币价，发现贺强他们挣的钱比自己多得多。

杨波计上心头，打算来一波黑吃黑。

他对程序进行修改， 内嵌了自己的 HSR 币挖矿代码，被控主机在挖矿时挖到矿币后会自动转到他的 HSR 钱包中 。

一头挣着贺强他们的抽成，一头押着几十万台主机为自己挖 HSR币，舒服得很。

此外，杨波还把自己之前开发的“酷艺VIP影视”也装上了挖矿程序，从而控制更多的主机为其自己“ 挖矿 ”。

在这之后的短短3个月里，杨波如愿以偿挖到了8551 .9枚HSR币。

2017年12月前后，HSR 的价格正好冲到高峰，达到252元/枚，按照当时的币价，杨波手里的币价值 213 万元。

一波黑吃黑，让杨波的收益提高了10倍。

不过，此时的他只顾得上高兴，并不知道有一份技术分析报告已经交到警察手里，自己即将面临牢狱之灾。

也不知道这二百多万的币价是否增加了他后来的量刑。

报案的是腾讯守护者计划安全团队。

一个多月前，腾讯电脑管家的安全大脑系统捕获到了一批带有异常行为的程序样本。

研究人员分析后发现， 该程序样本运行后，会进行一遍黑名单检查，如果在主机上存在列表中的程序，就会先提示用户把他们关闭以及卸载。

而这个黑名单里，大部分都是反病毒软件，其中不乏我们熟悉的名字：QQpcmgr、360sd、火绒剑、wireshark……

关闭杀毒软件后，该程序会从三台远程服务器上下拉挖矿程序，并设置为开机启动。

这是木马程序最典型的“白加黑”行为，利用一个看似正常的程序来下载激活另一个可疑程序。

经过层层分析，研究人员摸清了这个可疑程序的运作方式，将所有线索以报告的形式呈递到山东潍坊警方。

最终，公安机关先是控制了杨波，而后抽调精干力量50余人赶赴大连,将涉嫌非法控制计算机信息系统的贺某、陈某等16人全部抓获。

同时，专案组迅速对大连晟平网络科技有限公司的下线进行梳理并展开抓捕：

4月18日,在哈尔滨打掉迅博网络科技有限公司,抓获张某、高某两名犯罪嫌疑人

4月19日,在佛山将犯罪嫌疑人杜某某抓获,查缴一款dll挖矿程序……

……

一个非法控制389万台电脑主机，非法获利1500余万元的团伙就此覆灭，等待他们的将是漫长的牢狱之灾。

图为警方抓捕现场照片

讲完这个案子，李铁军告诉我，某种程度上来讲，数字货币的出现改变了一些黑产的敛财方式。

“ 如今的黑产们用手里的肉鸡挖个矿就能直接挣钱。而在以往，这些肉鸡多半会被用于DDoS 攻击、流量欺诈（刷票刷单之类的）、勒索…… 

表面看起来，数字货币的出现让黑产的变现链条变短了，坏人不需要直接伤害别人就能获利，听起来似乎不错。

但，我很难说出这究竟让网络世界变得更好或者更坏了。

网络上的“黑道”的变化，就像现实世界中黑道的变化一样，他们收起锋芒变得内敛也变得狡诈，这种演化就像是生物演化一样，从来无关好坏，只是适者生存。

你说呢？（注：本文中的杨波、贺强、时空网吧为化名，其他均为真实名称）

参考资料：

本文大部分内容来自李铁军口述；

齐鲁晚报.《潍坊公安破获特大非法控制计算机信息系统案》；

Freebuf.《装游戏辅助本想吃鸡，中挖矿病毒卡到死机》