接下来海明生通过iis日志检测入侵攻击,首先惊现有大量的不同和相同的ip在同一时间或不同的时间对网站连接,这是遭到入侵的最初表现。日志文件全部被清空,太容易被管理员察觉,如果只是删除或替换部分关键日志信息,反而具有迷惑性,容易隐藏痕迹。尽管入侵者有选择性的删除了部分入侵日志,同时还伪造了一些web日志,企图蒙混过关;这是欲盖弥彰的具体表现。但是安全日志启用系统事件成功失败的审核,多次成功的入侵还是会在安全日志中查找到留下的痕迹。再狡猾的狐狸终究斗不过有经验的老猎人,经仔细甄别还是能从系统异常中发现端倪。现实中即使再高明的犯罪分子,整个犯罪过程即使是天衣无缝,也总能从中找出些蛛丝马迹。
在成功渗透到内网中,攻击者获取到内网某台主机的控制权后,以该部被攻陷的主机为跳板,访问域内其他机器,进一步扩大入侵范围,最终获得域控制器的访问权限,直至完全控制整个内网环境,控制域环境下所有主机。随后海明生小组其他成员排查到一些主机上被多处安装了类似后门的恶意程序,这次恶意程序实属第一次见到,并且已经在计划任务时间成功执行
“需要马上对此次攻击事件进行攻击溯源,尽管这可能很棘手,尽管要追踪到幕后真正的凶手很难,但是我们必须要这么做,没有其他选择”海明生对身旁的工作人员说。攻击溯源作为安全事故中事后响应的重要组成部分,通过对受害资产与内网流量进行分析一定程度上还原攻击者的攻击路径与攻击手法,有助于修复漏洞与风险,避免二次事件的发生。
海明生在攻击溯源方面有着深厚的经验与研究见解。溯源的过程当中,除了相关的技术手段之外,首先还需要确认一个整体的思路。对异常点进行一个整体的分析并根据实际环境给出几种可能的方案,这样在处理起问题时可以游刃有余,不会无从下手了。一般被入侵后通常会出现一些异常点:譬如主机出现运行异常,反应卡顿,文件被加密,主机系统出现其他用户,主机流量层出现大量异常流量。
根据主机情况往往还需要深入收集一些信息:比如出现异常的时间点——这是非常重要的。这次精准攻击发作选在了周末,正是无人值守或者是思想松懈的时间。还要分析异常服务器的主要业务情况,大致的一个网络拓扑是不是在dz区,是否有主机连接互联网,哪些主机可以在公网正常访问。这些可以被访问的主机开放了哪些端口、存在哪些安全隐患,在与隔离区的主机是否安装使用什么安全设备之类的
海明生向核基地申请几台完好的计算机和剩下的几台感染病毒但还未来得及被病毒损坏的计算机,连接组成一个局域网络,以此初步测试病毒的威力与传播机制。他提前在网络接口处安装了硬件防火墙、杀毒软件等检测软件;这几台完好的计算机上安装了嗅探器、主动防御程序、入侵检测等程序。
一切就绪后,把这些计算机打开电源开启,计算重启后已经感染病毒的计算机又复活了,像打了兴奋剂的赛车手一样继续一路狂飙,直到那病毒程序自动运行完。其余几台完好的计算机在陆续被病毒关闭了杀毒软件,轻松穿过了防火墙,越过了检测软件后,像人类感染瘟疫一样迅速大面积蔓延被感染,剩下的过程皆是如法炮制,如末路狂欢。