海明生首先调取了测试计算机上的事件查看器,分析一些运行程序的启动规则和如何调用内部程序。随后又分析:当程序运行时杀毒软件并未报警,说明此次攻击或是利用的还未公布于众的系统漏洞进行渗透攻击,或是编译的新型计算机病毒进行有目的、有针对性攻击的。据史泰罗的描述和自己一行人赶到后,程序运行、传播、攻击时并未听到外接硬件防火墙的报警声,表明此次渗透攻击整个过程当中,伪装欺骗了防火墙,穿透防火墙,被防火墙认为是正常合理合法的访问。
看来此次攻击很高明,据说世界上90以上的黑客攻击都不能穿透硬件防火墙,即使是利用反向攻击渗透技术配合着一些漏洞渗透也不是轻而易举能达到的。“但是有没有一种可能呢?就是病毒早已不知通过什么途径潜伏到了实验室的服务器中,存在于系统当中窥伺已久,待机而发,一旦时机成熟触发后,一发不可收拾。如果是这样的话,病毒具有很强的针对性,那就不只是简单的病毒攻击行为了,其中很可能掺杂间谍的内部渗透,毕竟敌中有我,我中有敌。最后有可上升到政治因素”海明生喃喃自语,像是对自己说又像是对身旁的助手们说。
千里之堤毁于蚁穴,祸起萧墙,所以说很多的祸患不仅是外部的原因,内部才是主要的因素。列宁同志曾说:坚固的堡垒都是从内部攻破的。
美国的《纽约时报》曾宣称:美国已在俄罗斯电网中植入病毒,美国政府官员承认,早已向俄罗斯电网和其他目标部署美国计算机代码,是向更具进攻性战略转变的一部分,可随时发起网络攻击。如果有一天俄罗斯陷入了黑暗,华盛顿就是那个幕后黑手。
此外,美国土安全部和联邦调查局也声称:俄罗斯同样对美国电厂、油气管道系统和供水系统内植入恶意代码,以备战时启用。两国通过外部网络攻击和内部间谍的渗透,互置恶意代码进行网络攻击的行为再次凸显了,电网已成为在线攻击的首要目标,是当今网络战的前沿阵地和主战场。
海明生带领团队查看那些被损坏的计算机主机,发现主板皆已烧毁,成了名副其实的废铁。在没有损坏的主板上,测试发现数据已被格式化完全清空。随后又检查了服务器,亦是损毁严重,一片狼藉。经过对服务器上数据利用技术手段恢复、测试,发现服务器存放的数据曾被复制打包,被堂而皇之的发送到了一指定地址后,硬盘随之被反复几十次擦拭,数据很难全部恢复。
海明生调取了在局域网边界的一些计算机上的入侵监测系统的记录以及系统自动分析记录。核基地的计算机使用的是一款广受欢迎的开源入侵监测系统工具:snort。它有着强大监测功能,除了能够进行协议分析、内容搜索和包含其它许多预处理程序,还可以检测上千种蠕虫病毒、漏洞、端口扫描以及其它可疑行为检测。
入侵监测系统处于防火墙之后对网络活动进行实时检测,可以记录和禁止网络活动,起到对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它通过对计算机网络或系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。当海明生打开这些记录时,又被密密麻麻的网络进出记录惊呆了,令他惊讶的如此频繁的访问与退出操作,为什么入侵监测系统从未发出过警报。
海明生接着检测恶意代码是否修改了文件。文件哈希值是恶意代码的指纹,通过它用来确认文件是否被篡改,也可通过哈希值查找恶意样本,验证文件的唯一性。他还通过一些软件对文件行为、注册表行为、进程行为、网络行为、在文件中的位置,进行分析,捕获恶意样本特征,获取关键信息,猜测恶意代码的功能。
调查取证工作