好了,接下来我们就要去对我们的0.78这台人是电脑去进行上级排查,那么为什么不是去查看我们比较重要的这个主脑,这个预控服务器10.1?是因为我们的家庭成员一般都是比较安全的,他也不会去做一些什么奇奇怪怪的事情。但是当你发现他,他会自己主动跑出去的时候,说明什么?说明我们的家庭成员,这一位成员他身上是有漏洞的,那么当它被攻击者找到这个漏洞以后,就会通过这个漏洞去进行什么?
去进行发起攻击,随后我们才会发现我们的家庭成员主动跑出去了,再往后几个小时几分钟,他才会开始对我们的其他成员发起攻击,那么它是有个时间先后顺序的,所以我们就通过什么?通过攻击时间的一个判断,我们就排查到最早发现攻击的是哪一台电脑,是10.10.0.78这一台电脑。那这台电脑,这台电脑是谁的?是人事的。
好,那么接下来,我们就开始去对hr进行了一些询问,进行了一些询问,并且也对相关的事件进行了一些还原,还原那首先第一个是内对外的一个攻击,恶意文件下载的时间,什么是恶意文件?为什么我们的人事,也就是我们的工作人员hr会去下载这一个恶意文件,是因为攻击者伪装成为了求职者,或者说是内部工作人员,就是他可能会通过一些其他的途径,他拿到你同事的邮箱账号,或者是通过某一种交流软件,沟通软件。给我们的 jaywood这位人士,那么发送了一个恶意文件,这个文件是什么?看上去是好像是某某用户,注意是这样,看上去可能是某某某简历对不对?其实不是,它其实就是一个木马和后门。
当我们的安全意识比较薄弱的这一些工作同事下载了这个恶意文件以后,通常都会执行。当执行以后,那么我们来看10:06,也就是5月19号10:06的时候,我们的受害者也就是我们的人事从攻击者他的这一个路径上面,去下载了开户注意事项,其实是伪装成了一个木马和后门。