讼拢飧龀绦蛎挥忻疲挥幸桓鋈掌诒嗪牛校梢郧岫拙俚夭碌匠绦虻墓δ苡Ω檬羌嫒萘诵崽健⒄焯⒗菇亍⒆グ谀诘男畔⑹占绦颉K牡缒悦挥斜蝗肭郑换峒赌切┍蝗肭值幕魅绾嗡鸭肭终咝畔ⅲ还肜锤鷄nonymous内部使用的那些工具差别不大才对。
与前面的采集监控工具一样,说到底,官方人士用的还不是黑客工具!
然而,这套看起来很专业的系统运行起来,其效果却让人大跌眼镜。徐冰冰在机房里看着一个年轻警察面前的笔记本屏幕,上面是这个局域网里所有撒播出去的采集监控工具的数据汇总中心。一列是日志、一列是程序、一列是修改痕迹、最后一列是ip和mac地址。
已经运行了一分钟,四列都空空如也。
正常情况下,这里一发出运行命令,搜集到的信息就雪片般地汇总过来才对!
机房里的两个人交换了一个复杂的眼神,徐冰冰就掏出对讲机走了出去。机房里的年轻警察看着空空如也的笔记本屏幕,转头看了看被网管小韦拔下来的光缆接口。
不多时又一拨人出现在23楼,领头是个国字脸的大叔级警官,从徐冰冰对他的称呼可以看出他就是南山区网警大队的负责人刘涛。
刘涛一来就阴着脸进了机房,不顾徐冰冰在旁边焦急地跟他解释什么,严厉地问那个坐在机房里的年轻警察:“小关,为什么擅自联网!”
被叫做小关的年轻人抬起眼皮懒洋洋地看了看刘涛一样,丝毫没有把顶头上司放在眼里的样子。他缓慢地起身,走到电脑前,冲刘洋敬了个礼,很淡定地回答道:“报告,我没有擅自,联网是为了进行我的工作。”
“在刚才联网的十秒钟里,又有……”朱达欣看着机房里的一个监控显示屏,“又有几百兆的文件被发出去了,office文档。”能看懂cacti的流量图,可以充分证明这是个技术型的领导。
小关看着刘涛,沉默。
刘涛冷哼一声:“你不抓紧时间搜集攻击证据,联网为了什么工作?”
“刘队,我们这次碰到的是老手,这些被困在内网的程序都拥有自毁设定,”徐冰冰急切地插进来说,“黑客设定的程序保留时间是200分钟,时间一到,仍未联网,则自动删除,我们什么也得不到。”
“即使它们不自动删除,我们也什么都得不到!”小关的眼睛似乎看着无限的远方,整一个出神状,说话更像梦呓,“这些程序……不存在。”
“不存在?那这是什么?”朱达欣指着显示屏上的日志刷新界面,“日志里直接能看到猜解口令的请求,怎么会说不存在呢?”
“朱总,它们就在你眼前运行,但你什么也发现不了!”徐冰冰摇摇头,眼神迷离,一瞬间竟如小关一般迷茫,“日志里除了密码不对的提示,其他的记录都是本地用户在机器面前尝试登录!我初步看了下汇总,搜集不到任何有用的信息。除了追踪它们的数据流向,我们没有其他可行的手段!”
“那现在呢?你们追踪到了什么?”刘涛也是技术型的领导,在网警这个不可能由外行领导内行的领域里,他起码得听得懂这些纯粹是由专业词汇组成的报告。
“你们应该什么也追踪不到,”说这话的是站在不远处的宋高远,由于这句话太惊悚,他成功了吸引了周围这圈人的全部目光,“各位警官,我们正在面对的是成名已久的黑客组织rustleleague(沙盟),要知道,rustle就是沙沙声,是沙子漏下的声音,这个组织素来的攻击和撤退,都如沙子从指缝中漏下,还没有谁能抓得住。”
徐冰冰看着他,长长的睫毛扑闪了一下:“沙盟不是神,有人抓住过它,就在今天早上。”
宋高远冲徐冰冰微微一笑,那笑容是他招牌的经典的阴笑:“哦,有人抓住过啊,你知道是谁么?”看着徐冰冰那好看的长睫毛迷茫地扑闪了两下,他得意地补了一句,“啊,不知道,想知道?”
然而徐冰冰扫视一周,很冷静地说:“本来不知道的,但看到沙盟千里迢迢攻击快播,现在差不多知道了。”
宋高远冲她摆摆手:“大型黑客组织的攻击自动化和智能化程度都很高,擦脚印的时候尤其如此!现在的黑客攻击已经不是以前那样入侵完成了之后再慢慢打扫后路,而是每经过一个小步骤,自动脚本都会清除在此步骤中出现的痕迹,你们还使用传统的反黑客工具,什么也得不到的。”
小关有点不服气,冷冷地来了一句:“这么说,快播这里有不传统的工具么?”
言外之意再明显不过,你这里有这样的工具还会被整成这样么?
第六十一章 芷涵初显威
宋高远标志性地嘿嘿一笑,转身冲舒芷涵招招手:“镁铝,过来给警官蜀黍露一手。”
舒芷涵捧着自己的dell笔记本走过来,半路还冲陈默笑了笑,笑完了站到一堆高手中间,已经是面色沉静如水。她将自己的笔记本电脑放在一张桌子上,漆黑的屏幕上空无一物,光标在左上角一闪一闪,这是一个linux系统,没准就是昨天中午安装的centos。
陈默忍着头痛,用自己的超级视角看了看,屏幕上方有一个自动隐藏的菜单,鼠标接近的时候才自动下拉显现的那种。菜单的颜色很熟悉,陈默认出那是vmware,不知道是8。0还是8。1。
“这是一台虚拟机,系统,”舒芷涵熟练地敲击键盘,屏幕上开始显示内容, “它运行的是ftp服务,但这只是表象,”舒芷涵调出一个运行在命令行下的监控界面,密密麻麻的指标在屏幕上挤成一团,“实际上,这是……”
“一个蜜罐系统!”徐冰冰和小关几乎是异口同声叫了出来。
舒芷涵输入长长的指令,监控界面的数据随着她敲击的回车不断地刷新和翻滚:“是的,一个空密码蜜罐系统,虽然简单,但恰好足以记录自动脚本的绝大多数信息! ”
空密码的蜜罐!这样的蜜罐系统是太简单了,简单到稍有常识的黑客都不会闯进来,但就是这么简单的蜜罐,拿来对付这种自动化的攻击脚本却是再合适不过——这些脚本都包含了判断空密码并登陆的模块。
徐冰冰的眼睛亮了起来,但亮了一会又暗淡下去:“这个……蜜罐,能记录多少信息?”
听口气有点信心不足,想想也是,作为黑客组织排行榜上的常客,沙盟不止一次面对过cia和fbi的系统里那更为隐蔽更为复杂的“蜜罐”,与之相比,舒芷涵的这一个可能连小孩过家家都算不上!
很有可能,沙盟的自动化脚本里已经加了绕开此类系统的判断。
能留下最后一层跳板的ip就很不错了。
舒芷涵抱歉地冲她笑了笑,但说的话不怎么抱歉:“记录的信息很多,几十g吧,需要分析很长时间,没办法,这是一个简单的系统,没有加甄别和自动分析模块。”她说着敲了一行查询命令,真的刷出来满屏的日志,行家可以很容易地看出来那都是从tcp/ip数据包的包头强行抠下来的片段。
在网络层和传输层【作者注:网络结构里面的osi模型有7层,看官自行脑补】直接拦截数据包并提取信息,是很初级的蜜罐手段,但确实有效,唯一而且致命的不足之处在于,数据包的数量很庞大,即使只记录其中少部分信息,所得仍然是令人望而生畏的数据量。
很笨的办法,但确实能记下东西。
网警小关扫了一眼屏幕,叹口气道:“确实需要分析很长时间。但我觉得,在面对沙盟这样对常规手段几乎全部免疫的对手时,以力破巧,最笨的办法也许正是最聪明的办法。”
沙盟在快播内网横冲直撞,所向披靡,估计没预料到还会误入“蜜罐”里!
刘涛看看屏幕,看着舒芷涵和徐冰冰,问:“这个蜜罐记录了多少东西,以我们现有的条件,需要分析多久?”
舒芷涵查看了下磁盘利用率:“这台虚拟机分配的硬盘是默认的40g,只记录了三分钟的数据,磁盘就写满了,毕竟只是个简单的系统。”
40g的数据包片段!!
“大队那台小型机的处理能力跟不上的,”徐冰冰斟酌着,“如果想在两周内得到结果,需要提交到上级处理。”
南山网警大队的上级就是深圳市网警分局,全称是深圳市公安局公共信息网络安全监察分局。陈默知道那里有一台unix大型机,很阔绰,深圳钱不当钱,网警也有钱得很。
朱达欣毕竟不是技术帝出身的领导,这会问了个看起来很专业其实略有点外行的问题:“查找入侵者跟处理能力有什么关系呢?linux里面过滤下不就出来了么?”
徐冰冰笑着解释道:“朱总,数据包里的信息都杂乱无章,奇形怪状的乱码根本无法通过简单的过滤筛选出来,即使筛选出来也没法使用。对于初级蜜罐系统的信息解读,需要结合统计学和密码学模型,将大量数据统计分析并解密后才能还原其本来面目,而数据包的本来面目,还不是我们能直接识别的自然语言……所以,在这过程中需要大量的运算与分析。”
一直冷眼旁观的宋高远嗤笑一声,道:“徐警官,恕我直言,在这里能找到的证据,最多也只能到入侵者的后面几层跳板,这算不上沙盟证据的!即使你们真找到证据,像百度那样,证明这是rustleleague(沙盟)组织所为,又能如何?”
彪悍如百度,还不是得忍着?
你南山区网警大队,就能帮快播讨回个公道不成?
徐冰冰目视刘涛,刘涛道:“从昨天对百度的攻击行动看,攻击者对我国网络状况了如指掌,在我境内掌握大量的僵尸网络节点,具备随时大规模翻越我边境防火墙的能力,这一情况引起了上级部门的高度关注。”
瞬间都懂了,快播不重要,重要的是百度先被攻击了!
快播只不过是百度被攻击事件发酵后酿成的一杯美酒,顺着这杯酒喝下去可以深入攻击者的心脏,更多地得到攻击者的信息!
怪不得这伙人刚来的时候都不考虑快播死活,直接想让快播集体下班,他们接管这里好了!!
“在接到报警的一个小时内,我们也做了很多工作,拿到这里的数据后,整个链条接上是没有太大问题的。”徐冰冰很兴奋地接上刘老大的话,“至于说如果确定是沙盟所为,只要有确实证据,这个事情可以提交国际刑警,以反恐的名义侦办下去!”
以反恐的名义!
好法子,好魄力!
如果陈默什么都不懂,这会肯定已经在心里暗暗鼓掌了。可惜他不但都懂,而且清醒冷静地认识到,沙盟牙尖齿利,非易与之辈,即使真有谁能将之摧毁,临死必遭反噬!
不过谁遭什么反噬,跟他关系不大,他玩味着的是徐冰冰这番话的前半段。快播的网管是攻击一开始就报警了,南山网警大队的办公地址是南山区深南大道388号南山公安分局网警大队505室,离高新园撑死了不过十分钟的车程——而算下来,拨打了这个网警110后,足足快两个小时,才有人出现在快播!
这段时间里,这些人在吃午饭么?!
第六十二章 一切为了种子
一个看起来比徐冰冰还年轻的女警察从外边走进来,简单地道:“刘队,冰冰姐,让关哥联sun专线,深圳总局和北京总部都已经在线。”
这话虽然简单,但能听懂的人还是不少,快播的情况已经超出这个小小的网警总队能力所及的范畴,在他们上面的总局和总部开始出手了。
与外媒渲染“中~国~威~胁~论”时想象的中国网军不同,事实上中国没有成建制的网络作战部队,中国只有网络警察。陈默查看过anonymous对于中国网警的评价,这是一个相当沉默相当低调的部门,但可以在里面找到中国最早成名的那一批黑客id,在必要的时候,这个部门甚至能随时召集足够数量的现役活跃黑客!这份评价报告的最后一句话是“由于复杂的原因,中国网警对新生代黑客的约束力和控制力明显下降”。
陈默就属于新生一代的高手,这类机构对他确实毫无控制力和约束力。
现在,他将有机会见识到老一辈高手们的实力。
刘涛点点头:“小关,小徐,开始干活,”又对那个女警察说,“小伍,你带这位快播同事到分局去一趟,她的电脑里有个蜜罐,蜜罐里装了东西的。”
舒芷涵看了看宋高远,宋高远对她点点头,于是舒芷涵收拾了一下,小心翼翼地将笔记本收进一个电脑包里,跟着那个叫小伍的警察走了。小关在机房里,用他的机器作为中转,连入了警方的sun专线网络,深圳网警总局和北京总部的专家们将远程解除这里的威胁,并在快播的防火墙上加装警用的蜜罐系统。
现场就没有两位领导什么事了,朱达欣将刘涛请进了自己的办公室。
来自网警总部的高手们借用之前安装在每台机器上的采集监控客户端批量运行各种命令,搜寻所有可能留下的蛛丝马迹。他们进行得很快,似乎对找不到任何痕迹的诡异状况也不感到惊讶,只用了不到半个小时,他们就结束了查找,然后很轻车熟路地清除这些原本似乎看不见的入侵程序。
清除的过程在陈默看来毫无技巧性可言,他们运行了另一个常驻内存的程序,然后系统内存溢出,重启后高手们宣布:清除完成。陈默知道,那个程序应该能获取比administrator超级管理员权限更高的权限【作者注:这个权限以后还会介绍,这里卖个关子】,否则很难实现这种用内存溢