第二十章.山神的定时握手
作者:法慧生    更新:2024-08-05 20:46
  山神系统的Agent有一个十五分钟定时与服务器握手的功能,而这个握手功能是通过加密认证的,以时间作为加密的条件,握手不成功则视为Agent认证失败。
  黑狼的中间人程序提前阻塞了Agent的通讯,利用办公网络与内部核心网络联通的半小时,复制了全部的【动平衡拟脑算法】文件。5GB文件被切割成更小的数据文件,传送只用了十几分钟,但是,文件传输的时间恰巧卡在了第15分钟的地方,所以Agent认证失败,山神安全网警系统启动反击手段,反向入侵了【观景窗服务器】系统,并阻断了这台服务器所有对外的网络连接,最终阻断了3%的文件传输。
  黑狼虽然有【观景窗服务器系统】的隐蔽用户和权限,而实际上并没有使用这个账户,而是用原有的【观景窗服务器系统】里面的动平衡用户去拷贝核心算法,所以山神系统没有发现。
  由于Agent被阻塞,Agent的另一个功能开始运行,把阻塞的信息写入日志,后期林久浩查看日志,发现【观景窗服务器系统】被入侵,而且从磁盘使用变化,以及网络流量监控,推测,黑客用【观景窗服务器系统】做了传输中介,在这台服务器系统上,完成了切割数据包为小文件,同时加密,然后再传输出去。
  整个过程是这样的,那个时间点,机器人研究所的安全监控工作室中。。。
  “山神告警了,第一次告警了。”安全工程师紧急拨打了领导的电话,并把第一次告警报文发送给警方的信息接收系统。
  “位于192.168.3.100这台设备的Agent的加密认证不对,这台是什么服务器?”安全主管问下属的安全工程师。
  “这是刘工他们部门的,就是重心力臂动平衡测量用的服务器,我们现在怎么办?需要等警方还是厂家的服务人员来吗?”安全工程师焦急地问道,因为山神安全网警系统是最近刚刚安装的,机器人研究所的安全工程师还不能够熟练掌握。
  “看一下这个,山神已经反向入侵了这台服务器,他们还没有来得及改变服务器的管理员用户密码,山神已经入侵进去了。”安全主管审查着山神的记录。
  “主管?要不要断网。”安全工程师。
  “不需要,你看,山神在网络层面阻断了这台服务器所有的外传数据包,并且阻断了所有非安全监控服务器的网络连接接入,也就是说从现在开始,只有我们能连接刘工的这台服务器。”安全主管边审查信息边说着。
  “主管,也就是说,如果有黑客入侵,它已经失去了这台服务器的管理能力,网络数据流量这边也显示了,只有我们能到达这台服务器。”安全工程师。
  “是的,你现在去看一下,主要从核心部分,物理隔离器,检查一下有没有其他的告警和异常。”主任安排好了后续工作,然后等待安全公司技术支持。
  上午十点,林久浩来到了机器人研究所,受刘胖委托过来帮助检查山神的,刘胖要求林久浩在检查的时候,一直用电话保持联系。
  林久浩到达机器人研究所安全监控工作间的时候,包括李子军在内的警察也已经到达了现场。
  “哥,你来了。”李子军知道是林久浩,一声“哥”把林久浩叫懵了。
  “哦、来了。”林久浩答应了一声,转身问安全主管:“主管,让我看一下情况”。主管指了一台电脑给林久浩操作。
  “胖儿,听见了吗?我已经进入山神监控服务器了,你准备好了吗?”林久浩拨通刘胖的电话。
  “老大,我在,不过需要等一下,这边有一位非常有经验的,厂家开发山神系统的安全工程师会和你通话,我把耳麦给他,给他了。”刘胖在切换通话对象。
  电话另一边,“小林,你好,我是厂家这边的工程师,你叫我欧阳就可以了,我们开始吧。”传来一个中年男人的声音。
  “你好,欧阳,我这边需要怎么操作?”林久浩。
  “告诉我第一次告警的信息是什么?”欧阳。
  “位于192.168.3.100的【观景窗服务器系统】的安全Agent的加密认证中断了,所以加密认证码由于时间不同步而失效。”林久浩回答。
  “好的,查看一下,安全Agent的告警时间,把告警时间记录下来,通知安全人员检查这个时间点有没有其他异常。”欧阳在电话另一端指挥着。
  “好的,安排了,你继续。”林久浩回答。
  “查看一下,我们给山神制定的策略是,如果安全Agent失效,那么第一时间山神会反向入侵该服务器,并且在网络层阻断该服务器外传及内联的网络传输。”欧阳。
  “我在这边查看了,山神这些动作都成功了,也就是在第一时间阻断了可能的损失。”林久浩一边操作一边回答。
  “很好,我们现在去看一下那台服务器,是不是已经确认了,在告警的时候服务器运行正常,网络连接也正常?”欧阳询问。
  “是的!”林久浩回答。
  “如果服务器运行没有问题,大概率是黑客的攻击行为,我们现在登录【观景窗服务器系统】上看一下。”欧阳继续指导。
  “已经登录了,你说,我这边怎么操作?”林久浩。
  “查看一下服务器系统中的安全Agent是否在运行,现在向山神服务器发送的参数是否正常。”欧阳指导着。
  “在系统进程里,而且山神那边也正常接收参数,一切正常。”林久浩同时查看着山神系统这边的参数接收情况。
  “检查系统进程,把所有的进程看一下,有没有异常的。”欧阳继续。
  “欧阳,我把全部进程和应用程序做了检查,这里有两个很怪的进程,看着不像系统的,我比对过了,INTERMEDIATOR-link,COPYitOUT,用户名没有。”林久浩。
  “先不要碰它,这个INTERMEDIATOR-link进程有问题,用山神上的安全分析检测工具,看一下这个进程怎么工作的。”欧阳指导着。
  “分析了,它在向我们的山神服务器发送固定的参数【平安无事】,中间人程序?”林久浩问道。
  “应该是,也就是我们的安全Agent被阻塞了,而发送平安无事的是这个中间人程序。”欧阳。
  “是的。”林久浩。
  “小林,你查一下操作系统的日志,看看最后发生了什么?”欧阳继续。
  “查过了,日志里记录了【一个新创建的目录下】的部分文件被传输了出去,这些文件大小不一,日志记录发现在这个目录里的最后一个文件,是同时间被创建的文件,并没有被发送出去。”林久浩说道。
  “让研究所的人查一下这些文件,看是不是这台服务器上的文件。”欧阳。
  “不像,欧阳,这些文件从创建时间上看,是安全Agent握手失败的前十分钟,但是,系统日志里没有这些文件的创建日志,奇怪。”林久浩。
  “这些文件的创建时间是前十分钟,日志里面没有。。。”边上的几个人也感觉奇怪。
  “握手失败前十分钟,好的,你去查一下在系统目录里有一个隐藏目录,Agent被阻塞后,应该把一些重要信息记录在那个目录里。”欧阳继续有条不紊地指导。
  “好的,我现在做。”林久浩。
  “。。。。。。”欧阳。
  “看到了,今天上午的时间标签,应该是Agent被阻塞后,把信息写成文件保留在服务器里。”林久浩。
  “先查看一下,Agent会重点盯着日志文件,日志是不是被修改了?”欧阳。
  “Agent文件记录,日志文件被修改了三次,分别是Agent刚被阻塞的时间后四分钟后,然后是前一次后五分钟,然后是前一次后的三分钟,具体修改了什么,不知道。”林久浩。
  “很好,很好,太好了,但愿,他们没有用系统认可的注册用户修改日志文件。”欧阳那边松了一口气。
  “欧阳工,怎么太好了?”林久浩不明白。
  “Agent有一个小的功能,是我们加进去的功能,当时专门针对【观景窗服务器系统】,如果不是系统用户修改日志文件,Agent会备份日志文件到一个隐蔽的目录。”欧阳。
  “也就是说,第一次修改发生在三分钟,我们得到了一个三分钟时的日志。”林久浩。
  “对,而且在那个隐蔽目录里面会有三个日志备份文件,分别打了三个时间标签,对应三次修改,去查看一下。”欧阳。
  “好的,我现在去看。”林久浩说完,打开了目录,里面果然有三个文件。
  “好,我们继续。”欧阳。
  “打开第一个日志文件了。”林久浩。
  “检查到了什么?”欧阳。
  “第一个文件后面显示,从一个内部接口通过地址转换后的IP传入三个文件,看文件名应该是运行文件,packetZIP.EXE,COPYitOUT.EXE,COPYitIN.EXE。”林久浩叙述着。
  “查这个地址转换后的IP地址对应的外部IP地址。”欧阳继续指导。
  “好的,警方去查了。”林久浩。
  “你继续看第二个文件。”欧阳继续。
  “第二个文件里面,运行了COPYitIN.EXE,然后现在应该有两个程序在运行状态,COPYitIN.EXE、INTERMEDIATOR-link。”林久浩继续叙述。
  “继续。”欧阳。
  “COPYitIN.EXE删除盘上存储的COPYitIN.EXE源文件,从一个172.16.3.100的地址上传输了一个目录的文件,大约5GB,然后启动了packetZIP.EXE,并杀掉COPYitIN.EXE进程,同时删除盘上存储的packetZIP.EXE源文件。”林久浩。
  “172.16.3.100地址,这是内部网的地址呀。”周围机器人研究所的安全工程师议论着。。。
  “让研究所的人查一下这个172.16.3.100地址及被复制的文件是什么?你继续看第三个日志文件。”欧阳继续说道。
  “第三个日志里面记录,用packetZIP.EXE对这些文件做了处理,根据刚才的情况,这个好像是压缩加密分割文件用的,运行后创建刚才外传的那组文件,同时删除用于加密的源文件,并修改了日志记录。”林久浩。
  “你继续告诉我日志里面的情况。”欧阳。
  “处理以后,启动了COPYitOUT.EXE这个应用,杀掉了packetZIP.EXE进程,同时把刚才的文件传出到一个外部IP地址,这个外部IP地址是上海地区的服务云,是。。。普洱茶爱好者服务器。”林久浩的手速很快,边说就边查到普洱茶爱好者服务器。
  “后面呢?”欧阳继续询问。
  “很奇怪,COPYitOUT.EXE没有运行完成,很奇怪,最后一个传输出去的文件,时间是14分59秒,他们居然把时间计算错了,所以,最后3%部分的文件传不出去,卡住了。”林久浩疑惑了。
  “很奇怪,确实很奇怪,十五分钟,这个时间段山神不会发现的。。。黑客的所有行为,证明他的思维非常缜密,不应该犯这样的错误呀。”欧阳好像在思考着什么,继续:“好吧,我们继续”。
  “后面没有了,这是第三个日志最后的情况,再后面就是山神启动了安全防范机制,反向入侵了这台服务器,并在网络层面阻断。”林久浩说道。
  “我明白了,大致过程应该是这样的,小林,你可以记录一下,过一会儿告诉警方的人。”欧阳。
  “好的,你说。”林久浩。
  “首先,黑客通过那个IP地址转换对应的外部地址,进入了机器人研究所的办公网络系统,你们查一下,是从哪一个外部接口进来的。”欧阳。
  “知道了,警方一直在查。”林久浩
  “然后,黑客先攻击了【观景窗服务器系统】,手法是高级别的隐蔽安全后门,所以他们的所有操作都不会留下用户名称,包括修改日志文件。”欧阳。
  “我们国家对操作系统做代码审查的,没有发现吗?”林久浩问道。
  “很难,你怎么知道他们卖给你的就是你审查的,植入等量代码,无法从代码量对比发现,后期也可以通过隐蔽隧道传输,安装替换代码植入隐蔽后门,方法很多。”欧阳。
  “这种都很难发现吗?”林久浩。
  “很难,但是,不是没有办法,还有更难的,我们并不是对所有的软件做代码审查,例如【ET重心力臂动平衡测量软件】,必须安装【观景窗服务器系统】上。”欧阳继续解释。
  “通过【ET重心力臂动平衡测量软件】修改【观景窗服务器系统】吗?”林久浩。
  “不知道,【ET重心力臂动平衡测量软件】需要获得【观景窗服务器系统】最高权限,这个不是我们今天讨论的问题,我们继续说正事。”欧阳不想歪楼。
  “继续。”林久浩。
  “然后他们发现了安全Agent,由于害怕Agent影响他们的操作,所以定制了一个中间人程序,中转Agent与山神的信息通讯。”欧阳。
  “这可能就是Agent丢了五秒钟参数的原因。”林久浩。
  “插入中间人程序大概率会导致安全Agent延时发送信息,这一点我们在后期山神系统告警中需要增加进去。”欧阳。
  “不过,他们加入了中间人程序以后,为什么没有第一时间,杀掉Agent,是不是知道我们有秘钥握手机制?”林久浩问道。
  “小林,我教导过刘胖,做事要有耐心,先观察一下,这个黑客同样具备耐心,我低估他了,我设定的十五分钟握手,就是给没有耐心的黑客准备的。”欧阳。
  “也就是黑客发现了这个机制?对吗?”林久浩问道。
  “是的,他发现了这个机制,所以制定了整体计划在十五分钟内完成,黑客事先知道了172.16.3.100的文件位置,所以写好了程序。”欧阳。
  “已经查清楚了,172.16.3.100这个地址在内部数据网计算云上的服务器,与办公网之间有物理隔离措施。”林久浩说道。
  “肯定办公网与内部网络被联通了,否则无法拷贝文件,这一点让研究所的人配合警方去查,我们继续。”欧阳。
  “继续。”林久浩。
  “攻击开始,他们用中间人阻塞了Agent与山神的通讯,并接替Agent向山神发送【平安无事】,接替时间恰好在秘钥握手的一个完整周期的开始点。”欧阳。
  “如果不阻塞Agent,他们是不是就可以成功完成入侵,并不被发现?”林久浩。
  “如果不阻塞Agent,对于他们来说更危险,因为他们无法获得Agent的所有监控参数,一旦开始在服务器上运行文件,并大数据量拷贝复制切割文件,一旦触发Agent,就会导致任务不确定性,事实上我们的Agent监控的参数比【平安无事】要多。。。这是高手,他决定阻塞Agent是很明智的,但是。。。时间怎么回事。”欧阳解释了阻塞的原因。
  “时间,就是他算错了时间,导致没有100%完成。”林久浩。
  “不应该呀,这个黑客思维缜密,从他制定的程序就可以看出来,所以,他对时间的估算只能提前,不可能超过十五分钟,但是,现在确实发生了超时现象,我们现在还不知道为什么。。。”欧阳边说边思考。
  “是不是?哦对了,查过来,那个时间点,这台服务器上没有大的应用,而且网络层面也没有出现故障延迟,所以,只能认为,黑客把时间估算错了。”林久浩。
  “不应该呀。。。好吧,我们继续吧。”欧阳。
  “好的,然后拷贝三个运行文件进来,地址查明了,泰兰国的IP,不过,VPN用户是我们上海的一位员工,他在泰兰国旅游。”林久浩把刚查出来的信息也通报了。
  “我们上海分所的员工,使用VPN用户登录的,他的上网行为有异常吗?”欧阳继续询问。
  “只是做了他平时的工作,工作时间也符合平常习惯,不过,查到一个现象,VPN登录的时候,激活了一次告警,不过,很快就恢复了。”林久浩。
  “要赶快通知警方,这个工程师有危险了。。。我们继续。”欧阳。
  “知道了,警方已经去查询这个工程师现在的情况,我们继续。”林久浩。
  “他们启动了COPYitIN.EXE,从172.16.3.100的目录位置拷贝了文件,启动packetZIP.EXE文件,杀掉COPYitIN.EXE,由packetZIP.EXE在服务器上打包加密、拆包分割成多个小文件。”欧阳。
  “他们太肆无忌惮了,这么猖狂。”林久浩。
  “是的,他们拥有隐蔽用户和最高的权限,所以这么做是最好的方法,启动COPYitOUT.EXE,然后杀掉packetZIP.EXE,并把分割好的文件,上传到普洱茶爱好者服务器上。”欧阳。
  “结果是,后面3%没有完成,奇怪?”林久浩。
  “对的,这个黑客把时间算的太精准了,也许中间什么地方出现了问题,导致时间延迟了,所以没有按照他的计划完成。”欧阳。
  “如果完成是什么情况?”林久浩问道。
  “如果完成的话,会删除所有被分割后的小文件,然后杀死中间人程序,同时修改日志,然后COPYitOUT.EXE自杀。”欧阳回答。
  “所有痕迹都销毁,幸好,现在没有完成,COPYitOUT.EXE还在一直查找去【普洱茶爱好者服务器】的路由,这是因为山神阻断了所有发出的数据包,导致网络连接中断了。”林久浩。
  “是的,所以COPYitOUT.EXE也没有继续下一步,删除这些被分割后的文件,这很好。。非常好。”欧阳。
  “怎么了,欧阳工,又是什么好事情?”林久浩。
  “是好事情,查找172.16.3.100服务器上被拷贝的文件,然后与这些文件做比对,我们更容易破译他们这次用的加密程算法,这个加密算法对我们有用。”欧阳。
  “欧阳工,这一次黑客攻击,虽然,大概有3%的信息没有被传出去,遗憾的是,他们拿走了97%的数据文件。”林久浩。
  “最后一个文件,居然不知道什么原因卡住了,没有传出去?”欧阳很疑惑,还在思考着这个问题。
  “影响很大吗?他们拿走了很多,是不是不差这个文件?”林久浩。
  “好了,就到这里吧,他们什么也拿不走。”欧阳肯定的说道。
  “什么也拿不走?”林久浩。
  “对,另外,小林,请你下午再去一下公安局那边,看一下昨天的交通事故情况,我们还是这样连线分析。”欧阳。
  “公安局那边,他们允许我看事故现场吗?”林久浩看了一眼,一直在边上的李子军,李子军耸了耸肩,表示不知道。
  “放心吧,我已经联系好了,直接找谭处,他会安排人帮你查看所有事故的相关信息。”欧阳很肯定。
  “好的,知道了,找谭处。”林久浩听着对方挂了电话。
  “哥,谭处是我师父,我们信息科技处的处长。”李子军听提到谭处,赶快做了解释。
  “子军,下午去你们那里。”林久浩。。
  下一章节==《第二十一章.车祸视频排查》