王霽扔掉手中羊排,衝进房间!
打开电脑,进入代码编辑器。
第一件事——
查看底层模块readme。
里边介绍了编译方法、编译环境,王霽很快找到跟红方伺服器同构的环境,安装依赖包,开始编译代码。
大约用了20分钟,编译结果……
跟伺服器版本不同!
不是轻量差异,伺服器版本的几个关键文件,比王霽编译的大得多!
比如,agent代码编译后,应该只有2.3mb,伺服器上却有8.9mb。
guest-monitor代码编译后,应该只有5.2mb,实际有24.2mb!
深核科技耍了样,在实施到军方环境时,用了有问题的文件!
因为是二进位的,所以看不出来。
到底是什么问题呢……
王霽此时思维异常活跃,马上想到,二进位文件同样可以用文本打开,这意味著,稀释法也是管用的。
虽然体量比文本文件要大,但数量却没有文本文件多。
因为许多调度层、网关层的代码是不需要编译的。
系统层用c写,必须编译。
数量不过70多个。
王霽全部从伺服器拷贝出来,传到自己的电脑上。
选择其中一个文件,用代码编辑器文本方式打开,再加入稀释代码……
眼前红点闪闪。
能看到缺陷!
確认奏效后,他再用脚本批量稀释二进位文件,挨个打开。
在系统管理vm的agent工具文件中,看到了错误提示:
“此处向vm注入异常代码,当vm连接网络时,定时同步方位、伺服器配置,並尝试与starlink建立加密通道……”
starlink是米国spacex公司的卫星群,可用於网际网路接入。
这说明,系统通过agent控制了vm,向starlink发了信號!
跟神秘信號对上了!
王霽猜测,具体流程是——
首先,军方基於深核科技系统创建vm,用来部署应用。
其次,云平台植入agent,声称用来管理vm,实则留有后门。
然后,vm运行时,agent动態注入代码,定时跟starlink同步。
用这个方法,处於系统层的深核科技,拥有了自主通信能力。
agent被当成了一个木马。
不仅能发消息,还能做更多事……
王霽继续检查,发现agent引用了guest-monitor库,动態获得待的注入代码。
按说这个库是用来採集vm监控信息的,但王霽看到了缺陷提示:
“此处扫描伺服器文件系统,发现某些文字时复製文件內容,字眼包括:计划、装备、武器、演习、部署……”
很明显,它不止採集了监控信息,还採集文件內容。
这是个窃取资料的木马!
找到敏感文件后,传给了agent。
agent再通过starlink泄露出去!
在部队环境里,伺服器通常不直接连到外部网络,无法轻易窃取资料。
但如果该队伍要求对外连接,还主动使用了网络,就不同了。