Questu invernu, o megliu, in unu di i ghjorni trà u Natale cattolicu è l'annu novu, l'ingegneri di supportu tecnicu di Veeam eranu occupati cù travaglii inusual: cacciavanu un gruppu di pirate chjamati "Veeamonymous".
Ellu hà dettu cumu i picciotti stessi sò venuti cun è rializatu una vera ricerca in realità à u so travagliu, cù compiti "vicini à cumbattimentu" Kirill Stetsko, Ingegnere d'escalade.
- Perchè avete ancu principiatu questu?
- Circa a listessa manera chì a ghjente hè stata cun Linux in un tempu - solu per piacè, per u so propiu piacè.
Vulemu u muvimentu, è à u listessu tempu vulemu fà qualcosa d'utile, qualcosa di interessante. In più, era necessariu di dà qualchì sollievu emutivu à l'ingegneri da u so travagliu di ogni ghjornu.
- Quale hà suggeritu questu ? Di quale era l'idea ?
- L'idea era u nostru manager Katya Egorova, è dopu u cuncettu è tutte l'idee in più sò nati attraversu sforzi cumuni. In principiu avemu pensatu à fà un hackathon. Ma durante u sviluppu di u cuncettu, l'idea hà crisciutu in una ricerca dopu à tuttu, un ingegnere di supportu tecnicu hè un altru tipu d'attività di prugrammazione.
Allora, avemu chjamatu amici, camaradi, cunnisciuti, diverse persone ci anu aiutatu cù u cuncettu - una persona da T2 (a seconda linea di sustegnu hè nota di l'editore), una persona cù T3, un paru di persone da a squadra SWAT (squadra di risposta rapida per casi particularmente urgenti - nota di l'editore). Avemu tutti inseme, pusatu è pruvatu à cullà cù i travaglii per a nostra ricerca.
- Era assai inespettatu d'amparà tuttu questu, perchè, quant'è a so sapè, i meccanichi di ricerca sò generalmente elaborati da scrittori specialisti, vale à dì, ùn solu ùn avete trattatu di una cosa cusì cumplessa, ma ancu in relazione à u vostru travagliu. , à u vostru campu di attività prufessiunale.
- Iè, vulemu fà micca solu divertimentu, ma per "pump up" e cumpetenze tecniche di l'ingegneri. Unu di i travaglii in u nostru dipartimentu hè u scambiu di cunniscenze è furmazione, ma una tale ricerca hè una excelente opportunità per lascià a ghjente "toccu" alcune tecniche novi per elli vive.
- Cumu avete fattu i travaglii ?
- Avemu avutu una sessione di brainstorming. Avemu avutu un capiscenu chì duvemu fà qualchi testi tecnichi, è cusì chì seranu interessanti è à u stessu tempu portanu novi cunniscenze.
Per esempiu, avemu pensatu chì e persone anu da pruvà à sniffing trafficu, utilizendu editori hex, fà qualcosa per Linux, alcune cose un pocu più profonde in relazione à i nostri prudutti (Veeam Backup & Replication è altri).
U cuncettu era ancu una parte impurtante. Avemu decisu di custruisce nantu à u tema di i pirate, l'accessu anonimu è una atmosfera di sicretu. A mascara Guy Fawkes hè stata fatta in un simbulu, è u nome hè vinutu naturali - Veeamonymous.
"In principiu era a parolla"
Per suscitarà l'interessu, avemu decisu d'urganizà una campagna di PR in tema di ricerca prima di l'avvenimentu: avemu appiccicatu poster cù l'annunziu intornu à u nostru uffiziu. È uni pochi di ghjorni dopu, segretamente da tutti, li dipintavanu cù sprays è cuminciaru un "anatra", dicenu chì certi aggressori anu arruvinatu i manifesti, anu ancu attaccatu una foto cù una prova ....
- Allora l'avete fattu voi stessu, vale à dì a squadra di l'urganizatori ? !
- Iè, u venneri, versu 9 ore, quandu tutti eranu già partiti, andemu è tiravamu a lettera "V" in verde da i palloncini.) Parechji participanti in a ricerca ùn anu mai indovinatu quale l'hà fattu - a ghjente hè ghjunta à noi. è dumandò quale hà arruvinatu i manifesti ? Qualchissia hà pigliatu stu prublema assai seriu è hà realizatu una investigazione sana nantu à questu tema.
Per a ricerca, avemu ancu scrittu i fugliali audio, i soni "ripped out": per esempiu, quandu un ingegnere accede à u nostru sistema [produzione CRM], ci hè un robot di risposta chì dice ogni tipu di frasi, numeri ... da quelle parolle chì hà arregistratu, cumpostu frasi più o menu significati, bè, forse un pocu stortu - per esempiu, avemu avutu "Nisun amici per aiutà" in un schedariu audio.
Per esempiu, avemu rapprisintatu l'indirizzu IP in codice binariu, è dinò, usendu questi numeri [pronunciatu da u robot], aghjunghjemu ogni tipu di soni spaventosi. Avemu filmatu u video noi stessi: in u video avemu un omu à pusà in un cappucciu neru è una maschera di Guy Fawkes, ma in realtà ùn ci hè micca una persona, ma trè, perchè dui sò stati daretu à ellu è tenendu un "fondu" fattu di una coperta :).
- Ebbè, site cunfusu, per dì ch’ellu ci hè.
- Iè, avemu pigliatu u focu. In generale, avemu prima ghjuntu cù e nostre specificazioni tecniche, è dopu cumponemu un schema literariu è ghjucatu nantu à u tema di ciò chì presuntamente hè accadutu. Sicondu u scenariu, i participanti anu cacciatu un gruppu di pirate chjamati "Veeamonymous". L'idea era ancu chì, per esse, "rompe u 4 muru", vale à dì, trasferemu l'avvenimenti in a realità - avemu dipintu da un spray can, per esempiu.
Unu di i parlanti nativi inglesi da u nostru dipartimentu ci hà aiutatu cù u prucessu literariu di u testu.
- Aspetta, perchè un parlante nativu ? Avete fattu tuttu ancu in inglese ?!
- Iè, avemu fattu per l'uffizii di San Petruburgu è Bucarest, cusì tuttu era in inglese.
Per a prima sperienza avemu pruvatu à fà tuttu u travagliu solu, cusì u script era lineale è abbastanza simplice. Avemu aghjustatu più ambienti: testi secreti, codici, ritratti.
Avemu ancu utilizatu memes: ci era una mansa di ritratti nantu à i temi di investigazioni, UFO, alcune storie di horror populari - alcune squadre sò state distratte da questu, circannu di truvà qualchi messagi nascosti quì, applicà a so cunniscenza di steganografia è altre cose... ma, sicuru, ùn ci era nunda di cusì.
À propositu di spine
Tuttavia, durante u prucessu di preparazione, avemu ancu affruntatu sfide inespettate.
Avemu luttatu assai cun elli è risolviu ogni tipu di prublemi inaspettati, è circa una settimana prima di a ricerca avemu pensatu chì tuttu era persu.
Hè prubabilmente vale a pena dì un pocu di a basa tecnica di a ricerca.
Tuttu hè statu fattu in u nostru laboratoriu internu ESXi. Avemu avutu 6 squadre, chì significa chì duvemu attribuisce 6 pools di risorse. Dunque, per ogni squadra avemu implementatu una piscina separata cù e macchine virtuali necessarie (stessa IP). Ma postu chì tuttu questu era situatu nantu à i servitori chì sò in a listessa reta, a cunfigurazione attuale di i nostri VLAN ùn ci hà micca permessu di isolà e macchine in diverse piscine. È, per esempiu, durante un test run, avemu ricevutu situazioni induve una macchina da una piscina cunnessa à una macchina da un altru.
- Cumu avete pussutu curregà a situazione ?
- Prima avemu pensatu per un bellu pezzu, pruvatu ogni tipu d'opzioni cù permessi, vLAN separati per e macchine. In u risultatu, anu fattu questu - ogni squadra vede solu u servitore Veeam Backup, attraversu quale tutti i travaglii successivi sò fatti, ma ùn vede micca u subpool oculatu, chì cuntene:
- parechje macchine Windows
- Servitore core di Windows
- macchina Linux
- coppia VTL (Biblioteca Virtuale di Nastri)
Tutte e piscine sò assignati un gruppu separatu di porti nantu à u switch vDS è u so propiu VLAN Privatu. Stu doppiu isolamentu hè esattamente ciò chì hè necessariu per eliminà cumplettamente a pussibilità di l'interazzione di a rete.
À propositu di i bravi
- Qualchissia puderia participà à a ricerca ? Cumu sò state formate e squadre ?
- Questa era a nostra prima sperienza di organizà un tali avvenimentu, è e capacità di u nostru laboratoriu eranu limitate à 6 squadre.
Prima, cum'è l'aghju digià dettu, avemu realizatu una campagna di PR: usendu posters è mailings, avemu annunziatu chì una ricerca seria fatta. Avemu ancu avutu qualchi indizi - e frasi sò stati criptati in codice binariu nantu à i cartelli stessi. In questu modu, avemu avutu a ghjente interessata, è a ghjente hà digià righjuntu accordu trà elli, cù l'amichi, cù l'amichi, è hà cooperatu. In u risultatu, più persone rispundenu chè avemu avutu piscine, cusì avemu avutu à fà una selezzione: avemu ghjuntu cù un compitu di teste simplice è mandatu à tutti quelli chì anu rispostu. Era un prublema di logica chì avia da esse risolta rapidamente.
Una squadra hè stata permessa finu à 5 persone. Ùn ci era micca bisognu di un capitanu, l'idea era a cooperazione, a cumunicazione cù l'altri. Qualchissia hè forte, per esempiu, in Linux, qualchissia hè forte in tapes (backups to tapes), è tutti, videndu u compitu, puderanu investisce i so sforzi in a suluzione generale. Ognunu hà cumunicatu cù l'altri è truvaru una suluzione.
- À chì puntu hè principiatu stu avvenimentu ? Avete avutu qualchì tipu di "ora X"?
- Iè, avemu avutu un ghjornu strettu designatu, l'avemu sceltu per ch'ellu ci era menu di travagliu in u dipartimentu. Naturalmente, i dirigenti di a squadra sò stati avvisati in anticipu chì tali squadre sò state invitate à participà à a ricerca, è avianu bisognu di dà un pocu di sollievu [riguardu à a carica] in quellu ghjornu. Paria chì duveria esse a fine di l'annu, u 28 di dicembre, u venneri. Avemu aspittatu chì duverebbe circa 5 ore, ma tutte e squadre l'hanu cumpletu più veloce.
— Eranu tutti in uguali, tutti avianu u listessu compitu basatu annantu à casi veri ?
- Ebbè, sì, ognunu di i compilatori hà pigliatu qualchi storii da a sperienza persunale. Sapemu qualcosa chì questu puderia succorsu in a realità, è saria interessante per una persona per "sentite", fighjà, è capisce. Anu ancu pigliatu parechje cose più specifiche - per esempiu, a ricuperazione di dati da cassette dannuti. Qualchidunu furnì suggerimenti, ma a maiò parte di e squadre l'anu fattu per sè stessu.
O era necessariu d'utilizà a magia di scripts rapidi - per esempiu, avemu avutu una storia chì una "bomba logica" "strappava" un archiviu multi-volume in cartulare aleatoriu longu à l'arbulu, è era necessariu di cullà i dati. Pudete fà questu manualmente - truvate è copià [fichi] unu per unu, o pudete scrive un script cù una maschera.
In generale, avemu pruvatu à aderisce à u puntu di vista chì un prublema pò esse risolta in diverse manere. Per esempiu, sè vo site un pocu più espertu o vulete cunfundà, allura pudete risolve più veloce, ma ci hè un modu direttu per risolve u capu - ma à u stessu tempu vi passà più tempu nantu à u prublema. Vale à dì, quasi ogni compitu avia parechje suluzioni, è era interessante chì percorsi i squadre sceglienu. Allora a non-linearità era precisamente in a scelta di l'opzione di suluzione.
In modu, u prublema Linux hè diventatu u più difficiuli - solu una squadra hà risoltu in modu indipendenti, senza alcunu suggerimentu.
- Pudete piglià suggerimenti ? Cum'è in una vera ricerca ??
- Iè, era pussibule di piglià, perchè avemu capitu chì e persone sò diverse, è quelli chì mancanu di cunniscenze puderanu entre in a listessa squadra, cusì per ùn ritardà u passaghju è per ùn perde l'interessu cumpetitivu, avemu decisu chì avemu avissi cunsiglii. Per fà questu, ogni squadra hè stata osservata da una persona da l'urganizatori. Ebbè, avemu assicuratu chì nimu hà ingannatu.
À propositu di e stelle
— Ci sò stati premii per i vincitori ?
- Iè, avemu pruvatu à fà i premii più piacevuli per tutti i participanti è per i vincitori: i vincitori anu ricivutu sweatshirts di designer cù u logu Veeam è una frase criptata in codice esadecimale, neru). Tutti i participanti anu ricivutu una maschera di Guy Fawkes è una borsa di marca cù u logò è u listessu codice.
- Hè, tuttu era cum'è in una vera ricerca !
"Bè, vuliamu fà una cosa fresca è adulta, è pensu chì avemu successu".
- Questu hè veru ! Chì era a reazione finale di quelli chì anu participatu à sta ricerca ? Avete rializatu u vostru scopu?
- Iè, parechji sò ghjunti dopu è dicenu chì anu vistu chjaramente i so punti debbuli è vulianu migliurà. Qualchissia hà cessatu di teme di certe tecnulugii - per esempiu, dumping blocchi da cassette è pruvà à catturà qualcosa quì... Qualchissia hà capitu chì avia bisognu di migliurà Linux, etc. Avemu pruvatu à dà una gamma abbastanza larga di travaglii, ma micca solu triviali.
A squadra vincitrice
"Quellu chì vole, l'aghjunghjerà!"
- Hè bisognu di assai sforzu da quelli chì preparanu a ricerca ?
- In fatti sì. Ma questu era più prubabile per u fattu chì ùn avemu micca avutu una sperienza in a preparazione di tali quests, stu tipu d'infrastruttura. (Femu una riservazione chì questa ùn hè micca a nostra vera infrastruttura - era solu suppostu di fà alcune funzioni di ghjocu).
Hè stata una sperienza assai interessante per noi. À u principiu era scetticu, perchè l'idea mi pareva troppu cool, pensu chì seria assai difficiuli di implementà. Ma avemu principiatu à fà, avemu cuminciatu à aratu, tuttu hà cuminciatu à piglià u focu, è à a fine avemu riesciutu. È ùn ci era ancu praticamente micca sovrapposizioni.
In totale avemu passatu 3 mesi. Per a maiò parte, avemu ghjuntu cun un cuncettu è discutemu ciò chì pudemu implementà. In u prucessu, naturalmente, alcune cose cambiatu, perchè avemu capitu chì ùn avemu micca a capacità tecnica di fà qualcosa. Avemu avutu à ripiglià qualcosa in u caminu, ma in tale manera chì tuttu u contornu, a storia è a logica ùn si rompe. Pruvamu micca solu per dà una lista di i travaglii tecnichi, ma per fà si mette in a storia, perchè era coherente è logica. U travagliu principale hè stata per l'ultimu mese, vale à dì 3-4 settimane prima di u ghjornu X.
— Allora, in più di a vostra attività principale, avete attribuitu tempu per a preparazione ?
- Avemu fattu questu in parallelu cù u nostru travagliu principale, iè.
- Vi dumandate di fà questu novu ?
- Iè, avemu parechje dumande à ripetiri.
- È tù?
- Avemu idee novi, cuncetti novi, vulemu attruverà più persone è stende in u tempu - sia u prucessu di selezzione è u prucessu di ghjocu stessu. In generale, simu inspirati da u prughjettu "Cicada", pudete google - hè un tema IT assai cool, e persone di tuttu u mondu s'uniscenu quì, cumincianu fili in Reddit, in fori, usanu traduzzioni di codice, risolve l'enigmi. , è tuttu ciò.
- L'idea era grande, solu rispettu per l'idea è l'implementazione, perchè vale veramente assai. Vulendu sinceramente chì ùn perde micca sta ispirazione è chì tutti i vostri novi prughjetti anu ancu successu. Grazie!
- Iè, pudete guardà un esempiu di un compitu chì certamenti ùn riutilizzerete micca?
"Suspetta chì ùn avemu micca riutilizà alcunu di elli". Dunque, vi possu cuntà u prugressu di tutta a ricerca.
Bonus trackÀ u principiu, i ghjucatori anu u nome di a macchina virtuale è e credenziali da vCenter. Dopu avè cunnessu in questu, vedenu sta macchina, ma ùn principia micca. Quì avete bisognu di guessà chì qualcosa hè sbagliatu cù u schedariu .vmx. Una volta scaricatu, vedenu u promptatu necessariu per u sicondu passu. Essenzialmente, dice chì a basa di dati utilizata da Veeam Backup & Replication hè criptata.
Dopu avè sguassatu l'invitu, scaricate u schedariu .vmx è accende cù successu a macchina, vedenu chì unu di i dischi cuntene veramente una basa di dati criptata base64. Per quessa, u compitu hè di decifrallu è uttene un servitore Veeam cumplettamente funzionale.
Un pocu nantu à a macchina virtuale nantu à quale tuttu questu succede. Cumu ricurdamu, secondu a trama, u caratteru principale di a ricerca hè una persona piuttostu scura è face qualcosa chì ùn hè chjaramente micca assai legale. Per quessa, u so urdinatore di u travagliu deve avè un aspettu cum'è pirate, chì avemu avutu à creà, malgradu u fattu chì hè Windows. A prima cosa chì avemu fattu era aghjunghje assai prupietarii, cum'è infurmazione nantu à i pirate maiò, attacchi DDoS, è simili. Allora stallanu tuttu u software tipicu è pusonu diversi dumps, schedarii cù hashes, etc. in ogni locu. Tuttu hè cum'è in i filmi. Frà l'altri cose, ci eranu cartulare chjamati closed-case*** è open-case***
Per prugressà più, i ghjucatori anu bisognu di restaurà suggerimenti da i fugliali di salvezza.
Quì ci vole à dì chì, à u principiu, i ghjucatori sò stati datu un pocu di infurmazioni, è anu ricevutu a maiò parte di e dati (cum'è IP, logins è password) durante u cursu di a ricerca, truvendu indizi in backups o fugliali spargugliati nantu à i machini. . Inizialmente, i schedarii di salvezza sò situati in u repository Linux, ma u cartulare stessu nantu à u servitore hè muntatu cù a bandiera. noexec, cusì l'agente rispunsevule per a ricuperazione di u schedariu ùn pò micca inizià.
Fixendu u repository, i participanti accede à tuttu u cuntenutu è ponu infine restaurà ogni infurmazione. Resta da capisce quale hè. È per fà questu, solu bisognu di studià i fugliali guardati in sta macchina, determinà quale di elli sò "rottu" è ciò chì esattamente deve esse restauratu.
À questu puntu, u scenariu si allunta da a cunniscenza generale di l'informatica à e caratteristiche specifiche di Veeam.
In questu esempiu particulari (quandu sapete u nome di u schedariu, ma ùn sanu micca induve circà), avete bisognu di utilizà a funzione di ricerca in Enterprise Manager, è cusì. In u risultatu, dopu a restaurazione di tutta a catena logica, i ghjucatori anu un altru login / password è nmap output. Questu li porta à u servitore Windows Core, è via RDP (per chì a vita ùn pare micca meli).
A funzione principale di stu servitore: cù l'aiutu di un script simplice è parechji dizziunarii, hè stata furmata una struttura assolutamente senza significatu di cartulare è schedarii. È quandu accede, riceve un missaghju di benvenutu cum'è "Una bomba logica hè esplosa quì, cusì duverete riunisce l'indici per ulteriori passi".
L'indicazione chì seguita hè stata divisa in un archiviu multi-volume (40-50 pezzi) è distribuitu aleatoriamente trà questi cartulare. A nostra idea era chì i ghjucatori duveranu dimustrà i so talenti in scrittura di script PowerShell simplici per cullà un archiviu multi-volume utilizendu una maschera ben cunnisciuta è uttene i dati necessarii. (Ma resultò cum'è in quellu scherzu - alcuni di i sugetti sò stati sviluppati fisicamente inusualmente).
L'archiviu cuntene una foto di una cassette (cù l'inscription "Last Supper - Best Moments"), chì hà datu un suggerimentu di l'usu di una biblioteca di cinta cunnessa, chì cuntene una cassette cù un nome simili. Ci era solu un prublema - hè diventatu cusì inoperabile chì ùn era ancu catalogatu. Hè quì chì probabilmente a parte più dura di a ricerca principia. Avemu sguassatu l'intestazione da a cassetta, cusì per ricuperà e dati da questu, avete solu dumpà i blocchi "crudi" è guardà à traversu in un editore hex per truvà marcatori di iniziu di file.
Truvemu u marcatore, fighjate à l'offset, multiplicà u bloccu da a so dimensione, aghjunghje l'offset è, cù l'uttellu internu, pruvate à ricuperà u schedariu da un bloccu specificu. Sè tuttu hè fattu bè è a matematica accunsente, allura i sunatura hannu un schedariu .wav in e so mani.
In questu, utilizendu un generatore di voce, frà altri cose, un codice binariu hè dictatu, chì hè allargatu in un altru IP.
Questu, risulta, hè un novu servitore Windows, induve tuttu suggerisce a necessità di utilizà Wireshark, ma ùn hè micca quì. U truccu principale hè chì ci sò dui sistemi installati nantu à sta macchina - solu u discu da u sicondu hè disconnected through the device manager offline, è a catena logica porta à a necessità di reboot. Allora risulta chì per automaticamente un sistema completamente diversu, induve Wireshark hè stallatu, duverebbe boot. È tuttu stu tempu eramu nantu à u OS secundariu.
Ùn ci hè bisognu di fà qualcosa di speciale quì, basta à attivà a cattura in una sola interfaccia. Un esame relativamente strettu di u dump palesa un pacchettu chjaramente a manca mandatu da a macchina ausiliaria à intervalli regulari, chì cuntene un ligame à un video di YouTube induve i ghjucatori sò dumandati à chjamà un certu numaru. U primu chjamante senterà felicità in u primu locu, u restu riceverà un invitu à HR (scherzu)).
Per via, simu aperti per ingegneri di supportu tecnicu è trainees. Benvenuti à a squadra !
Source: www.habr.com