第二十章.山神的定时握手(2 / 2)

“172.16.3.100地址,这是内部网的地址呀。”周围机器人研究所的安全工程师议论着。。。

“让研究所的人查一下这个172.16.3.100地址及被复制的文件是什么?你继续看第三个日志文件。”欧阳继续说道。

“第三个日志里面记录,用packetzip.exe对这些文件做了处理,根据刚才的情况,这个好像是压缩加密分割文件用的,运行后创建刚才外传的那组文件,同时删除用于加密的源文件,并修改了日志记录。”林久浩。

“你继续告诉我日志里面的情况。”欧阳。

“处理以后,启动了copyitout.exe这个应用,杀掉了packetzip.exe进程,同时把刚才的文件传出到一个外部ip地址,这个外部ip地址是上海地区的服务云,是。。。普洱茶爱好者服务器。”林久浩的手速很快,边说就边查到普洱茶爱好者服务器。

“后面呢?”欧阳继续询问。

“很奇怪,copyitout.exe没有运行完成,很奇怪,最后一个传输出去的文件,时间是14分59秒,他们居然把时间计算错了,所以,最后3%部分的文件传不出去,卡住了。”林久浩疑惑了。

“很奇怪,确实很奇怪,十五分钟,这个时间段山神不会发现的。。。黑客的所有行为,证明他的思维非常缜密,不应该犯这样的错误呀。”欧阳好像在思考着什么,继续:“好吧,我们继续”。

“后面没有了,这是第三个日志最后的情况,再后面就是山神启动了安全防范机制,反向入侵了这台服务器,并在网络层面阻断。”林久浩说道。

“我明白了,大致过程应该是这样的,小林,你可以记录一下,过一会儿告诉警方的人。”欧阳。

“好的,你说。”林久浩。

“首先,黑客通过那个ip地址转换对应的外部地址,进入了机器人研究所的办公网络系统,你们查一下,是从哪一个外部接口进来的。”欧阳。

“知道了,警方一直在查。”林久浩

“然后,黑客先攻击了,手法是高级别的隐蔽安全后门,所以他们的所有操作都不会留下用户名称,包括修改日志文件。”欧阳。

“我们国家对操作系统做代码审查的,没有发现吗?”林久浩问道。

“很难,你怎么知道他们卖给你的就是你审查的,植入等量代码,无法从代码量对比发现,后期也可以通过隐蔽隧道传输,安装替换代码植入隐蔽后门,方法很多。”欧阳。

“这种都很难发现吗?”林久浩。

“很难,但是,不是没有办法,还有更难的,我们并不是对所有的软件做代码审查,例如,必须安装上。”欧阳继续解释。

“通过修改吗?”林久浩。

“不知道,需要获得最高权限,这个不是我们今天讨论的问题,我们继续说正事。”欧阳不想歪楼。

“继续。”林久浩。

“然后他们发现了安全agent,由于害怕agent影响他们的操作,所以定制了一个中间人程序,中转agent与山神的信息通讯。”欧阳。

“这可能就是agent丢了五秒钟参数的原因。”林久浩。

“插入中间人程序大概率会导致安全agent延时发送信息,这一点我们在后期山神系统告警中需要增加进去。”欧阳。

“不过,他们加入了中间人程序以后,为什么没有第一时间,杀掉agent,是不是知道我们有秘钥握手机制?”林久浩问道。

“小林,我教导过刘胖,做事要有耐心,先观察一下,这个黑客同样具备耐心,我低估他了,我设定的十五分钟握手,就是给没有耐心的黑客准备的。”欧阳。

“也就是黑客发现了这个机制?对吗?”林久浩问道。

“是的,他发现了这个机制,所以制定了整体计划在十五分钟内完成,黑客事先知道了172.16.3.100的文件位置,所以写好了程序。”欧阳。

“已经查清楚了,172.16.3.100这个地址在内部数据网计算云上的服务器,与办公网之间有物理隔离措施。”林久浩说道。

“肯定办公网与内部网络被联通了,否则无法拷贝文件,这一点让研究所的人配合警方去查,我们继续。”欧阳。

“继续。”林久浩。

“攻击开始,他们用中间人阻塞了agent与山神的通讯,并接替agent向山神发送,接替时间恰好在秘钥握手的一个完整周期的开始点。”欧阳。

“如果不阻塞agent,他们是不是就可以成功完成入侵,并不被发现?”林久浩。

“如果不阻塞agent,对于他们来说更危险,因为他们无法获得agent的所有监控参数,一旦开始在服务器上运行文件,并大数据量拷贝复制切割文件,一旦触发agent,就会导致任务不确定性,事实上我们的agent监控的参数比要多。。。这是高手,他决定阻塞agent是很明智的,但是。。。时间怎么回事。”欧阳解释了阻塞的原因。

“时间,就是他算错了时间,导致没有100%完成。”林久浩。

“不应该呀,这个黑客思维缜密,从他制定的程序就可以看出来,所以,他对时间的估算只能提前,不可能超过十五分钟,但是,现在确实发生了超时现象,我们现在还不知道为什么。。。”欧阳边说边思考。

“是不是?哦对了,查过来,那个时间点,这台服务器上没有大的应用,而且网络层面也没有出现故障延迟,所以,只能认为,黑客把时间估算错了。”林久浩。

“不应该呀。。。好吧,我们继续吧。”欧阳。

“好的,然后拷贝三个运行文件进来,地址查明了,泰兰国的ip,不过,vpn用户是我们上海的一位员工,他在泰兰国旅游。”林久浩把刚查出来的信息也通报了。

“我们上海分所的员工,使用vpn用户登录的,他的上网行为有异常吗?”欧阳继续询问。

“只是做了他平时的工作,工作时间也符合平常习惯,不过,查到一个现象,vpn登录的时候,激活了一次告警,不过,很快就恢复了。”林久浩。

“要赶快通知警方,这个工程师有危险了。。。我们继续。”欧阳。

“知道了,警方已经去查询这个工程师现在的情况,我们继续。”林久浩。

“他们启动了copyitin.exe,从172.16.3.100的目录位置拷贝了文件,启动packetzip.exe文件,杀掉copyitin.exe,由packetzip.exe在服务器上打包加密、拆包分割成多个小文件。”欧阳。

“他们太肆无忌惮了,这么猖狂。”林久浩。

“是的,他们拥有隐蔽用户和最高的权限,所以这么做是最好的方法,启动copyitout.exe,然后杀掉packetzip.exe,并把分割好的文件,上传到普洱茶爱好者服务器上。”欧阳。

“结果是,后面3%没有完成,奇怪?”林久浩。

“对的,这个黑客把时间算的太精准了,也许中间什么地方出现了问题,导致时间延迟了,所以没有按照他的计划完成。”欧阳。

“如果完成是什么情况?”林久浩问道。

“如果完成的话,会删除所有被分割后的小文件,然后杀死中间人程序,同时修改日志,然后copyitout.exe自杀。”欧阳回答。

“所有痕迹都销毁,幸好,现在没有完成,copyitout.exe还在一直查找去的路由,这是因为山神阻断了所有发出的数据包,导致网络连接中断了。”林久浩。

“是的,所以copyitout.exe也没有继续下一步,删除这些被分割后的文件,这很好。。非常好。”欧阳。

“怎么了,欧阳工,又是什么好事情?”林久浩。

“是好事情,查找172.16.3.100服务器上被拷贝的文件,然后与这些文件做比对,我们更容易破译他们这次用的加密程算法,这个加密算法对我们有用。”欧阳。

“欧阳工,这一次黑客攻击,虽然,大概有3%的信息没有被传出去,遗憾的是,他们拿走了97%的数据文件。”林久浩。

“最后一个文件,居然不知道什么原因卡住了,没有传出去?”欧阳很疑惑,还在思考着这个问题。

“影响很大吗?他们拿走了很多,是不是不差这个文件?”林久浩。

“好了,就到这里吧,他们什么也拿不走。”欧阳肯定的说道。

“什么也拿不走?”林久浩。

“对,另外,小林,请你下午再去一下公安局那边,看一下昨天的交通事故情况,我们还是这样连线分析。”欧阳。

“公安局那边,他们允许我看事故现场吗?”林久浩看了一眼,一直在边上的李子军,李子军耸了耸肩,表示不知道。

“放心吧,我已经联系好了,直接找谭处,他会安排人帮你查看所有事故的相关信息。”欧阳很肯定。

“好的,知道了,找谭处。”林久浩听着对方挂了电话。

“哥,谭处是我师父,我们信息科技处的处长。”李子军听提到谭处,赶快做了解释。

“子军,下午去你们那里。”林久浩。。

下一章节==《第二十一章.车祸视频排查》

举报本章错误( 无需登录 )