山神係統的Agent有一個十五分鐘定時與服務器握手的功能,而這個握手功能是通過加密認證的,以時間作為加密的條件,握手不成功則視為Agent認證失敗。
黑狼的中間人程序提前阻塞了Agent的通訊,利用辦公網絡與內部核心網絡聯通的半小時,複製了全部的【動平衡擬腦算法】文件。5GB文件被切割成更小的數據文件,傳送隻用了十幾分鐘,但是,文件傳輸的時間恰巧卡在了第15分鐘的地方,所以Agent認證失敗,山神安全網警係統啟動反擊手段,反向入侵了【觀景窗服務器】係統,並阻斷了這台服務器所有對外的網絡連接,最終阻斷了3%的文件傳輸。
黑狼雖然有【觀景窗服務器係統】的隱蔽用戶和權限,而實際上並沒有使用這個賬戶,而是用原有的【觀景窗服務器係統】裡麵的動平衡用戶去拷貝核心算法,所以山神係統沒有發現。
由於Agent被阻塞,Agent的另一個功能開始運行,把阻塞的信息寫入日誌,後期林久浩查看日誌,發現【觀景窗服務器係統】被入侵,而且從磁盤使用變化,以及網絡流量監控,推測,黑客用【觀景窗服務器係統】做了傳輸中介,在這台服務器係統上,完成了切割數據包為小文件,同時加密,然後再傳輸出去。
整個過程是這樣的,那個時間點,機器人研究所的安全監控工作室中。。。
“山神告警了,第一次告警了。”安全工程師緊急撥打了領導的電話,並把第一次告警報文發送給警方的信息接收係統。
“位於192.168.3.100這台設備的Agent的加密認證不對,這台是什麼服務器?”安全主管問下屬的安全工程師。
“這是劉工他們部門的,就是重心力臂動平衡測量用的服務器,我們現在怎麼辦?需要等警方還是廠家的服務人員來嗎?”安全工程師焦急地問道,因為山神安全網警係統是最近剛剛安裝的,機器人研究所的安全工程師還不能夠熟練掌握。
“看一下這個,山神已經反向入侵了這台服務器,他們還沒有來得及改變服務器的管理員用戶密碼,山神已經入侵進去了。”安全主管審查著山神的記錄。
“主管?要不要斷網。”安全工程師。
“不需要,你看,山神在網絡層麵阻斷了這台服務器所有的外傳數據包,並且阻斷了所有非安全監控服務器的網絡連接接入,也就是說從現在開始,隻有我們能連接劉工的這台服務器。”安全主管邊審查信息邊說著。
“主管,也就是說,如果有黑客入侵,它已經失去了這台服務器的管理能力,網絡數據流量這邊也顯示了,隻有我們能到達這台服務器。”安全工程師。
“是的,你現在去看一下,主要從核心部分,物理隔離器,檢查一下有沒有其他的告警和異常。”主任安排好了後續工作,然後等待安全公司技術支持。
上午十點,林久浩來到了機器人研究所,受劉胖委托過來幫助檢查山神的,劉胖要求林久浩在檢查的時候,一直用電話保持聯係。
林久浩到達機器人研究所安全監控工作間的時候,包括李子軍在內的警察也已經到達了現場。
“哥,你來了。”李子軍知道是林久浩,一聲“哥”把林久浩叫懵了。
“哦、來了。”林久浩答應了一聲,轉身問安全主管:“主管,讓我看一下情況”。主管指了一台電腦給林久浩操作。
“胖兒,聽見了嗎?我已經進入山神監控服務器了,你準備好了嗎?”林久浩撥通劉胖的電話。
“老大,我在,不過需要等一下,這邊有一位非常有經驗的,廠家開發山神係統的安全工程師會和你通話,我把耳麥給他,給他了。”劉胖在切換通話對象。
電話另一邊,“小林,你好,我是廠家這邊的工程師,你叫我歐陽就可以了,我們開始吧。”傳來一個中年男人的聲音。
“你好,歐陽,我這邊需要怎麼操作?”林久浩。
“告訴我第一次告警的信息是什麼?”歐陽。
“位於192.168.3.100的【觀景窗服務器係統】的安全Agent的加密認證中斷了,所以加密認證碼由於時間不同步而失效。”林久浩回答。
“好的,查看一下,安全Agent的告警時間,把告警時間記錄下來,通知安全人員檢查這個時間點有沒有其他異常。”歐陽在電話另一端指揮著。
“好的,安排了,你繼續。”林久浩回答。
“查看一下,我們給山神製定的策略是,如果安全Agent失效,那麼第一時間山神會反向入侵該服務器,並且在網絡層阻斷該服務器外傳及內聯的網絡傳輸。”歐陽。
“我在這邊查看了,山神這些動作都成功了,也就是在第一時間阻斷了可能的損失。”林久浩一邊操作一邊回答。
“很好,我們現在去看一下那台服務器,是不是已經確認了,在告警的時候服務器運行正常,網絡連接也正常?”歐陽詢問。
“是的!”林久浩回答。
“如果服務器運行沒有問題,大概率是黑客的攻擊行為,我們現在登錄【觀景窗服務器係統】上看一下。”歐陽繼續指導。
“已經登錄了,你說,我這邊怎麼操作?”林久浩。
“查看一下服務器係統中的安全Agent是否在運行,現在向山神服務器發送的參數是否正常。”歐陽指導著。
“在係統進程裡,而且山神那邊也正常接收參數,一切正常。”林久浩同時查看著山神係統這邊的參數接收情況。
“檢查係統進程,把所有的進程看一下,有沒有異常的。”歐陽繼續。
“歐陽,我把全部進程和應用程序做了檢查,這裡有兩個很怪的進程,看著不像係統的,我比對過了,INTERMEDIATOR-link,COPYitOUT,用戶名沒有。”林久浩。
“先不要碰它,這個INTERMEDIATOR-link進程有問題,用山神上的安全分析檢測工具,看一下這個進程怎麼工作的。”歐陽指導著。
“分析了,它在向我們的山神服務器發送固定的參數【平安無事】,中間人程序?”林久浩問道。
“應該是,也就是我們的安全Agent被阻塞了,而發送平安無事的是這個中間人程序。”歐陽。
“是的。”林久浩。
“小林,你查一下操作係統的日誌,看看最後發生了什麼?”歐陽繼續。
“查過了,日誌裡記錄了【一個新創建的目錄下】的部分文件被傳輸了出去,這些文件大小不一,日誌記錄發現在這個目錄裡的最後一個文件,是同時間被創建的文件,並沒有被發送出去。”林久浩說道。
“讓研究所的人查一下這些文件,看是不是這台服務器上的文件。”歐陽。
“不像,歐陽,這些文件從創建時間上看,是安全Agent握手失敗的前十分鐘,但是,係統日誌裡沒有這些文件的創建日誌,奇怪。”林久浩。
“這些文件的創建時間是前十分鐘,日誌裡麵沒有。。。”邊上的幾個人也感覺奇怪。
“握手失敗前十分鐘,好的,你去查一下在係統目錄裡有一個隱藏目錄,Agent被阻塞後,應該把一些重要信息記錄在那個目錄裡。”歐陽繼續有條不紊地指導。
“好的,我現在做。”林久浩。
“。。。。。。”歐陽。
“看到了,今天上午的時間標簽,應該是Agent被阻塞後,把信息寫成文件保留在服務器裡。”林久浩。
“先查看一下,Agent會重點盯著日誌文件,日誌是不是被修改了?”歐陽。
“Agent文件記錄,日誌文件被修改了三次,分彆是Agent剛被阻塞的時間後四分鐘後,然後是前一次後五分鐘,然後是前一次後的三分鐘,具體修改了什麼,不知道。”林久浩。
“很好,很好,太好了,但願,他們沒有用係統認可的注冊用戶修改日誌文件。”歐陽那邊鬆了一口氣。
“歐陽工,怎麼太好了?”林久浩不明白。
“Agent有一個小的功能,是我們加進去的功能,當時專門針對【觀景窗服務器係統】,如果不是係統用戶修改日誌文件,Agent會備份日誌文件到一個隱蔽的目錄。”歐陽。
“也就是說,第一次修改發生在三分鐘,我們得到了一個三分鐘時的日誌。”林久浩。
“對,而且在那個隱蔽目錄裡麵會有三個日誌備份文件,分彆打了三個時間標簽,對應三次修改,去查看一下。”歐陽。
“好的,我現在去看。”林久浩說完,打開了目錄,裡麵果然有三個文件。
“好,我們繼續。”歐陽。
“打開第一個日誌文件了。”林久浩。
“檢查到了什麼?”歐陽。
“第一個文件後麵顯示,從一個內部接口通過地址轉換後的IP傳入三個文件,看文件名應該是運行文件,packetZIP.EXE,COPYitOUT.EXE,COPYitIN.EXE。”林久浩敘述著。
“查這個地址轉換後的IP地址對應的外部IP地址。”歐陽繼續指導。
“好的,警方去查了。”林久浩。
“你繼續看第二個文件。”歐陽繼續。
“第二個文件裡麵,運行了COPYitIN.EXE,然後現在應該有兩個程序在運行狀態,COPYitIERMEDIATOR-link。”林久浩繼續敘述。
“繼續。”歐陽。
“COPYitIN.EXE刪除盤上存儲的COPYitIN.EXE源文件,從一個172.16.3.100的地址上傳輸了一個目錄的文件,大約5GB,然後啟動了packetZIP.EXE,並殺掉COPYitIN.EXE進程,同時刪除盤上存儲的packetZIP.EXE源文件。”林久浩。