王霽扔掉手中羊排,沖進房間!
打開電腦,進入代碼編輯器。
第一件事——
查看底層模塊readme。
里邊介紹了編譯方法、編譯環境,王霽很快找到跟紅方服務器同構的環境,安裝依賴包,開始編譯代碼。
大約用了20分鐘,編譯結果……
跟服務器版本不同!
不是輕量差異,服務器版本的幾個關鍵文件,比王霽編譯的大得多!
比如,agent代碼編譯后,應該只有2.3mb,服務器上卻有8.9mb。
guest-monitor代碼編譯后,應該只有5.2mb,實際有24.2mb!
深核科技耍了花樣,在實施到軍方環境時,用了有問題的文件!
因為是二進制的,所以看不出來。
到底是什么問題呢……
王霽此時思維異常活躍,馬上想到,二進制文件同樣可以用文本打開,這意味著,稀釋法也是管用的。
雖然體量比文本文件要大,但數量卻沒有文本文件多。
因為許多調度層、網關層的代碼是不需要編譯的。
系統層用c寫,必須編譯。
數量不過70多個。
王霽全部從服務器拷貝出來,傳到自己的電腦上。
選擇其中一個文件,用代碼編輯器文本方式打開,再加入稀釋代碼……
眼前紅點閃閃。
能看到缺陷!
確認奏效后,他再用腳本批量稀釋二進制文件,挨個打開。
在系統管理vm的agent工具文件中,看到了錯誤提示:
“此處向vm注入異常代碼,當vm連接網絡時,定時同步方位、服務器配置,并嘗試與starlink建立加密通道……”
starlink是米國spacex公司的衛星群,可用于互聯網接入。
這說明,系統通過agent控制了vm,向starlink發了信號!
跟神秘信號對上了!
王霽猜測,具體流程是——
首先,軍方基于深核科技系統創建vm,用來部署應用。
其次,云平臺植入agent,聲稱用來管理vm,實則留有后門。
然后,vm運行時,agent動態注入代碼,定時跟starlink同步。
用這個方法,處于系統層的深核科技,擁有了自主通信能力。
agent被當成了一個木馬。
不僅能發消息,還能做更多事……
王霽繼續檢查,發現agent引用了guest-monitor庫,動態獲得待的注入代碼。
按說這個庫是用來采集vm監控信息的,但王霽看到了缺陷提示:
“此處掃描服務器文件系統,發現某些文字時復制文件內容,字眼包括:計劃、裝備、武器、演習、部署……”
很明顯,它不止采集了監控信息,還采集文件內容。
這是個竊取資料的木馬!
找到敏感文件后,傳給了agent。
agent再通過starlink泄露出去!
在部隊環境里,服務器通常不直接連到外部網絡,無法輕易竊取資料。
但如果該隊伍要求對外連接,還主動使用了網絡,就不同了。
比如電子對抗連……