Jack来到了天成网络公司的总部,他身穿一身白色衬衫,一条浅蓝色牛仔裤,整个人看上去非常的精神。到达后公司的人热情招待,但是Jack则直接拒绝了,要求立刻就要开始进行分析追踪。因为这对他来说,是一次有趣的挑战。他有些迫不及待是一个什么样的人干了这件事情。
首先询问了系统部人员的一些网络架构。以及现在企业内部所做的全防护措施。接着他有询问了更加具体的信息,其中包含了文件保存的位置,以及发生的时间点等。通过快速的对话沟通,Jack了解了对方的网络一个大概的安全状况。
他跟对方的技术负责人说道:“你们现在的网络情况相对来说做的非常不错,你们目前忽略了公司员工的安全意识,以及目前网络并没有对外流出数据进行一个很好的监控。这使的黑客有机可乘。”
“哎呦,您真的是太专业的,我们已经把我们所了解到的都利用上了,同时我们也经常找安全团队来对我们的系统进行入侵测试。然而他们并没有发现什么内容。发现的我们也都已经修复了。”系统部负责人拍了下大腿,高兴的对Jack说道。因为他似乎看到了希望,看到了眼前这个人可以查出入侵者,这样他也就不会被炒鱿鱼了。
“如果真的如你说的这般,这次的攻击者也是花了很大的代价来入侵你们,看来对方是真的下了血本,想置你们公司于死地啊。”放心,这次我一定要帮助你们找到真凶。他更加的想要知道究竟是什么样人了。
“能有您的加入,那真的是太好了,有什么需要帮助的,需要我们提供的,您就尽管说。我们一定全力配合您。”
“好,那我们废话不多说,开始吧。”
“好,小王,给Jack倒一杯咖啡。”
说着Jack找了个空位置,很不客气的就坐下了,从他的背包中拿出了自己的thinkpad笔记本。上面有一个blackhat的贴纸,看上去非常的酷。
此时的Jack像一个侠客,而他的笔记本就像是一把宝剑。在电脑开机的那一刻也就是宝剑出鞘的那一刻。而接下来的,就是他与杀手的一场较量。同时这也是网络中白帽子与黑帽子的一次较量。其实,他们都有共同点,那就是对于自由的渴望,以及对困难事物的突破。在寻求突破的过程中获得一步一步走向自由,道突破成功后的成就感与喜悦。
Jack以一名攻击者的角度去进行思考,首先他进一步对刚才系统部负责人说的系统架构进行进一步的了解。他输入了www.nosec.org这个网站,并登录了他的账户,他点开了资产检索,输入了天成网络的网站域名,他轻轻点了下鼠标,电脑上就开始不断的显示出关于天成网络的ip地址,以及一些使用的系统信息、以及天成网络员工的信息。
图片 1.png
nosec网站为真实的。当然图中的目标是假的
当然,使用这个系统中获取到的信息,不是全部的。他获取不到天成网络的内部网络(外部无法直接访问的系统)。Jack拿起旁边的咖啡,喝了一口又放下。因为通过之前的了解,他像系统部的人员索要了zabbix系统的账号和密码。查看内部的网络系统情况。
Jack快速浏览了这些信息之后,凭借他多年的经验。他迅速的在脑海中圈出了几处重点系统。并对系统部的负责人说:“你们把现在oa系统,crm系统,vpn系统,产品管理系统这几个系统的日志,按照事故发生时间段提取出来,给我一份。”
“好,小王,去把Jack刚才说的内容倒出来,并且拷贝给Jack看。”此时系统部的负责人也不管一些公司的规定了,在他看来,现在找到攻击者才是重中之重。
“好的,马上”小王迅速应到。
“Jack,你看现在最有可能是哪个系统呢?”
“这个我不能乱说,要根据实际的分析之后才能得出结论。”
“嗯嗯,懂的,我们日志准备好后,就会给您。”
过了大概20分钟后
“数据已经导出完毕。都在这里了。”小王对着Jack说到。
Jack接过他手中的移动硬盘,连入自己的电脑。他运行了星图对,只见电脑中弹出了一个黑色窗口,一行行的绿色字符流过。等待了大概2、3分钟。程序执行完毕。并显示出了一份报告。
Jack眼睛开始盯着屏幕,对着屏幕上的报告进行阅读,看着看着,他的眉头就皱的越来越紧。因为他发现,这些系统中没有攻击日志。这让他很是意外。一来可能是他判断错误,二来可能攻击者在临走前已经把这些日志清理掉了。Jack又去查看了原始的日志文件,他发现,有一段时间的日志是没有的。这使得他确认,攻击者把攻击日志清理掉了。看来这次的对手是一个身经百战的老手。而Jack也越来越兴奋起来。
2.png
“这次的入侵者经验丰富,他已经删除掉了。你们的日志有每天进行备份么?”
“有的有的,小王,快去把备份的数据调出来。”
“好的,马上。”
又过了大概20分钟
“好了~,都在硬盘里了。”
Jack接过硬盘,首先他将这份备份的文件和最开始的文件进行了比较,然而让他意想不到的是,两个文件大小竟然一样。他打开了最新的文件,一看,突然他瞪大了双眼,竟然跟刚才看的一模一样。这使他大吃一惊。
“你确定你这一份是从备份的服务器上导出的。”Jack为了确定是不是小王搞错了。
“确定,非常确定。我们的服务器都贴着标签的,而且两台服务器离的很远,绝对不会搞错的。”
Jack陷入了思考。这次的确有些棘手,对方不仅经验丰富,手法老道,而且做事不留痕迹。
Jack发现从系统日志下手是不行了,看来必须通过其它的入口来寻找黑客的踪迹。
“我需要你们被窃取的机密文件的电脑。我要到那台电脑中去寻找相关线索“. Jack对系统部的人说道。
“被窃取的资料,客户的信息放在销售部,市场部的相应负责人手中,而制药配方,只有我们的总裁那里才有。这些我们都需要跟领导申请,批准后才可以查。”
“好,那你们尽快吧。目前的通过日志分析这条路是行不通了。”
“好的,我们这就去跟领导提。您等等”。
Jack需要从相关的系统寻找黑客遗漏的蛛丝马迹。那么黑客盗取文件,销毁文件就必须进入过这些电脑系统,一旦登陆这些系统,就会留下系统日志。日志文件中都记录了ip地址。他一边等待着系统部的申请,一边还在思考着如何去追查黑客。
铛铛铛,系统部负责人敲了总裁的门。
“总裁,我们系统部这边请来的Jack需要分析您和市场部、销售部总监的计算机。通过你们的电脑寻找线索。”
“这事批准了。你们把我电脑拿过去吧。另外我会电话跟市场部,销售部的人沟通,你们等电话去取电脑就可以了。”
“另外,一定要找到攻击者,将他们绳之以法。赔偿我们的损失。而且速度一定要快,晚了,人都不知道跑哪里去了。”天成网络总裁继续补充道。
“好的,那我这就拿过去”。说完,系统部负责人,便直接上去拆总裁的电脑,并叫了一个人过来一起搬走了。
系统部负责人把电脑放到Jack面前,并组装好,并说道:“您要的电脑给您拿过来了”。
“另外啊,还请您这次务必查出攻击者。真得好好惩罚一下他们这群该死的黑客。”系统部负责人再次的向Jack恳求道。
“你放这里吧,我会尽全力找出攻击者的。”
“那就拜托您了。有什么需要的尽管吩咐。”
Jack一点也没在听系统部负责人说什么,他开启了电脑,他想马上就找到攻击者。过了一会,屏幕上显示了系统的登陆界面。Jack回过头,对着系统负责人说:“密码”!
系统部负责人连忙答应,并输入了密码。
登入进了系统,Jack二话不说,直接打开了系统中的事件查看器,然而结果跟他预想的一样,登陆信息也都被删除掉了。
接下来,他又开启了系统的命令提示符。他在窗口中输入了netstat -ano命令,敲入回车键后,一行行字符串显示出来。同时他又打开了任务管理器。他想通过查看系统中的网络连接情况来确认对方的木马是否还在系统当中。然而这一切的一切,依然没有任何的结果。因为系统中一切运行正常。
在此时,市场部的电脑和销售部的电脑也送过来了,他使用同样的思路和方法来进行查看,但是结果也都是如此。
Jack坐在桌子前,再次陷入了沉思,难道就黑客真的做的这么彻底?一点痕迹都不留下?
此时Jack的手机亮了,他下意识的看了一眼,是一封推广邮件。而就在看到的那一瞬间,他突然眼前一亮,他立马跟系统部的负责人说:“把你们最近一个月的所有员工邮件给找出来,同时把附件导出。我需要检查你们的邮件内容。”
Jack想攻击者通过外部的系统很难进入内部网络,所以很有可能通过邮件的方式来攻击内部员工。
“好的,稍等。”
大概过了2个小时后,系统部的人拿着硬盘过来了,接入了Jack的电脑。Jack把邮件的所有信息都导入了mysql数据库中。他的手在键盘上快速的敲击着,此时四周安静起来,彷佛此时的世界只有他一个人。因为胜利可能就在眼前。
Jack开始查询所有的公司以外的人员,以及伪造的邮件信息。时间在一分一秒的过去,Jack从数千封的邮件中过滤着,他的眼睛一直盯着屏幕。也不知道过了多久。就连系统部小王给他倒的咖啡,他也一点没有注意到。而在他的手再次放到键盘上开始敲打的时候,不小心打翻了手边的咖啡。而Jack也没有去管,继续查找着,因为他发现通过外部的邮件跟本没有任何有价值的信息。这时他开始怀疑,莫非攻击者也把邮件记录删除掉了。尽管抱着怀疑的态度,他还是不想就此放弃。他开始寻找内部员工之间的邮件,因为也有可能公司的这次事情就是公司的内鬼干的。洒掉的咖啡从倒下的杯子中缓缓的淌出来,淌到了桌边。同时也浸湿了Jack的袖口。而Jack多次的键盘敲击,使得的袖口上的咖啡也沾到了电脑上。而此时的Jack对此毫无察觉。
接下来Jack通过扫描邮件系统中的附件文件,他有了新的发现。有一个相同的木马文件,是由一个销售人员发送给其他的几个人的。
而此时的Jack彷佛从他的世界苏醒过来,这时他才意识到撒的咖啡。连忙拿了几张纸将桌子擦干净。
他将邮件系统的木马文件放入到了虚拟机中,并运行起来。他通过虚拟机中的运行情况。确定了木马连接的ip地址。他对ip地址进行查询,地理位置显示是韩国。当然,他想也能够想到一个老手,怎么可能用自己的真实ip地址呢。
“有进展了,我发现根本原因是你们的员工发送的邮件中有木马,并且他们运行了该款木马。你们可以对发送邮件的这个人进行调查,从邮件发件人的地址来看,他也是你们公司的。另外,木马的控制端ip地址为韩国的一个ip,攻击者使用了跳板服务器。不过目前的这些,足够你们去报案调查的了。你们发送邮件的那个人就是最直接的证据。”Jack给了系统部负责人答案。
“真的太好了。您真的是太厉害了,专业。真的是帮我们大忙了。这样,这件事情过后,我一定好好的请您。我这就写一封邮件汇报给我们总裁。”
“我要先回去休息一下了。”Jack看了下手中的表。“wow,原来我已经研究了一天一夜了啊。”
“是啊,您真的太投入了。我们也没好意思打扰您。您快去休息吧。我这就安排人送你去酒店。”
Jack拖着疲惫的身躯走了,而系统部负责人则脸上露出了胜利的微笑。
(未完待续)
注:由于对制药公司不了解,所以,以后的都会以天成网络公司来进行描述。
##黑客兵器谱
星图:全名360星图,360旗下一款日志分析工具。
术语解释
-
注解1:zabbix(音同zæbix)是一个基于WEB界面的提供分布式系统监视以及网络监视功能的企业级的开源解决方案。zabbix能监视各种网络参数,保证服务器系统的安全运营;并提供灵活的通知机制以让系统管理员快速定位/解决存在的各种问题。
-
注解2:shell,在计算机科学中,Shell俗称壳(用来区别于核),是指“提供使用者使用界面”的软件,通俗的讲就是在电脑中一个可以与我们进行交互的命令控制界面,我们可以输入系统中存在的命令来控制计算机执行我们想要的操作,webshell,就是网站的shell程序,可以控制网站中的文件、执行命令等操作的程序
小知识
查看系统网络连接情况:点击开始-》运行(或者按win+r键),然后输入cmd,打开命令提示符,在命令提示符中国年输入netstat -ano,可以查看端口连接情况,同时也会显示进程的pid值。在打开任务管理器(ctrl+alt+del)。其中在查看选项中选中pid。这里的pid跟刚才命令行中的pid值对应就可以看出是哪个进程连接了哪里的网络。当然在命令行下也可以使用tasklist查看进行和pid等信息。对于网络连接的查看有一款图形化的工具tcpview可以直接查看。