逆向追蹤，鎖定跳板服務(wù)器在東南亞------------------------------------------，首都機(jī)場高速上的車流已變得稀疏?；袅肿?**那輛不起眼的黑色轎車后座，窗外的路燈飛速向后掠去，在他臉上投下明明暗暗的光影。車內(nèi)很安靜，只有引擎低沉的轟鳴和李處長偶爾翻動文件的聲音?；袅值哪抗饴湓诖巴?，那些熟悉的城市輪廓在夜色中顯得陌生而遙遠(yuǎn)——他已經(jīng)離開這片土地太久了?！盎袅郑杏X怎么樣？”李處長從副駕駛座轉(zhuǎn)過頭，聲音溫和卻帶著一絲不易察覺的緊迫?！坝悬c(diǎn)不真實(shí)?！被袅謱?shí)話實(shí)說，手指無意識地摩挲著背包的肩帶，“昨天還在硅谷的會議室里討論算法優(yōu)化，今天就坐在***的車上討論**支付系統(tǒng)的后門?！保切θ堇锊刂嗷袅诌€看不懂的東西?！斑@就是你選擇的路。對了，這是‘天網(wǎng)’基地的初步資料，你可以在路上看看?！薄７_第一頁，映入眼簾的不是文字，而是一張復(fù)雜的網(wǎng)絡(luò)拓?fù)鋱D——**關(guān)鍵信息基礎(chǔ)設(shè)施的防御體系示意圖。金融、能源、交通、通信……每一個(gè)節(jié)點(diǎn)都標(biāo)注著安全等級和潛在威脅。他的心跳微微加速，不是因?yàn)榫o張，而是因?yàn)橐环N久違的興奮。這種級別的防御架構(gòu)，他***只在理論推演中見過?！爸Ц断到y(tǒng)的后門，你們是怎么發(fā)現(xiàn)的？”霍林問?！叭烨?，清算中心監(jiān)控到異常數(shù)據(jù)包?！崩钐庨L調(diào)出一份加密報(bào)告，遞給霍林，“起初以為是常規(guī)的DDoS攻擊，流量清洗系統(tǒng)也確實(shí)攔截了大部分。但安全審計(jì)組在復(fù)盤時(shí)發(fā)現(xiàn)，有極少量數(shù)據(jù)包繞過了所有檢測規(guī)則，直接進(jìn)入了核心數(shù)據(jù)庫?！薄Ｋ膶I(yè)本能立刻被觸發(fā)了——這不是普通的黑客攻擊。DDoS通常是掩護(hù)，真正的殺招藏在那些“正?！钡臄?shù)據(jù)流里。報(bào)告顯示，這些異常數(shù)據(jù)包偽裝成了標(biāo)準(zhǔn)的支付交易請求，格式、協(xié)議、加密方式全都合規(guī)，只在時(shí)間戳的微秒級字段里藏了惡意代碼?！癆PT攻擊。”霍林低聲說，“高級持續(xù)性威脅。攻擊者至少潛伏了兩個(gè)月，摸清了系統(tǒng)的每一個(gè)細(xì)節(jié)。”：“我們也是這個(gè)判斷。但問題在于，這些數(shù)據(jù)包的來源極其分散，全球超過兩百個(gè)IP地址同時(shí)發(fā)起攻擊，而且都是真實(shí)的商業(yè)服務(wù)器——被控制的‘肉雞’?！?，道路兩旁的高樓逐漸被低矮的建筑取代?；袅掷^續(xù)翻看資料，大腦飛速運(yùn)轉(zhuǎn)。兩百個(gè)跳板服務(wù)器，分布在不同**，這意味著攻擊者擁有龐大的僵尸網(wǎng)絡(luò)資源。更棘手的是，這些服務(wù)器本身沒有漏洞，攻擊者是通過社會工程學(xué)或供應(yīng)鏈滲透控制了它們。“我需要原始日志。”霍林說，“所有異常數(shù)據(jù)包的完整捕獲記錄，包括被清洗掉的。已經(jīng)在基地準(zhǔn)備好了。”李處長看了看手表，“二十分鐘后你就能看到。”，穿過兩道需要身份驗(yàn)證的閘門，最后停在一棟沒有任何標(biāo)識的灰色建筑前。建筑只有三層，外觀樸素得像某個(gè)國企的舊辦公樓。但霍林注意到，周圍的監(jiān)控?cái)z像頭密度是正常區(qū)域的五倍以上，所有窗戶都裝著特制的防窺玻璃，地下還有微弱的電磁屏蔽信號。“天網(wǎng)”基地。
走進(jìn)大廳，霍林的第一感覺是“冷”。不是溫度低，而是一種技術(shù)設(shè)備特有的、不帶人情味的冷感。白色的墻壁，灰色的地板，走廊兩側(cè)是一扇扇厚重的防爆門，每扇門上都只有一個(gè)編號。幾個(gè)穿著便裝的技術(shù)人員匆匆走過，沒人抬頭看他，所有人的腳步都很快，眼神專注。
李處長帶他來到三樓最里面的一間會議室。推開門，里面已經(jīng)坐了五個(gè)人。
“介紹一下。”李處長說，“霍林，代號‘鑄劍’，從今天起正式加入‘天網(wǎng)’特別行動組。這幾位是你的隊(duì)友：趙峰，網(wǎng)絡(luò)追蹤專家；陳薇，惡意代碼分析；周濤，硬件安全；林小雨，情報(bào)整合?！?br>霍林一一握手。趙峰是個(gè)三十出頭的男人，戴著黑框眼鏡，手指關(guān)節(jié)粗大，一看就是常年敲鍵盤；陳薇很年輕，扎著馬尾，眼神銳利；周濤身材魁梧，不像技術(shù)員倒像運(yùn)動員；林小雨則安靜地坐在角落，面前擺著三臺顯示器。
“客套話就不多說了?！壁w峰直接切入正題，“霍林，李處長應(yīng)該跟你說了基本情況。我們現(xiàn)在最大的問題是找不到攻擊源頭。兩百個(gè)跳板服務(wù)器，我們逆向追蹤了其中五十個(gè)，全都指向更多層的跳板。”
陳薇調(diào)出一張世界地圖，上面密密麻麻標(biāo)注著紅點(diǎn)。“這是已知的跳板服務(wù)器分布。北美、歐洲、東南亞、**……幾乎覆蓋全球。攻擊者用了洋蔥路由加多層**，每層都用了不同的加密協(xié)議。”
霍林走到屏幕前，仔細(xì)看著那些紅點(diǎn)。他的目光在東南亞區(qū)域停留了很久——那里有十七個(gè)跳板服務(wù)器，分布在越南、泰國、馬來西亞和菲律賓。
“這些東南亞的服務(wù)器，有什么共同特征？”他問。
林小雨敲了幾下鍵盤，調(diào)出一份詳細(xì)報(bào)告?！岸际侵行⌒推髽I(yè)的商務(wù)服務(wù)器，配置中等，租用時(shí)間都在三個(gè)月到半年之間。有趣的是，其中十三臺服務(wù)器在同一周內(nèi)被同一家虛擬主機(jī)服務(wù)商租出，付款方式都是加密貨幣。”
“同一周，同一服務(wù)商。”霍林重復(fù)著這句話，大腦開始構(gòu)建模型，“這意味著攻擊者不是隨機(jī)選擇跳板，而是有計(jì)劃地批量部署。他們先控制了這家服務(wù)商的某個(gè)員工或系統(tǒng)，然后集中租用了一批服務(wù)器作為第一層跳板?！?br>周濤插話：“我們查過那家服務(wù)商，總部在新加坡，安全記錄良好。但他們的**系統(tǒng)兩個(gè)月前有過一次小規(guī)模的數(shù)據(jù)泄露，大約五百個(gè)客戶信息外泄。當(dāng)時(shí)認(rèn)為是普通黑客所為，沒有深究?！?br>“五百個(gè)客戶信息……”霍林閉上眼睛，讓信息在腦中重組，“攻擊者拿到名單后，篩選出其中位于東南亞、配置合適的服務(wù)器，然后通過社會工程學(xué)或漏洞利用，逐一控制這些服務(wù)器。因?yàn)樗鼈兪钦鎸?shí)企業(yè)的合法服務(wù)器，所以流量看起來完全正常。”
會議室里安靜了幾秒。趙峰推了推眼鏡：“這個(gè)推理成立。但就算知道這些，我們還是找不到真正的源頭。攻擊者可以從這些東南亞服務(wù)器再跳轉(zhuǎn)到其他大洲的服務(wù)器，循環(huán)幾次后，痕跡就徹底消失了?！?br>霍林走到白板前，拿起筆?！拔覀儞Q個(gè)思路。攻擊者為什么要用東南亞的服務(wù)器作為第一層跳板？”
“延遲低？”陳薇猜測，“東南亞到中國的網(wǎng)絡(luò)延遲相對較低，適合實(shí)時(shí)攻擊?！?br>“成本低?！敝軡f，“東南亞的服務(wù)器租用成本只有歐美的一半。”
“還有時(shí)區(qū)?！绷中∮贻p聲補(bǔ)充，“東南亞和中國沒有時(shí)差，攻擊者可以實(shí)時(shí)監(jiān)控攻擊效果?！?br>霍林在白板上寫下三個(gè)詞：延遲、成本、時(shí)區(qū)。然后他在下面又寫了一行字：“操作習(xí)慣?！?br>所有人都看向他。
“每個(gè)黑客組織都有自己偏好的工具鏈和操作習(xí)慣?！被袅纸忉?，“就像寫代碼，有人喜歡用Python有人喜歡用C++。這種習(xí)慣會體現(xiàn)在很多細(xì)節(jié)上——比如選擇跳板服務(wù)器時(shí)，是偏好Linux還是Windows系統(tǒng)；是喜歡用商業(yè)主機(jī)還是自己搭建；是習(xí)慣在白天攻擊還是夜間攻擊。”
他調(diào)出那十三臺東南亞服務(wù)器的詳細(xì)配置表。“看這里，十三臺服務(wù)器里，十一臺是CentOS系統(tǒng)，兩臺是U*untu。都是Linux，但版本不同。攻擊者為什么要混用？”
陳薇立刻反應(yīng)過來：“因?yàn)榭刂七@些服務(wù)器的不是同一個(gè)人，或者同一個(gè)工具！”
“對?！被袅址糯笕罩居涗?，“再看登錄記錄。這十一臺CentOS服務(wù)器，被控制的方式都是通過SSH密鑰漏洞，攻擊時(shí)間集中在凌晨兩點(diǎn)到四點(diǎn)。而那兩臺U*untu服務(wù)器，是通過We*應(yīng)用漏洞被控制，攻擊時(shí)間在下午。”
趙峰站了起來：“你是說，攻擊者至少有兩個(gè)團(tuán)隊(duì)，或者兩套自動化工具在同時(shí)工作？”
“更可能是一套工具的兩個(gè)模塊。”霍林說，“一個(gè)模塊專門針對CentOS的某個(gè)特定版本，另一個(gè)模塊針對U*untu。攻擊者編寫工具時(shí)，為了覆蓋更多目標(biāo)，不得不兼容不同系統(tǒng)。但這種兼容性會留下痕跡——不同模塊的代碼風(fēng)格、錯(cuò)誤處理方式、日志清理方法都會有細(xì)微差異?！?br>他轉(zhuǎn)向林小雨：“能幫我調(diào)出這兩類服務(wù)器的完整攻擊日志嗎？從被控制前一周開始，到被控制后所有活動記錄?！?br>“需要一點(diǎn)時(shí)間。”林小雨開始快速操作鍵盤，“服務(wù)器日志很大，而且攻擊者清理過?！?br>“他們清理不干凈?！被袅终f，“只要發(fā)生過數(shù)據(jù)交換，就一定會在內(nèi)存、緩存或臨時(shí)文件里留下碎片。我們需要的是那些被忽略的碎片?！?br>等待數(shù)據(jù)加載的間隙，霍林走到窗邊。窗外是基地的內(nèi)部庭院，幾棵梧桐樹在夜風(fēng)中輕輕搖曳。他的思緒飄回加州，想起最后一次和導(dǎo)師***的對話。那是在斯坦福的咖啡館里，陳教授端著咖啡，語重心長地說：“霍林，技術(shù)沒有國界，但技術(shù)人有祖國。你現(xiàn)在掌握的東西，既可以用來建造，也可以用來摧毀。記住，選擇權(quán)在你手里?！?br>當(dāng)時(shí)霍林不太理解這句話的深意?，F(xiàn)在他站在***的基地里，面對一場針對**金融系統(tǒng)的攻擊，突然明白了——技術(shù)確實(shí)沒有國界，但攻擊有。那些數(shù)據(jù)包不會自己跨越太平洋，背后一定有一雙手，一個(gè)意志，一個(gè)目的。
“數(shù)據(jù)好了。”林小雨的聲音把他拉回現(xiàn)實(shí)。
霍林回到屏幕前。兩臺顯示器并排顯示著兩類服務(wù)器的日志分析結(jié)果。左邊是CentOS組，右邊是U*untu組。他用自己編寫的腳本快速過濾關(guān)鍵信息：非常規(guī)進(jìn)程、異常網(wǎng)絡(luò)連接、修改過的系統(tǒng)文件……
“看這里?！彼钢鳦entOS組的一條記錄，“被控制后的第三天，服務(wù)器向這個(gè)IP發(fā)送了加密數(shù)據(jù)包：103.27.186.44。發(fā)送時(shí)間凌晨三點(diǎn)十二分，持續(xù)時(shí)間四十七秒?！?br>趙峰立刻查詢這個(gè)IP?！榜R來西亞吉隆坡，另一臺商業(yè)服務(wù)器，已經(jīng)在我們監(jiān)控列表里?！?br>“再看U*untu組?！被袅譂L動到另一條記錄，“被控制后的**天，向這個(gè)IP發(fā)送數(shù)據(jù)：45.76.128.91。發(fā)送時(shí)間下午兩點(diǎn)半，持續(xù)時(shí)間一分二十秒?！?br>“菲律賓馬尼拉?！标愞闭f，“也是已知跳板?！?br>看起來沒什么特別。但霍林注意到一個(gè)細(xì)節(jié)：兩個(gè)IP的端**都是50022。
“SSH默認(rèn)端口是22，他們用了50022?！被袅终f，“這不是隨機(jī)選擇的端口。50022是某個(gè)開源遠(yuǎn)程管理工具的默認(rèn)端口，那個(gè)工具的特點(diǎn)是支持多跳板自動切換?！?br>周濤皺眉：“所以攻擊者用同一套工具管理所有跳板？那為什么還要分CentOS和U*untu兩個(gè)模塊？”
“因?yàn)槟翘坠ぞ弑旧碛新┒础！被袅值难劬α亮似饋?，“或者說，有特征。為了兼容不同系統(tǒng)，開發(fā)者寫了一些特定的適配代碼。這些代**在日志里留下獨(dú)特的字符串——如果我們能找到這個(gè)字符串，就能反向追蹤所有使用這套工具的服務(wù)器?！?br>他讓林小雨搜索日志里所有包含“l(fā)i*ssh2”、“paramiko”、“asyn**sh”等SSH庫名的記錄。這些都是常見的Python SSH庫，攻擊者的工具很可能基于其中之一。
搜索結(jié)果出來了：CentOS組的日志里有大量“paramiko”相關(guān)的錯(cuò)誤信息，U*untu組則是“asyn**sh”。
“兩個(gè)不同的庫。”霍林快速思考，“這意味著攻擊者的工具至少有兩個(gè)版本，或者兩個(gè)分支。但為什么要維護(hù)兩個(gè)版本？增加工作量，還容易出錯(cuò)?！?br>除非……除非這兩個(gè)版本不是同一個(gè)人寫的。
“趙峰，能查一下這兩個(gè)SSH庫在****的流行度嗎？”霍林問。
趙峰打開幾個(gè)內(nèi)部數(shù)據(jù)庫。“paramiko是老牌庫，穩(wěn)定但性能一般，很多自動化腳本喜歡用。asyn**sh是新興庫，異步性能好，適合高并發(fā)場景，但學(xué)習(xí)曲線陡峭?！?br>“所以一個(gè)團(tuán)隊(duì)用老技術(shù)，一個(gè)團(tuán)隊(duì)用新技術(shù)?！标愞笨偨Y(jié)，“攻擊者組織內(nèi)部有代差？”
霍林沒有立刻回答。他讓林小雨把兩類服務(wù)器日志的時(shí)間軸并列顯示。很快，一個(gè)模式浮現(xiàn)出來：CentOS組的攻擊活動集中在每周一、三、五的凌晨；U*untu組則在每周二、四、六的下午。周日兩邊都安靜。
“輪班制?！敝軡f，“兩個(gè)團(tuán)隊(duì)輪流作業(yè)，周日休息。這是正規(guī)組織的作息。”
“而且兩個(gè)團(tuán)隊(duì)可能在不同的時(shí)區(qū)?！被袅盅a(bǔ)充，“CentOS團(tuán)隊(duì)在**時(shí)區(qū)，所以凌晨工作；U*untu團(tuán)隊(duì)在歐美時(shí)區(qū)，所以下午工作。但他們共用同一批跳板服務(wù)器，所以需要統(tǒng)一的控制工具——于是工具有了兩個(gè)版本，分別適應(yīng)兩個(gè)團(tuán)隊(duì)的習(xí)慣?！?br>推理到這里，整個(gè)攻擊組織的輪廓已經(jīng)隱約可見：一個(gè)國際黑客組織，至少有兩個(gè)技術(shù)團(tuán)隊(duì)分布在東西半球，使用自研的自動化工具控制全球跳板服務(wù)器，針對中國支付系統(tǒng)發(fā)起APT攻擊。
但最重要的線索還沒找到：真正的指揮控制服務(wù)器在哪里？
霍林的目光回到那個(gè)端**：50022。他想起自己***參與過一個(gè)開源項(xiàng)目，項(xiàng)目里用過一款叫“ShadowHop”的多跳板管理工具，默認(rèn)端口就是50022。那工具是某個(gè)***黑客寫的，后來因?yàn)槁┒刺啾簧鐓^(qū)棄用了。
“查一下‘ShadowHop’這個(gè)***?！彼f。
林小雨搜索內(nèi)部威脅情報(bào)庫。果然，三年前有一份報(bào)告提到，“棱鏡”組織早期曾使用過ShadowHop的修改版作為內(nèi)部工具，但后來轉(zhuǎn)向了更專業(yè)的商業(yè)軟件。
“棱鏡……”霍林念出這個(gè)名字。他***聽說過這個(gè)組織，傳聞是多個(gè)**前情報(bào)人員組成的黑客團(tuán)體，專門從事**級網(wǎng)絡(luò)攻擊。如果真是他們，那這次事件的性質(zhì)就完全不同了。
“有ShadowHop的源代碼嗎？”霍林問。
趙峰從檔案庫調(diào)出一份加密文件?！斑@是當(dāng)年**的樣本，但版本很舊了。”
霍林快速瀏覽代碼。ShadowHop的設(shè)計(jì)很粗糙，但有一個(gè)特點(diǎn)：它會把所有操作日志加密后發(fā)送到一個(gè)固定郵箱。代碼里硬編碼了一個(gè)***il郵箱地址，雖然攻擊者肯定會修改，但日志發(fā)送的邏輯不會變——一定是通過**TP協(xié)議，走TLS加密。
“所有跳板服務(wù)器，檢查它們的出站**TP連接記錄。”霍林說，“特別是連接到***il、Outlook等公共郵件服務(wù)的?！?br>這個(gè)搜索范圍小多了。十分鐘后，林小雨找到了：十三臺東南亞服務(wù)器里，有七臺在特定時(shí)間向同一個(gè)***il郵箱發(fā)送過加密數(shù)據(jù)包。發(fā)送時(shí)間都在攻擊開始前五分鐘，像是某種“準(zhǔn)備就緒”的信號。
“郵箱是假的。”趙峰查了注冊信息，“一次性賬號，已經(jīng)銷毀了?！?br>“但**TP服務(wù)器不會說謊?！被袅终{(diào)出網(wǎng)絡(luò)層日志，“郵件數(shù)據(jù)包從跳板服務(wù)器發(fā)出后，經(jīng)過哪些中轉(zhuǎn)節(jié)點(diǎn)？”
數(shù)據(jù)追蹤顯示，所有郵件都先到達(dá)新加坡的一個(gè)**TP中轉(zhuǎn)服務(wù)器，然后跳轉(zhuǎn)到荷蘭阿姆斯特丹的另一個(gè)服務(wù)器，最后才抵達(dá)***il。這是標(biāo)準(zhǔn)的反追蹤手法。
但霍林注意到一個(gè)異常：從新加坡到阿姆斯特丹的這段連接，用的不是常規(guī)的TLS 1.2，而是TLS 1.3。而TLS 1.3在當(dāng)時(shí)的商用**TP服務(wù)器上還不普及。
“這個(gè)阿姆斯特丹的服務(wù)器，不是公共郵件服務(wù)商。”霍林說，“是**的，專門搭建的郵件中轉(zhuǎn)服務(wù)器。攻擊者為了隱藏行蹤，自己建了一套郵件系統(tǒng)?！?br>“能定位嗎？”李處長不知何時(shí)已經(jīng)站在門口。
霍林看了看完整的路由追蹤結(jié)果。“物理位置在阿姆斯特丹的某個(gè)數(shù)據(jù)中心，但實(shí)際控制者……需要進(jìn)一步分析。不過至少我們現(xiàn)在知道，攻擊者的指揮控制服務(wù)器很可能在歐洲，通過自建郵件系統(tǒng)向全球跳板發(fā)送指令。”
趙峰長出一口氣：“這是三個(gè)月來最大的突破?！?br>霍林卻沒有放松?！斑@只是第一層。攻擊者肯定還有更多保護(hù)措施。我們需要設(shè)一個(gè)陷阱，讓他們自己暴露?！?br>“什么陷阱？”陳薇問。
“蜜罐?！被袅终f，“部署一個(gè)***的支付系統(tǒng)接口，故意留幾個(gè)看起來像漏洞的入口，引誘攻擊者來探測。只要他們上鉤，我們就能捕獲他們的工具樣本，分析出更多特征。”
李處長點(diǎn)頭：“方案報(bào)上來，我協(xié)調(diào)資源?！?br>會議結(jié)束時(shí)，已經(jīng)是凌晨四點(diǎn)?；袅终驹诨氐奶炫_上，看著東方漸漸泛起的魚肚白。城市還在沉睡，但網(wǎng)絡(luò)世界永不眠。那些數(shù)據(jù)包還在流動，攻擊還在繼續(xù)，而他已經(jīng)踏入了這場無聲的戰(zhàn)爭。
風(fēng)吹過，帶來初秋的涼意。霍林想起自己回國的飛機(jī)上，旁邊坐著一個(gè)帶著孩子的母親。孩子問媽媽：“我們?yōu)槭裁匆貒?？”母親說：“因?yàn)檫@里是家啊?！?br>家?；袅治站o了欄桿。他現(xiàn)在明白了，守護(hù)這個(gè)“家”不只是情感選擇，更是技術(shù)人的責(zé)任。那些試圖破壞支付系統(tǒng)的人，想要動搖的不只是數(shù)據(jù)，更是千家萬戶的生活。
他轉(zhuǎn)身走回大樓。走廊的燈光蒼白而堅(jiān)定，就像他此刻的心情。第一戰(zhàn)才剛剛開始，但他已經(jīng)找到了方向。