Aquest hivern, o millor dit, en un dels dies entre el Nadal catòlic i l'Any Nou, els enginyers de suport tècnic de Veeam estaven ocupats amb tasques inusuals: estaven a la recerca d'un grup de pirates informàtics anomenat "Veeamonymous".

Va explicar com els mateixos nois van plantejar i dur a terme una recerca real en la seva feina, amb tasques "pròximes al combat" Kirill Stetsko, Enginyer d'escalades.

- Per què vas començar això?

- Aproximadament de la mateixa manera que la gent va inventar Linux en un moment, només per diversió, pel seu propi plaer.

Volíem moviment, i alhora volíem fer alguna cosa útil, alguna cosa interessant. A més, calia donar un alleujament emocional als enginyers del seu treball quotidià.

- Qui va suggerir això? De qui va ser la idea?

— La idea va ser la nostra gerent Katya Egorova, i després el concepte i totes les idees posteriors van néixer gràcies a un esforç conjunt. Inicialment vam pensar en fer un hackathon. Però durant el desenvolupament del concepte, la idea es va convertir en una recerca; després de tot, un enginyer de suport tècnic és un tipus d'activitat diferent de la programació.

Així doncs, vam trucar amics, companys, coneguts, diferents persones ens van ajudar amb el concepte: una persona de T2 (la segona línia de suport és nota de l'editor), una persona amb T3, un parell de persones de l'equip SWAT (equip de resposta ràpida per a casos especialment urgents - nota de l'editor). Tots ens vam reunir, ens vam asseure i vam intentar proposar tasques per a la nostra recerca.

— Va ser molt inesperat aprendre de tot això, perquè, pel que jo sé, la mecànica de cerques les treballen habitualment guionistes especialitzats, és a dir, no només has tractat una cosa tan complexa, sinó també en relació amb la teva feina. , al seu àmbit d'activitat professional.

— Sí, no volíem fer-ho només entreteniment, sinó "augmentar" les habilitats tècniques dels enginyers. Una de les tasques del nostre departament és l'intercanvi de coneixements i formació, però aquesta recerca és una excel·lent oportunitat per deixar que la gent "toqui" algunes tècniques noves per a elles.

—Com et van plantejar les tasques?

— Vam fer una pluja d'idees. Enteníem que havíem de fer unes proves tècniques, i que fossin interessants i alhora aportessin nous coneixements.
Per exemple, vam pensar que la gent hauria d'intentar rastrejar el trànsit, utilitzar editors hexadecimals, fer alguna cosa per a Linux, algunes coses una mica més profundes relacionades amb els nostres productes (Veeam Backup & Replication i altres).

El concepte també va ser una part important. Vam decidir basar-nos en el tema dels pirates informàtics, l'accés anònim i una atmosfera de secret. La màscara de Guy Fawkes es va convertir en un símbol i el nom va sorgir de manera natural: Veeamonymous.

"Al principi era la paraula"

Per despertar l'interès, vam decidir organitzar una campanya de relacions públiques amb temes de recerca abans de l'esdeveniment: vam penjar cartells amb l'anunci a la nostra oficina. I uns dies després, d'amagat de tothom, els van pintar amb aerosols i van començar un “ànec”, diuen que alguns atacants van arruïnar els cartells, fins i tot van adjuntar una foto amb una prova….

- Així que ho has fet tu mateix, és a dir, l'equip d'organitzadors?!

— Sí, divendres, cap a les 9, quan tothom ja havia marxat, vam anar a dibuixar la lletra “V” de color verd dels globus.) Molts participants de la recerca no van endevinar mai qui ho va fer: la gent se'ns va acostar. i va preguntar qui va arruïnar els cartells? Algú es va prendre aquest tema molt seriosament i va fer una investigació sencera sobre aquest tema.

Per a la recerca, també hem escrit fitxers d'àudio, sons "arrapats": per exemple, quan un enginyer inicia sessió al nostre sistema [production CRM], hi ha un robot de resposta que diu tota mena de frases, números... Aquí estem a partir d'aquelles paraules que ha gravat, va compondre frases més o menys significatives, bé, potser una mica tortes, per exemple, en un fitxer d'àudio tenim "No hi ha amics per ajudar-te".

Per exemple, vam representar l'adreça IP en codi binari i, de nou, utilitzant aquests números [pronunciats pel robot], vam afegir tota mena de sons aterridors. El vídeo el vam gravar nosaltres mateixos: al vídeo tenim un home assegut amb una caputxa negra i una màscara de Guy Fawkes, però en realitat no hi ha una persona, sinó tres, perquè dos estan al seu darrere i sostenen un "teló de fons" fet de Una manta :).

- Bé, estàs confós, per dir-ho sense embuts.

- Sí, ens hem incendiat. En general, primer vam elaborar les nostres especificacions tècniques i després vam redactar un esquema literari i lúdic sobre el que suposadament va passar. Segons l'escenari, els participants estaven caçant un grup de pirates informàtics anomenat "Veeamonymous". La idea també era que, per dir-ho, "trenquéssim la quarta paret", és a dir, traslladaríem els esdeveniments a la realitat; vam pintar amb un aerosol, per exemple.

Un dels angloparlants nadius del nostre departament ens va ajudar amb el processament literari del text.

- Espera, per què un parlant nadiu? Tu també ho has fet tot en anglès?!

— Sí, ho vam fer per a les oficines de Sant Petersburg i Bucarest, així que tot era en anglès.

Durant la primera experiència vam intentar que tot funcionés, de manera que el guió era lineal i bastant senzill. Hem afegit més entorns: textos secrets, codis, imatges.

També vam utilitzar memes: hi havia un munt d'imatges sobre temes d'investigació, ovnis, algunes històries de terror populars; alguns equips es van distreure amb això, intentant trobar-hi alguns missatges ocults, aplicar els seus coneixements d'esteganografia i altres coses... però, és clar, no hi havia res semblant.

Sobre les espines

Tanmateix, durant el procés de preparació, també ens hem enfrontat a reptes inesperats.

Vam lluitar molt amb ells i vam resoldre tota mena de problemes inesperats, i aproximadament una setmana abans de la recerca vam pensar que tot estava perdut.

Probablement val la pena explicar una mica sobre la base tècnica de la recerca.

Tot es va fer al nostre laboratori intern d'ESXi. Teníem 6 equips, és a dir, havíem d'assignar 6 grups de recursos. Així doncs, per a cada equip vam desplegar un grup independent amb les màquines virtuals necessàries (la mateixa IP). Però com que tot això es trobava en servidors que es troben a la mateixa xarxa, la configuració actual de les nostres VLAN no ens permetia aïllar màquines en grups diferents. I, per exemple, durant una prova d'execució, vam rebre situacions en què una màquina d'un grup es connectava a una màquina d'una altra.

—Com heu pogut corregir la situació?

— Al principi vam pensar durant molt de temps, vam provar tot tipus d'opcions amb permisos, vLAN separades per a màquines. Com a resultat, van fer això: cada equip només veu el servidor Veeam Backup, a través del qual es realitza tot el treball posterior, però no veu el subgrup ocult, que conté:

• diverses màquines Windows
• Servidor principal de Windows
• màquina Linux
• parell VTL (Biblioteca de cintes virtuals)

A tots els grups se'ls assigna un grup separat de ports al commutador vDS i la seva pròpia VLAN privada. Aquest doble aïllament és exactament el que es necessita per eliminar completament la possibilitat d'interacció amb la xarxa.

Sobre els valents

—Algú podria participar en la recerca? Com es van formar els equips?

— Aquesta va ser la nostra primera experiència de celebrar un esdeveniment d'aquest tipus, i les capacitats del nostre laboratori es limitaven a 6 equips.

En primer lloc, com ja he dit, vam fer una campanya de relacions públiques: mitjançant cartells i mailings vam anunciar que es faria una missió. Fins i tot teníem algunes pistes: les frases estaven xifrades en codi binari als mateixos pòsters. D'aquesta manera, vam aconseguir que la gent s'interessés, i la gent ja va arribar a acords entre ells, amb els amics, amb els amics i va cooperar. Com a resultat, va respondre més gent que no pas els grups, així que vam haver de fer una selecció: vam plantejar una tasca de prova senzilla i la vam enviar a tots els que van respondre. Era un problema de lògica que s'havia de resoldre ràpidament.

Es va permetre un equip de fins a 5 persones. No calia cap capità, la idea era la cooperació, la comunicació entre ells. Algú és fort, per exemple, a Linux, algú és fort en cintes (còpies de seguretat a cintes), i tothom, veient la tasca, podria invertir els seus esforços en la solució global. Tots es van comunicar entre ells i van trobar una solució.

—En quin moment va començar aquest esdeveniment? Teniu algun tipus d'"hora X"?

— Sí, teníem un dia estrictament marcat, el vam triar perquè hi hagués menys càrrega de treball al departament. Naturalment, els líders de l'equip van ser notificats per avançat que tals equips eren convidats a participar en la recerca, i calia donar-los algun alleujament [respecte a la càrrega] aquell dia. Semblava que havia d'arribar a final d'any, el 28 de desembre, divendres. Esperàvem que trigués unes 5 hores, però tots els equips ho van completar més ràpid.

— Tots estaven en igualtat de condicions, tots tenien les mateixes tasques a partir de casos reals?

— Bé, sí, cadascun dels compiladors va agafar algunes històries per experiència personal. Sabíem d'alguna cosa que això podria passar en realitat, i seria interessant que una persona "ho sentis", mirés i esbrinés. També van prendre algunes coses més específiques, per exemple, la recuperació de dades de cintes danyades. Alguns amb pistes, però la majoria dels equips ho van fer pel seu compte.

O calia utilitzar la màgia dels scripts ràpids; per exemple, teníem una història que una "bomba lògica" "esquinçava" un arxiu de diversos volums en carpetes aleatòries al llarg de l'arbre i calia recollir les dades. Podeu fer-ho manualment: trobar i copiar [fitxers] un per un, o podeu escriure un script amb una màscara.

En general, hem intentat adherir-nos al punt de vista que un problema es pot resoldre de diferents maneres. Per exemple, si tens una mica més d'experiència o vols confondre't, pots resoldre'l més ràpidament, però hi ha una manera directa de resoldre'l directament, però al mateix temps dedicaràs més temps al problema. És a dir, gairebé totes les tasques tenien diverses solucions, i era interessant quins camins escollirien els equips. Per tant, la no linealitat estava precisament en l'elecció de l'opció de solució.

Per cert, el problema de Linux va resultar ser el més difícil: només un equip el va resoldre de manera independent, sense cap pista.

—Podries agafar pistes? Com en una recerca real??

— Sí, es va poder agafar, perquè enteníem que les persones són diferents, i els que no tenen coneixements podrien entrar al mateix equip, així que per no endarrerir el pas i no perdre l'interès competitiu, vam decidir que donaria consells. Per fer-ho, cada equip va ser observat per una persona dels organitzadors. Bé, ens hem assegurat que ningú enganya.

Sobre les estrelles

— Hi havia premis per als guanyadors?

— Sí, hem intentat fer els premis més agradables tant per a tots els participants com per als guanyadors: els guanyadors han rebut dessuadores de disseny amb el logotip de Veeam i una frase xifrada en codi hexadecimal, negre). Tots els participants van rebre una màscara de Guy Fawkes i una bossa de marca amb el logotip i el mateix codi.

- És a dir, tot era com en una recerca real!

"Bé, volíem fer una cosa genial i adulta, i crec que ho hem aconseguit".

- Això és cert! Quina va ser la reacció final dels que van participar en aquesta recerca? Has assolit el teu objectiu?

- Sí, molts van venir després i van dir que veien clarament els seus punts febles i volien millorar-los. Algú va deixar de tenir por de certes tecnologies, per exemple, llançar blocs de cintes i intentar agafar alguna cosa allà... Algú es va adonar que necessitava millorar Linux, etc. Hem intentat donar un ventall bastant ampli de tasques, però no del tot trivials.

L'equip guanyador

"Qui vulgui, ho aconseguirà!"

— Va requerir molt d'esforç per part dels que van preparar la recerca?

- De fet sí. Però probablement això es va deure al fet que no teníem experiència en preparar aquestes missions, aquest tipus d'infraestructura. (Fem una reserva que aquesta no és la nostra infraestructura real, sinó que simplement havia de realitzar algunes funcions del joc.)

Va ser una experiència molt interessant per a nosaltres. Al principi vaig ser escèptic, perquè la idea em va semblar massa maca, vaig pensar que seria molt difícil d'implementar. Però vam començar a fer-ho, vam començar a llaurar, tot es va començar a incendiar i al final ho vam aconseguir. I fins i tot pràcticament no hi havia superposicions.

En total vam estar 3 mesos. En la seva majoria, vam plantejar un concepte i vam discutir què podríem implementar. En el procés, naturalment, algunes coses van canviar, perquè ens vam adonar que no teníem la capacitat tècnica per fer alguna cosa. Vam haver de refer alguna cosa pel camí, però de tal manera que no es trenqués tot el traç, la història i la lògica. Hem intentat no només donar una llista de tasques tècniques, sinó que encaixa en la història, perquè fos coherent i lògic. El treball principal es va dur a terme durant l'últim mes, és a dir, 3-4 setmanes abans del dia X.

— Aleshores, a més de la vostra activitat principal, heu dedicat temps a la preparació?

— Ho vam fer paral·lelament a la nostra feina principal, sí.

- Et demanen que tornis a fer això?

- Sí, tenim moltes peticions per repetir.

- I tu?

- Tenim noves idees, nous conceptes, volem atraure més gent i allargar-ho al llarg del temps, tant el procés de selecció com el procés de joc en si. En general, ens inspirem en el projecte "Cicada", podeu fer-lo a Google: és un tema informàtic molt interessant, gent d'arreu del món s'hi uneix, inicien fils a Reddit, als fòrums, utilitzen traduccions de codi, resolen enigmes. , i tot això.

— La idea va ser genial, només respecte per la idea i la implementació, perquè realment val molt la pena. Desitjo sincerament que no perdis aquesta inspiració i que tots els teus nous projectes també tinguin èxit. Gràcies!

— Sí, pots mirar un exemple d'una tasca que definitivament no reutilitzaràs?

"Sospito que no reutilitzarem cap d'ells". Per tant, us puc explicar el progrés de tota la recerca.

Bonus trackAl principi, els jugadors tenen el nom de la màquina virtual i les credencials de vCenter. Després d'haver iniciat sessió, veuen aquesta màquina, però no s'engega. Aquí heu d'endevinar que hi ha alguna cosa malament amb el fitxer .vmx. Un cop el descarreguen, veuen el missatge necessari per al segon pas. Essencialment, diu que la base de dades utilitzada per Veeam Backup & Replication està xifrada.
Després d'eliminar l'indicador, tornar a descarregar el fitxer .vmx i encendre la màquina correctament, veuen que un dels discs conté realment una base de dades xifrada en base64. En conseqüència, la tasca és desxifrar-lo i obtenir un servidor Veeam totalment funcional.

Una mica sobre la màquina virtual en què passa tot això. Com recordem, segons la trama, el personatge principal de la recerca és una persona força fosca i està fent una cosa que clarament no és gaire legal. Per tant, el seu ordinador de treball hauria de tenir una aparença completament semblant a un hacker, que hem hagut de crear, malgrat que és Windows. El primer que vam fer va ser afegir molts accessoris, com ara informació sobre els principals hacks, atacs DDoS i similars. Després van instal·lar tot el programari típic i van col·locar diversos abocadors, fitxers amb hash, etc. Tot és com a les pel·lícules. Entre altres coses, hi havia carpetes anomenades closed-case*** i open-case***
Per avançar més, els jugadors han de restaurar les pistes dels fitxers de còpia de seguretat.

Aquí cal dir que al principi els jugadors rebien força informació, i rebien la majoria de les dades (com ara IP, inicis de sessió i contrasenyes) durant el transcurs de la recerca, trobant pistes en còpies de seguretat o fitxers escampats a les màquines. . Inicialment, els fitxers de còpia de seguretat es troben al dipòsit de Linux, però la pròpia carpeta al servidor està muntada amb el senyalador noexec, de manera que l'agent responsable de la recuperació de fitxers no pot començar.

En arreglar el repositori, els participants tenen accés a tot el contingut i finalment poden restaurar qualsevol informació. Queda per entendre quin és. I per fer-ho, només cal estudiar els fitxers emmagatzemats en aquesta màquina, determinar quins d'ells estan "trencats" i què cal restaurar exactament.

En aquest punt, l'escenari s'allunya del coneixement general de TI a les funcions específiques de Veeam.

En aquest exemple concret (quan coneixeu el nom del fitxer, però no sabeu on cercar-lo), heu d'utilitzar la funció de cerca a Enterprise Manager, etc. Com a resultat, després de restaurar tota la cadena lògica, els jugadors tenen un altre inici de sessió/contrasenya i sortida nmap. Això els porta al servidor Windows Core i mitjançant RDP (perquè la vida no sembli mel).

La característica principal d'aquest servidor: amb l'ajuda d'un script senzill i diversos diccionaris, es va formar una estructura de carpetes i fitxers absolutament sense sentit. I quan inicieu sessió, rebeu un missatge de benvinguda com "Aquí ha explotat una bomba lògica, de manera que haureu de reunir les pistes per seguir passos".

La pista següent es va dividir en un arxiu de diversos volums (40-50 peces) i es va distribuir aleatòriament entre aquestes carpetes. La nostra idea era que els jugadors haurien de mostrar el seu talent en escriure scripts de PowerShell senzills per tal de reunir un arxiu de diversos volums amb una màscara coneguda i obtenir les dades necessàries. (Però va resultar com en aquella broma: alguns dels temes van resultar ser inusualment desenvolupats físicament.)

L'arxiu contenia una foto d'un casset (amb la inscripció "Last Supper - Best Moments"), que donava una pista de l'ús d'una biblioteca de cintes connectada, que contenia un casset amb un nom similar. Només hi havia un problema: va resultar tan inoperable que ni tan sols estava catalogat. Aquí és on probablement va començar la part més dura de la recerca. Hem esborrat la capçalera del casset, de manera que per recuperar-ne les dades, només cal que aboqueu els blocs "crues" i els reviseu en un editor hexadecimal per trobar els marcadors d'inici del fitxer.
Trobem el marcador, mirem el desplaçament, multipliquem el bloc per la seva mida, afegim el desplaçament i, amb l'eina interna, intentem recuperar el fitxer d'un bloc concret. Si tot està fet correctament i les matemàtiques estan d'acord, els jugadors tindran un fitxer .wav a les seves mans.

En ella, utilitzant un generador de veu, entre altres coses, es dicta un codi binari, que s'amplia a una altra IP.

Resulta que aquest és un nou servidor de Windows, on tot indica la necessitat d'utilitzar Wireshark, però no hi és. El truc principal és que hi ha dos sistemes instal·lats en aquesta màquina: només el disc del segon es desconnecta mitjançant el gestor de dispositius fora de línia i la cadena lògica comporta la necessitat de reiniciar. Aleshores resulta que, per defecte, hauria d'arrencar un sistema completament diferent, on hi ha instal·lat Wireshark. I tot aquest temps vam estar al sistema operatiu secundari.

No cal fer res especial aquí, només habiliteu la captura en una única interfície. Un examen relativament de prop de l'abocador revela un paquet clarament esquerrans enviat des de la màquina auxiliar a intervals regulars, que conté un enllaç a un vídeo de YouTube on es demana als jugadors que truquin a un número determinat. La primera persona que truca escoltarà les felicitacions pel primer lloc, la resta rebrà una invitació a recursos humans (broma)).

Per cert, estem oberts vacants per a enginyers de suport tècnic i aprenents. Benvinguts a l'equip!

Font: www.habr.com