第47章 应急演练（第2页）

“保卫处报告，已封锁相关区域出入口，人员只进不出……”

“网络中心报告，正在追踪异常流量路径……”

“国安……演练指挥部报告，初步判断为高级持续性攻击apt模拟……”

陈主任的声音插进来，“孙琳，你们组自查进度？两分钟了！”

我盯着小李的屏幕进度条：“陈主任，镜像提取完成度百分之八十！马上就好！”

“再快！攻击可能还在活动！”

小李的手指都在颤抖：“百分之九十五……九十八……好了！镜像和快照提取完成！”

“立刻分析！重点查最近半小时的进程活动、网络连接记录、可疑文件创建！”我有些急迫。

小李和小王立刻埋头分析，此刻办公室里每一秒都显得是那么漫长。

突然，小王抬头，“孙姐！三号机内存里发现一个异常进程！名字伪装成系统更新程序！”

“它在……在尝试连接一个外部ip！端口是……是邮件协议端口！连接还没断！”

“什么？！”我头皮一炸，“不是拔网线了吗？！”

“是拔了！但这个进程在网断前一刻还在活动！”小王指着屏幕。

“它在疯狂尝试重连那个外部ip！记录显示，它就是在九点零二分启动的！”

“启动来源？查它怎么被放进去的！”我追问。

小李快速翻着日志：“找到了！启动记录……是来自一封邮件！就在九点零一分！”

“发件人……显示是‘内部系统通知’？主题是‘紧急安全补丁更新’！收件人……是这台测试机的管理员！”

钓鱼邮件！目标根本不是市场部，是我们技术支援中心负责维护测试环境的机器！我们成了跳板！

“小王，立刻记录下这个伪装进程的所有特征码、行为日志！”

“小李，把那封钓鱼邮件的完整信息，发件人伪装、附件信息、链接特征全部提取出来！快！”我一边下令，一边抄起对讲机。

“陈主任！查清了！攻击源是我们一台测试机！被一封伪装成‘内部系统通知’的钓鱼邮件攻破，植入了恶意程序！”

“该程序正试图通过邮件协议外联！特征码和邮件样本已提取！”

对讲机里随即传来陈主任果断的声音：“干得好，孙琳！立刻将样本特征码提交给网络中心，进行全网查杀！”

“邮件样本提交演练指挥部进行深度分析！你们组任务，转入第二阶段：威胁清除和影响评估！”

“评估这台测试机被控期间，还可能访问或泄露了哪些内部资源？十分钟！”

“是！”我应道，心里却一点没松。清除容易，评估潜在影响才要命。”

“这台测试机权限不低，能访问好几个内部测试数据库和开发文档库。