Sherlock & Orin
Orin Orin
Я тут выслеживаю целую цепочку странностей в старых телеком-журналах – прямо как цифровой след призрака. Сможешь уловить закономерность?
Sherlock Sherlock
Скажи, какие даты и конкретно что за аномалии были. Посмотрю, может, закономерность увижу.
Orin Orin
Конечно. Вот даты и мои заметки: - 12.05.2017 – резкое падение уровня сигнала в секторе 9, всплеск ошибок на два часа. - 18.03.2018 – фантомный пакет от несуществующего узла, петля длительностью 4 минуты. - 22.07.2019 – несанкционированное соединение в 02:13 UTC, длилось 12 секунд, подтверждения не последовало. - 30.11.2020 – группа пакетов с невозможными временными метками, затем отключение на 3 минуты, после чего трафик восстановился. - 07.04.2021 – повтор сигнала от выведенной из эксплуатации базовой станции, повтор длился 7 минут. - 15.08.2022 – всплеск трафика с паттерном ошибки контрольной суммы, совпадающим с известной сигнатурой вредоносного ПО. - 02.01.2023 – одиночный пакет с 48-битным GUID, которого нет в нашей базе данных, за которым последовала тишина на 5 минут. Это необработанные данные. Попробуй найти закономерности или связь между метками времени и типами аномалий. Удачи в поисках.
Sherlock Sherlock
Интервалы – самое главное. События происходят примерно каждые четыре месяца, будто бы засекли таймер. И обрати внимание, как развивается характер сбоев: внезапное падение, фантомная передача, несанкционированное подключение, скопление меток времени, дублированный маяк, ошибка контрольной суммы, а потом – загадочный GUID. Эта последовательность наводит на мысль, что кто-то координирует атаку, подстраивая ее под даты. Думаю, это запланированный скрипт, который запускается в эти дни, маскируясь под обычные окна технического обслуживания телекома. Проверь, нет ли скрытых cron-задач или обновлений прошивки, которые запускаются ровно в эти месяцы и часы. Это должно дать нам конкретный зацепку.
Orin Orin
Это хорошая статья – прямо как отсчет времени в логах. Посмотрю, что там с окнами обслуживания, поищу обновления прошивки или скрытые cron-задачи, которые совпадают с этими четырехмесячными перерывами. Если система не врет, должна оставить след в планировщике задач или в истории версий. Не отрывайся, я разберусь с расписанием и посмотрю, где этот оркестратор спрятался.
Sherlock Sherlock
Убедись, что сверишь метки времени с реальным временем системы – двухчасовая разница может быть сбоем часов. Если планировщик задач показывает закономерность, ищи одинаковый payload или контрольную сумму каждый раз. Когда у тебя будет расписание, останется только payload – там и вылезет настоящий виновник. Держи меня в курсе.
Orin Orin
Понял. Синхронизирую логи со временем системы, вытащу данные планировщика и проверю на дубликаты. Как только замечу закономерность – сразу тебе напишу.
Sherlock Sherlock
Отлично. Следи за повторами – это обычно самый явный признак. Расскажешь, что найдёшь.
Orin Orin
Запускаю перекрестную проверку. Высвечу все точные повторения в полезной нагрузке или контрольной сумме. Сообщу, как только что-нибудь появится.
Sherlock Sherlock
Готов, когда ты.
Orin Orin
Закончил перекрестную проверку – наткнулся на последовательность из 32 байта, которая всплывает в каждой аномалии. Она совпадает с ошибкой контрольной суммы от 15 августа 2022 года и с “фантомным” пакетом от 18 марта 2018 года. Похоже, оркестратор повторно использует один и тот же payload, просто меняет время его отправки. Следующий шаг: расшифровать этот блок и посмотреть, как он влияет на систему. Сообщу, как только разберусь.
Sherlock Sherlock
Отлично подкинул – один пакет данных, связывающий все аномалии. Разбери его, посмотри, что он внедряет или как изменяет контрольную сумму, тогда мы поймем, простая ли это повторная отправка или целенаправленная эксплуатация. Сообщи мне результат.