第47章 應急演練（第2頁）

“保衛(wèi)處報告，已封鎖相關區(qū)域出入口，人員只進不出……”

“網絡中心報告，正在追蹤異常流量路徑……”

“國安……演練指揮部報告，初步判斷為高級持續(xù)性攻擊apt模擬……”

陳主任的聲音插進來，“孫琳，你們組自查進度？兩分鐘了！”

我盯著小李的屏幕進度條：“陳主任，鏡像提取完成度百分之八十！馬上就好！”

“再快！攻擊可能還在活動！”

小李的手指都在顫抖：“百分之九十五……九十八……好了！鏡像和快照提取完成！”

“立刻分析！重點查最近半小時的進程活動、網絡連接記錄、可疑文件創(chuàng)建！”我有些急迫。

小李和小王立刻埋頭分析，此刻辦公室里每一秒都顯得是那么漫長。

突然，小王抬頭，“孫姐！三號機內存里發(fā)現一個異常進程！名字偽裝成系統更新程序！”

“它在……在嘗試連接一個外部ip！端口是……是郵件協議端口！連接還沒斷！”

“什么？！”我頭皮一炸，“不是拔網線了嗎？！”

“是拔了！但這個進程在網斷前一刻還在活動！”小王指著屏幕。

“它在瘋狂嘗試重連那個外部ip！記錄顯示，它就是在九點零二分啟動的！”

“啟動來源？查它怎么被放進去的！”我追問。

小李快速翻著日志：“找到了！啟動記錄……是來自一封郵件！就在九點零一分！”

“發(fā)件人……顯示是‘內部系統通知’？主題是‘緊急安全補丁更新’！收件人……是這臺測試機的管理員！”

釣魚郵件！目標根本不是市場部，是我們技術支援中心負責維護測試環(huán)境的機器！我們成了跳板！

“小王，立刻記錄下這個偽裝進程的所有特征碼、行為日志！”

“小李，把那封釣魚郵件的完整信息，發(fā)件人偽裝、附件信息、鏈接特征全部提取出來！快！”我一邊下令，一邊抄起對講機。

“陳主任！查清了！攻擊源是我們一臺測試機！被一封偽裝成‘內部系統通知’的釣魚郵件攻破，植入了惡意程序！”

“該程序正試圖通過郵件協議外聯！特征碼和郵件樣本已提?。　?/p>

對講機里隨即傳來陳主任果斷的聲音：“干得好，孫琳！立刻將樣本特征碼提交給網絡中心，進行全網查殺！”

“郵件樣本提交演練指揮部進行深度分析！你們組任務，轉入第二階段：威脅清除和影響評估！”

“評估這臺測試機被控期間，還可能訪問或泄露了哪些內部資源？十分鐘！”

“是！”我應道，心里卻一點沒松。清除容易，評估潛在影響才要命?！?/p>

“這臺測試機權限不低，能訪問好幾個內部測試數據庫和開發(fā)文檔庫。