Sherlock & Orin
Я тут выслеживаю целую цепочку странностей в старых телеком-журналах – прямо как цифровой след призрака. Сможешь уловить закономерность?
Скажи, какие даты и конкретно что за аномалии были. Посмотрю, может, закономерность увижу.
Конечно. Вот даты и мои заметки:
- 12.05.2017 – резкое падение уровня сигнала в секторе 9, всплеск ошибок на два часа.
- 18.03.2018 – фантомный пакет от несуществующего узла, петля длительностью 4 минуты.
- 22.07.2019 – несанкционированное соединение в 02:13 UTC, длилось 12 секунд, подтверждения не последовало.
- 30.11.2020 – группа пакетов с невозможными временными метками, затем отключение на 3 минуты, после чего трафик восстановился.
- 07.04.2021 – повтор сигнала от выведенной из эксплуатации базовой станции, повтор длился 7 минут.
- 15.08.2022 – всплеск трафика с паттерном ошибки контрольной суммы, совпадающим с известной сигнатурой вредоносного ПО.
- 02.01.2023 – одиночный пакет с 48-битным GUID, которого нет в нашей базе данных, за которым последовала тишина на 5 минут.
Это необработанные данные. Попробуй найти закономерности или связь между метками времени и типами аномалий. Удачи в поисках.
Интервалы – самое главное. События происходят примерно каждые четыре месяца, будто бы засекли таймер. И обрати внимание, как развивается характер сбоев: внезапное падение, фантомная передача, несанкционированное подключение, скопление меток времени, дублированный маяк, ошибка контрольной суммы, а потом – загадочный GUID. Эта последовательность наводит на мысль, что кто-то координирует атаку, подстраивая ее под даты. Думаю, это запланированный скрипт, который запускается в эти дни, маскируясь под обычные окна технического обслуживания телекома. Проверь, нет ли скрытых cron-задач или обновлений прошивки, которые запускаются ровно в эти месяцы и часы. Это должно дать нам конкретный зацепку.
Это хорошая статья – прямо как отсчет времени в логах. Посмотрю, что там с окнами обслуживания, поищу обновления прошивки или скрытые cron-задачи, которые совпадают с этими четырехмесячными перерывами. Если система не врет, должна оставить след в планировщике задач или в истории версий. Не отрывайся, я разберусь с расписанием и посмотрю, где этот оркестратор спрятался.
Убедись, что сверишь метки времени с реальным временем системы – двухчасовая разница может быть сбоем часов. Если планировщик задач показывает закономерность, ищи одинаковый payload или контрольную сумму каждый раз. Когда у тебя будет расписание, останется только payload – там и вылезет настоящий виновник. Держи меня в курсе.
Понял. Синхронизирую логи со временем системы, вытащу данные планировщика и проверю на дубликаты. Как только замечу закономерность – сразу тебе напишу.
Отлично. Следи за повторами – это обычно самый явный признак. Расскажешь, что найдёшь.
Запускаю перекрестную проверку. Высвечу все точные повторения в полезной нагрузке или контрольной сумме. Сообщу, как только что-нибудь появится.
Готов, когда ты.
Закончил перекрестную проверку – наткнулся на последовательность из 32 байта, которая всплывает в каждой аномалии. Она совпадает с ошибкой контрольной суммы от 15 августа 2022 года и с “фантомным” пакетом от 18 марта 2018 года. Похоже, оркестратор повторно использует один и тот же payload, просто меняет время его отправки. Следующий шаг: расшифровать этот блок и посмотреть, как он влияет на систему. Сообщу, как только разберусь.
Отлично подкинул – один пакет данных, связывающий все аномалии. Разбери его, посмотри, что он внедряет или как изменяет контрольную сумму, тогда мы поймем, простая ли это повторная отправка или целенаправленная эксплуатация. Сообщи мне результат.