第二章 猎手的盲区 他可是Fancypig啊
作者:修BUG | 发布时间:
女主登场了哦 !!!!
陈主管的唾沫星子溅在李沉的显示器边框上。
"我让你做的报表呢?三天了!你是等着我手把手教你吗?"
李沉低着头,盯着那台老旧的戴尔显示器,屏幕上是一个还没填完的Excel表格。他的手指搭在鼠标上,脸上是一副木讷的表情。
"对不起,陈主管,我……我再快点。"
"快点?你快个屁!"陈主管一巴掌拍在工位隔板上,"上个月数据录入错了三行,害我挨了副总一顿骂,这个月你又给我拖?"
周围的同事都埋着头,没人往这边看。
"我今天就做完。"
"今天?你昨天也说的今天!"陈主管冷笑一声,转身往办公室走,"五点之前交不上来,你就给我滚蛋。"
玻璃门"砰"地一声关上。
李沉依旧低着头,右手食指正轻轻压在鼠标侧键上。
屏幕上的Excel只是个幌子。真正的画面,在他眼前的虚拟界面里展开,昨晚部署的后门监控程序,此刻正疯狂闪烁着红色的警告信号。
攻击者上线了。
虚拟界面里,李沉的视角截然不同。
这里没有灰扑扑的办公室,只有无边无际的黑色背景和流动的数据瀑布。他的意识像一只蛰伏的蜘蛛,趴在自己编织的监控网络中央。
三天前,那个攻击者在公司服务器里留下了一个后门。李沉没有删除它,而是在上面加了一层透明的壳,让它看起来还在正常工作,实际上所有的数据都先经过过滤。
现在,这个后门被激活了。
李沉"看"到一串指令从外部涌入,顺着后门的通道往公司内网深处钻。攻击者的手法很熟练,用的是一种变形的加密协议。
可惜,他面对的不是普通的防火墙。
李沉的意识展开,像一张无形的网,悄无声息地罩住了那串入侵的数据流。他没有阻断,只是复制了一份,然后让原封不动的数据继续往前走。
攻击者不会发现任何异常。
加密层剥开,里面是一个查询指令,目标指向公司的财务服务器,过去六个月的资金流动记录。
有意思。攻击者不是在破坏,而是在窃取。
李沉顺着数据流的反向路径追溯。攻击者用了七个跳板节点来隐藏自己的真实IP,每一个节点都在不同的国家。
这种级别的隐藏,普通的安全团队根本追不到。
但李沉不是普通的安全团队。
他的意识分裂成七道细流,同时渗透进七个跳板节点。他没有强行攻破任何节点,而是利用每个节点自带的系统漏洞,悄悄读取内存中的临时数据。
第六个节点,印度的某个云服务器。
李沉在这里发现了一丝异常,一个微小的、几乎不可察觉的延迟峰值。攻击者在这个节点上停留了0.03秒,比正常传输多了0.01秒。
这0.01秒的差异,足够了。
他潜入这个节点的内存缓存,找到了一个残缺的数据包片段。片段里有一个更重要的信息:源头发出了一个局域网内网地址段的握手信号。
内网。
攻击者是从某个内网发起的攻击,然后通过跳板节点转发到外部,再绕回来攻击公司服务器。
换句话说,攻击者在公司内部。
李沉开始比对公司的网络拓扑图,一栋楼一栋楼地排查。
财务部。
攻击者的源头,在财务部的网络工段里。
现实世界里,李沉的右手食指依旧压在鼠标侧键上,表面上看,他正盯着那个Excel表格发呆。
"喂,李沉,你的报表做得怎么样了?"
隔壁工位的张凯探过头来,脸上带着一种似笑非笑的表情。
"还……还在做。"李沉的声音平平淡淡。
"陈主管今天火气挺大的。"张凯靠在椅背上,手里转着一支签字笔,"你小心点,别又挨骂。"
李沉"嗯"了一声,没接话。张凯讨了个没趣,耸耸肩转回自己的工位去了。
虚拟界面里,李沉的追踪还在继续。
他已经锁定了财务部的网络工段,但还需要更精确的定位。他换了一个思路,攻击者在查询财务数据的时候,必然需要一定的带宽来传输。李沉开始监控财务部整个工段的网络流量。
五分钟后,他找到了。
财务部东南角的一台电脑,在过去十分钟里持续向外发送加密数据包。发送的频率很低,每次只有几KB,但这些数据包的发送间隔精确到毫秒,完全不像人工操作。
有人在用那台电脑做中转。
李沉的意识潜入那台电脑的进程列表,在一个不起眼的系统服务里发现了一行隐藏代码,一个小型的代理程序。
攻击者没有直接操作这台电脑,而是把它当成了一个"肉鸡"。
真正的攻击者,在另一台电脑上。
李沉顺着代理程序的连接方向继续追溯,找到了真正的源头,同一工段的另一台电脑,IP尾号237。桌面上打开的窗口显示:一个命令行界面,正在执行数据查询脚本;一个财务系统的登录界面,账号显示的是"李文娟"。
李沉在公司的内部通讯录里搜索这个名字:李文娟,财务部会计,入职四年,负责应付账款和费用报销。
过去一小时里,攻击者导出了三份文件:六月份的差旅费明细、七月份的供应商付款清单、还有一份标注为"机密"的银行流水记录。
攻击者在查公司的钱。
李沉继续深入。远程桌面的连接来源被层层伪装,但这种加密协议、这种跳板布局、这种"肉鸡中转"的战术……
他见过。
三年前,他曾经追踪过一个代号"蛛网"的黑客组织。蛛网的手法就是这样:多层跳板、肉鸡中转、精确打击。
李沉把当前攻击者的手法特征提取出来,与签名库比对。
匹配度87%。
蛛网。或者说,蛛网的余孽。
他决定继续观察,暂时不打草惊蛇。攻击者似乎在筛选什么特定的条目,李沉悄悄记录下所有的查询指令。
"select * from payment where vendor like '%远东%'"
"select * from payment where vendor like '%恒信%'"
"select * from payment where amount > 500000"
攻击者在查大额付款记录,而且重点关注两家供应商:远东和恒信。
突然,攻击者的操作停了。
命令行界面里出现了一行新的指令,网络诊断命令。
"tracert 192.168.1.xxx"
攻击者在追踪网络路径。李沉顺着攻击者的追踪方向看去,发现那个IP是……周明远的调查设备?
攻击者发现了周明远的调查,正在反向追踪。
李沉在攻击者的追踪路径上设置了一个假的响应节点,让攻击者以为周明远的设备只是一个普通的监控探头。同时,他在那个假节点里植入了一个反向追踪程序。
攻击者显然没有发现这个陷阱。他的追踪命令跑完,得到的结果显示是一个"自动监测系统",操作恢复了正常。
李沉决定收网了。
他悄悄在攻击者的代理程序里植入了一个追踪木马。等攻击者下次上线的时候,就能直接定位他的真实IP。
做完这一切,李沉整理自己收集到的信息:
攻击者身份:疑似蛛网余孽,正在利用财务部员工李文娟的电脑进行操作。攻击目的:查询公司的大额付款记录,重点关注远东和恒信两家供应商。威胁等级:高。
李沉把这些信息加密存储,准备退出虚拟界面。
就在这时,一个声音打断了他。
"请问,这是运维部吗?"
现实世界里,李沉抬起头。
门口站着一个女孩。
她穿着一件白色的衬衫,外面套着一件浅灰色的针织开衫,下身是高腰牛仔裤,脚上一双干净的帆布鞋。整个人看起来干干净净,像是刚从某个清新的广告画面里走出来。
但真正让整个办公室安静了一秒的,是她的脸。
皮肤白得像瓷,在日光灯下泛着一层健康的光泽。眼睛很大,瞳孔是浅褐色的,在灯光下会泛出一点琥珀色,看人的时候带着一股劲儿——不是凌厉,而是一种笃定。睫毛很长,不化妆也很明显,眨眼的时候像两把小扇子。鼻梁挺直,鼻尖微微上翘,给她整个人添了几分俏皮。嘴唇薄薄的,不笑的时候嘴角也是微微上扬的,像在酝酿什么坏主意。
她的头发是自然的黑色,略微带着一点棕,齐肩的长度,刘海薄薄地盖在额头上。眼睛下面有一颗小泪痣,给她整个人平添了一点故事感。
周围的男同事都抬起头来,张凯甚至把笔转掉在了桌上。
"我找李沉。"女孩的视线扫过整个办公室,最后停在角落里一个低着头的身影上,"你就是李沉?"
李沉站起来,脸上是那副木讷的表情:"我……我是。你有什么事?"
女孩朝他走过来,每一步都很稳。她在李沉的工位前停下,从文件袋里抽出一叠纸,放在他的桌面上。
"我是开发组的苏浅。这是你写的接口文档?"
李沉看了一眼那叠纸,最上面是他上周交上去的接口说明。
"对……有什么问题吗?"
"有什么问题?"苏浅的眼睛微微眯起来,那双琥珀色的瞳孔里闪过一丝光,"你确定你自己看过?"
她翻到第三页,指着其中一行。
"这里,参数类型写的是String。然后翻到第七页,同一个接口,参数类型变成了Integer。你让我用哪个?"
李沉低着头,盯着那行字,没说话。
"还有这里。"苏浅又翻了几页,"返回值示例里的字段名和正文描述里的不一样。一个是user_id,一个是userId。你让我按哪个来对接?"
她的声音不大,但整个办公室都能听见。周围的同事都埋着头,没人敢替李沉说话。
"我……我改一下。"李沉的声音闷闷的。
"改?"苏浅轻笑了一声,那双月牙形的眼睛里没有笑意,"你确定你看懂了需求?"
李沉不说话了。
苏浅盯着他看了两秒,然后叹了口气,把那叠文档往桌上一放。
"算了。你打开电脑,我告诉你怎么改。"
她拉过旁边的一把椅子,直接坐了下来,和白瓷一样的侧脸正对着李沉的显示器。
"你先把这个参数类型统一一下。还有这里,返回值的字段名要遵循驼峰命名法……"
她的声音很平静,但每一句话都带着一股不容置疑的笃定。李沉低着头,"哦"了一声,开始按她的指示修改。
十分钟后,苏浅站起来,扫了一眼修改后的文档。
"行吧,比原来好一点。"
她把文档收进文件袋,转头看了李沉一眼。
"下次交之前,自己先检查一遍。"
"我……我知道了。"
苏浅没再说什么,转身往外走。走了两步,她忽然停下,侧过头看了李沉一眼。
那双琥珀色的眼睛在他脸上停留了一秒,眼睛下面那颗泪痣在日光灯下闪着微弱的光。
"对了,你是入职多久了?"
李沉含糊地移开目光:"有……有一段时间了。"
苏浅盯着他看了两秒,嘴角微微上扬,像是想到了什么。
"难怪。"
她转身走了,帆布鞋在地上轻轻一点,消失在玻璃门后面。
整个办公室安静了两秒,然后嗡地一下热闹起来。
张凯把椅子滑到李沉旁边,压低声音:"兄弟,那女的谁啊?开发组的?长这么正你怎么不认识?"
李沉低着头,没接话。
他记得这个名字。苏浅,开发组骨干,入职一年半,名校计算机系毕业。据说技术很厉害,性格很直,得罪过不少人。
刚刚她指出的问题,李沉都知道。那些不一致的地方,是他故意留下的。接口文档越乱,后续的沟通就越多,他就有更多的理由在对接过程中"摸鱼"。
但他没想到苏浅会亲自跑过来,还当着整个办公室的面拆他的台。
"这女的不好惹。"张凯还在嘀咕,"上次开会她直接怼了陈主管,说他的代码写得像屎。陈主管脸都绿了,但一句话都没敢回。"
李沉"嗯"了一声,重新盯住自己的显示器。
屏幕上,那份修改过的接口文档正静静躺着。刚才苏浅指出的问题,已经被修复了一部分。
但还有几处是她没发现的。
李沉的手指搭在鼠标上,没有再动那几处错误。
算了,下次再说。
虚拟界面里,追踪木马还在静静等待着下一次激活。
下午四点,李沉刚从虚拟界面退出来,陈主管的声音就从玻璃门后面传了出来。
"李沉!"
"副总问上个月的数据,你把原始表格给我发过来,快点!"
李沉"哦"了一声,手忙脚乱地打开文件夹,找到一个表格文件,点开发送。
"发过去了,陈主管。"
"这格式怎么这么乱?"陈主管的声音又提高了几度,"算了,我自己调。"
李沉低着头,没说话。
他的手机在口袋里震动了一下。
一条新短信,来自一个没有署名的号码。
"三年前的老朋友问好。蛛网还有余孽,你小心。"
李沉的瞳孔微微收缩。
这是那个"观察者"发来的。上次攻击事件之后,也是这个人给他发了警告短信。李沉查过这个号码,是某个一次性虚拟号段,追不到来源。
但这条短信透露了两个关键信息:第一,发送者知道李沉的过去,知道他和蛛网的恩怨;第二,发送者也在追踪蛛网的余孽,而且似乎比李沉知道得更多。
手机又震了一下。
还是那个号码。
"财务部的内鬼不是李文娟,她只是被利用了。真正的内鬼在更高层。"
更高层?
李沉的视线不自觉地往陈主管的办公室方向移了一移,然后又移开。
玻璃门里,陈主管正在打电话,表情严肃。
李沉收回目光,重新看向自己的显示器。Excel表格还在那里,光标还在闪烁,一切都和几分钟前一样。
但有些东西已经不一样了。
下午四点五十,李沉把做好的报表发到了陈主管的邮箱。
十分钟后,陈主管的回复来了,只有两个字:"收到。"
李沉并不在意。他关掉邮件界面,开始收拾东西准备下班。
"李沉,今天这么早?"张凯又探过头来,语气里带着几分揶揄。
"报表交了。"李沉把笔记本塞进背包,声音平平。
李沉背上包往外走。走到门口的时候,他下意识地往财务部的方向看了一眼。
财务部在走廊的尽头,玻璃门关着。李沉看不到李文娟的工位,但他知道那个人此时此刻正在正常工作,完全不知道自己的电脑已经被当成了"肉鸡"。
李沉收回目光,推开公司的玻璃门,走进电梯间。
电梯门刚要关上,一只手伸了进来。
周明远。
那个自称"网络安全顾问"的男人,穿着一件深灰色的夹克,脸上带着一种似有若无的笑意。
"下班了?"周明远的声音很平静。
"嗯。"李沉点点头,往角落里让了让。
电梯开始下降,狭小的空间里只剩下两个人。
"你们公司最近网络不太稳定。"周明远开口了,"我正在帮你们排查问题。"
"哦。"李沉低着头,盯着自己的鞋尖,"我不太懂这些。"
"是吗?"周明远侧过头,看了李沉一眼,"我听说上次攻击事件的时候,你是最先发现异常的人之一。"
李沉抬起头,脸上是一种茫然的表情:"啊?没有吧,我就是看到电脑卡了,喊了一声。"
周明远盯着他的脸看了两秒,然后笑了笑:"可能是我记错了。"
电梯到了一楼,门开了。
李沉快步走出去,头也没回。
周明远站在电梯里,看着他的背影消失在大厅的旋转门后面,脸上的笑意慢慢收敛。
他从口袋里掏出手机,拨了一个号码。
"喂,是我。帮我查一个人。李沉,市场部的小职员。我要知道他所有的背景资料,越详细越好。"
李沉走出公司大楼,外面的空气闷热潮湿。
他站在公交站台旁边,等着那辆永远不准时的47路公交车。口袋里的手机又震了一下。
还是那个号码。
"有人开始查你的底细了。你的伪装做得不错,但三年前的事不是那么容易抹掉的。建议你主动一点,别等别人找上门。"
李沉盯着这条短信,眉头微微皱起。
三年前。这件事像一个幽灵,始终跟在他身后。
公交车终于来了。李沉跟着人流上了车,找了一个靠窗的位置站着。
车窗外的街景飞速后退,霓虹灯开始一盏盏亮起来。
他的手机又震了一下。
是一条推送通知,来自一个他从未订阅过的新闻客户端。
标题是:"恒信集团财务总监失踪,警方介入调查。"
李沉盯着这条标题,瞳孔微微收缩。
恒信。那个攻击者在查的供应商之一。
他点开那条新闻,快速浏览了一遍内容。恒信集团的财务总监张国强,昨天晚上下班后失联,家人报警,警方正在调查。新闻里提到,张国强失踪前曾经接到过一个神秘电话,之后神色慌张地离开了公司。
攻击者查恒信的付款记录,恒信的财务总监就失踪了。这不是巧合。
李沉把这条新闻截图保存,然后打开自己的私人云空间,开始整理今天收集到的所有信息。
蛛网余孽、财务部内鬼、远东和恒信、失踪的财务总监……
所有的线索都指向一个更大的局。
公交车到站了。
李沉下车,走进自己住的那个老旧小区。楼道里的灯又坏了,黑漆漆的一片。
他爬到三楼,掏出钥匙开门。
门刚打开,他就愣住了。
门口的脚垫被人动过。他每天出门前都会把脚垫摆成一个特定的角度,现在那个角度偏了大概十五度。
有人来过。
李沉推开门,手指悄悄摸向口袋里的手机,打开了录音功能。
房间里很安静。李沉一间一间地检查,客厅、卧室、厨房、卫生间……
没有人。
但他发现了一样东西。
在他的书桌上,摆着一本书,书的封面上压着一张纸条。
纸条上只有一个字:
"跑。"
李沉盯着这个字看了很久。
纸张的质感很特殊,上面有一层淡淡的荧光反应,是某种特种纸,普通的商店买不到。
来人很专业,没有留下任何指纹或脚印,只是留下了一个警告。
李沉拿起手机,给那个观察者的号码发了一条短信:
"你是谁?"
没有回复。
他又发了一条:
"你怎么知道三年前的事?"
还是没有回复。
李沉坐回书桌前,打开电脑,进入了虚拟界面。
黑色的背景里,数据瀑布川流不息。他开始构建一个新的监控网络。这一次,他不仅要监控公司的服务器,还要监控自己的周边环境,他的电脑、他的手机、他的家门……
所有可能被渗透的地方,都要设防。
他不知道对手是谁,不知道对手在哪里,不知道对手想要什么。
但他知道一件事:
他是Fancypig。
三年前,他曾经一个人摧毁了一个黑客组织。三年后,他依然可以做到。
只是这一次,他不能暴露。
李沉退出虚拟界面,关上电脑。
房间里一片漆黑,只有窗外的路灯透进来一点微弱的光。
他躺在床上,盯着天花板。
明天又是新的一天。陈主管还会骂他,张凯还会嘲笑他,同事们还会无视他。
但在暗处,他会继续跟踪那些线索,继续追寻那些真相。
直到找到所有的答案。
或者,直到被对手找到。
李沉闭上眼睛。
手机又震了一下。
他没去看。
今晚,他已经知道了足够多的事情。
明天,再继续。