周四上午十點,溫柔鄉科技公司地下二層,一個沒有窗戶的房間。四面墻是黑色吸音材料,中間一張弧形長桌,六塊曲面屏從天花板垂下。老吳坐在主控臺前,戴著降噪耳機,手指在機械鍵盤上快速敲擊。影子站在他身后,盯著屏幕上滾動的數據流。寒曉東坐在側面,看著第三塊屏幕――那是從“秦風”的手機和公寓監控實時同步的畫面,一切正常。
“伊甸園的服務器,我們定位到了三個。”老吳調出一張全球地圖,三個紅點分別閃爍:一個在北京海淀區的數據中心,一個在杭州的阿里云,還有一個在洛杉磯。“海淀的是主服務器,存儲會員數據和課程資料,但核心系統――深層情感挖掘――應該不在那兒,太顯眼。洛杉磯的可能是備份。杭州的用途不明,但流量很大,可能是運營中心。”
“能進去嗎?”影子問。
“海淀的服務器防護是軍方級別的,有物理隔離,外網進不去。洛杉磯的用的是亞馬遜aws,有云盾,破解難度大。杭州的……”老吳敲了幾下鍵盤,調出那個服務器的端口掃描結果,“用的是國內一家小公司的云服務,防護一般,但有動態驗證,每次登錄需要雙重認證。而且,有蜜罐。”
“蜜罐?”
“對。他們設了陷阱服務器,一旦檢測到非法入侵,會反追蹤攻擊者ip,并啟動數據自毀程序。很專業的手法,不像普通公司能做到的。”老吳看向影子,“需要你出馬了。社交工程攻破他們的雙重認證,拿到管理員權限。我負責清理痕跡,防止反追蹤。”
影子點頭,拉過一把椅子坐下,從背包里拿出一個特制的筆記本電腦,外殼是軍綠色,沒有品牌標識。他接上加密網線,打開一個命令行界面。
“先從杭州服務器下手。老吳,給我這個服務器運維公司的信息,特別是技術支持部門的值班表和常用聯系方式。”
老吳調出一份文件。“公司叫‘青云科技’,做中小企業云服務的。技術團隊二十人,分三班倒。值班表顯示,今天上午的技術支持叫李偉,手機號138****,工號007。他習慣在上午十點半喝咖啡,用公司的內部聊天軟件和同事閑聊。聊天記錄顯示,他最近在追一個網紅,經常在上班時間看直播。”
“很好。”影子打開一個語音合成軟件,輸入李偉的手機號,調整參數。“我用變聲器模擬他上司的聲音,給他打電話,說系統有異常登錄,需要他緊急重置某個賬號的密碼。他會照做,因為這是標準流程。但我會引導他把重置鏈接發到一個我們控制的郵箱,而不是內部系統。”
“他會信嗎?”
“會。因為我會準確說出他今早處理的三個工單號,以及他昨天請假看牙醫的事。這些信息,我從他的社交賬號和公司內部論壇拿到了。”影子點開幾個窗口,顯示李偉的微博、知乎、還有青云科技內部論壇的發記錄。“這個人安全意識很差,用的密碼是名字加生日,多個平臺通用。我已經拿到了他的郵箱和內部系統賬號。”
十分鐘后,影子撥通李偉的電話。變聲器模擬出一個中年男性的聲音,略帶威嚴。
“李偉嗎?我王主任。監控顯示服務器有異常登錄嘗試,觸發警報了。你現在立刻查一下賬號‘admin_yuan’,看有沒有異常。然后重置密碼,把重置鏈接發到安全郵箱yuan@qingyun.。抓緊,我這邊等結果。”
電話那頭,李偉顯然剛睡醒,聲音含糊。
“王主任?哪個王主任?我這邊沒接到通知啊……”
“安全部的王建國!還需要我報工號嗎?趕緊的,出了事你負責!”影子語氣加重。
“哦哦,王主任對不起,我馬上查。”李偉被嚇醒了。幾分鐘后,影子收到一封郵件,是密碼重置鏈接。他點擊鏈接,進入青云科技的管理后臺,權限是管理員。
“進去了。現在找伊甸園的服務器。”影子快速瀏覽后臺,找到了一個標注“伊甸園-情感云”的虛擬機實例,ip地址正是杭州那個。“有防火墻,但沒開入侵檢測。我上傳一個木馬,偽裝成系統日志分析工具,獲取shell權限。”
他上傳了一個壓縮包,里面是特制的木馬程序,利用服務器的日志分析組件漏洞,獲得了root權限。屏幕跳出一個命令行窗口,顯示“#”提示符――進入成功了。
“現在,下載數據庫。”影子敲入命令,開始拷貝“情感云”系統的用戶表、聊天記錄表、課程資料表。數據量很大,壓縮后仍有三百多gb,下載需要時間。
“注意流量異常。”老吳盯著監控,“服務器帶寬平時峰值50m,現在跑到200m了,可能觸發警報。”
“我知道。我已經在流量上做了偽裝,看起來像正常備份操作。”影子說,“但最多能拖二十分鐘。寒曉東,你那邊有什么發現?”
寒曉東看著秦風的監控畫面。公寓里一切正常,但他注意到,秦風的手機在五分鐘前收到一條短信,來自一個虛擬號:“秦風先生,您的會員權限已升級,請登錄系統查看新課程。登錄地址:sedenlab.vip(sedenlab.vip),賬號密碼不變。”
“他們給我開了高階班權限。新課程地址,可能指向真正的核心服務器。”寒曉東說。
“登錄,但用虛擬機,別用你的真機。”影子說,“老吳,準備抓包,分析這個域名的真實ip和后臺架構。”
寒曉東打開一臺虛擬機,登錄新網址。頁面很簡潔,只有“高階研討班”一個入口,需要再次輸入賬號密碼。他輸入秦風的賬號,進入。里面是新的課程列表,包括“深度人格分析”“長期關系操控設計”“反偵察與危機處理”。還有一個“實踐案例庫”,點開需要更高權限。
“這個域名解析到的ip,還是杭州那個服務器,但用了反向代理,真正的應用服務器在別處。”老吳分析著數據包,“有跳轉,我追蹤一下。”
幾秒后,屏幕顯示跳轉路徑:杭州服務器→美國一個中轉節點→北京海淀的一個ip,但這個ip不是之前定位的數據中心,而是一個民用寬帶地址,屬于朝陽區一個高檔小區。
“家庭服務器?”影子皺眉。
“對。真正的核心系統,可能就在那個小區里。用家庭寬帶做服務器,隱蔽,而且流量混在普通用戶里,不容易被發現。”老吳說,“地址是朝陽公園西路8號院,6號樓,2801。戶主叫張明,但我們查了,這個人不存在,是假身份。房子是租的,租金用比特幣支付,很干凈。”