得,演练通知又来了。
这次是“信息泄露应急演练”,名字听着就挺唬人。我在北峰干了快五年,大大小小的演练没少参加,流程都能背下来。
可陈主任说,这次不一样,要动真格的。
技术支援中心的电话和内部通讯系统瞬间成了风暴中心。
我刚放下座机,对讲机又响了,是陈主任的声音。
“孙琳,演练开始。模拟场景:市场部邮箱服务器发现大量异常外发邮件,目标指向境外匿名服务器。”
“你们组,立刻执行预案第一阶段:信息源隔离和初步排查。五分钟内给我初步报告。”
“收到,陈主任。”我转头就冲组里喊。
“小王,马上锁定市场部邮箱服务器所有外发端口!小李,查日志,看触发邮件扫描告警的具体时间、IP段、发件人特征!”
小王的声音传来,语速飞快。
“端口锁定指令已发!……确认执行成功,市场部邮箱外发功能已暂停!”
小李盯着屏幕,“孙姐,日志显示……告警触发时间是九点零三分,集中在过去十五分钟内。”
“IP段是……等等,不对啊!”她突然惊讶道,“触发告警的源IP……是我们技术支援中心的内部测试机IP段!”
预案模拟的是外部攻击渗透市场部,怎么源头跑我们自己测试机这来了?这不对路!
“小李,确认IP归属!小王,立刻检查我们测试机区网络状态!”
“有没有异常连接?”我抓起对讲机,“陈主任!情况有变!异常邮件源IP指向我们技术支援中心内部测试机区!请求指示!”
对讲机那头沉默了两秒,“继续执行预案。追加任务:立刻自查!我要知道是哪个测试机,什么时候被控,怎么被控的!”
“三分钟!我要结果!”
“明白!”压力突然变大。演练变成了实战,还是自己家后院起火。
我们组的小张跑过来:“孙姐,测试机区监控显示……三号测试机网络流量在九点零二分突然异常升高,”
“远超日常基线!持续到现在!”
“就它了!”我指着三号机的物理位置,“小王,断它的网!物理隔离!”
“小李,立刻提取三号机当前内存镜像和硬盘快照!动作快!”
一阵操作后,小王汇报:“三号机网线已拔!”
小李:“镜像和快照开始提取……预计需要两分钟!”
时间一分一秒过去,对讲机里,其他部门的汇报也断断续续传进来:
“保卫处报告,已封锁相关区域出入口,人员只进不出……”
“网络中心报告,正在追踪异常流量路径……”
“国安……演练指挥部报告,初步判断为高级持续性攻击APT模拟……”
陈主任的声音插进来,“孙琳,你们组自查进度?两分钟了!”
我盯着小李的屏幕进度条:“陈主任,镜像提取完成度百分之八十!马上就好!”
“再快!攻击可能还在活动!”
小李的手指都在颤抖:“百分之九十五……九十八……好了!镜像和快照提取完成!”
“立刻分析!重点查最近半小时的进程活动、网络连接记录、可疑文件创建!”我有些急迫。
小李和小王立刻埋头分析,此刻办公室里每一秒都显得是那么漫长。
突然,小王抬头,“孙姐!三号机内存里发现一个异常进程!名字伪装成系统更新程序!”
“它在……在尝试连接一个外部IP!端口是……是邮件协议端口!连接还没断!”
“什么?!”我头皮一炸,“不是拔网线了吗?!”
“是拔了!但这个进程在网断前一刻还在活动!”小王指着屏幕。
“它在疯狂尝试重连那个外部IP!记录显示,它就是在九点零二分启动的!”
“启动来源?查它怎么被放进去的!”我追问。
小李快速翻着日志:“找到了!启动记录……是来自一封邮件!就在九点零一分!”
“发件人……显示是‘内部系统通知’?主题是‘紧急安全补丁更新’!收件人……是这台测试机的管理员!”
钓鱼邮件!目标根本不是市场部,是我们技术支援中心负责维护测试环境的机器!我们成了跳板!
“小王,立刻记录下这个伪装进程的所有特征码、行为日志!”
“小李,把那封钓鱼邮件的完整信息,发件人伪装、附件信息、链接特征全部提取出来!快!”我一边下令,一边抄起对讲机。
“陈主任!查清了!攻击源是我们一台测试机!被一封伪装成‘内部系统通知’的钓鱼邮件攻破,植入了恶意程序!”
“该程序正试图通过