ProHoster > Блог > interretaj novaĵoj > Ciberserĉo de la teknika subtena teamo de Veeam

Ciberserĉo de la teknika subtena teamo de Veeam

Ĉi-vintre, aŭ pli ĝuste, en unu el la tagoj inter katolika Kristnasko kaj Novjaro, la teknikaj subtenaj inĝenieroj de Veeam estis okupataj de nekutimaj taskoj: ili ĉasis grupon de piratoj nomitaj "Veeamonymous".

Ciberserĉo de la teknika subtena teamo de Veeam

Li rakontis kiel la uloj mem elpensis kaj efektivigis veran serĉon en realeco ĉe sia laboro, kun taskoj "proksimaj al batalo" Kirill Stetsko, Escalada Inĝeniero.

- Kial vi eĉ komencis ĉi tion?

- Proksimume same kiel homoj iam elpensis Linukso - nur por amuzo, por sia propra plezuro.

Ni volis movon, kaj samtempe ni volis fari ion utilan, ion interesan. Plie estis necese doni iom da emocia trankviliĝo al la inĝenieroj de ilia ĉiutaga laboro.

- Kiu sugestis ĉi tion? Kies ideo estis?

— La ideo estis nia administranto Katja Egorova, kaj tiam la koncepto kaj ĉiuj pluaj ideoj naskiĝis per komuna klopodo. Komence ni pensis fari hakatonon. Sed dum la evoluo de la koncepto, la ideo kreskis en serĉon; post ĉio, teknika subtena inĝeniero estas malsama speco de agado ol programado.

Do, ni vokis amikojn, kamaradojn, konatojn, malsamaj homoj helpis nin kun la koncepto - unu persono de T2 (la dua linio de subteno estas noto de la redaktoro), unu persono kun T3, kelkaj homoj de la SWAT-teamo (rapida responda teamo por precipe urĝaj kazoj - noto de la redaktoro). Ni ĉiuj kunvenis, sidiĝis kaj provis elpensi taskojn por nia serĉo.

— Estis tre neatendite ekscii pri ĉio ĉi, ĉar, laŭ mia scio, serĉmekanikojn kutime ellaboras fakaj manuskriptistoj, tio estas, vi ne nur traktis tiel kompleksan aferon, sed ankaŭ rilate al via laboro. , al via profesia agadkampo.

— Jes, ni volis fari ĝin ne nur distraĵo, sed "pumpi" la teknikajn kapablojn de inĝenieroj. Unu el la taskoj en nia fako estas la interŝanĝo de scio kaj trejnado, sed tia serĉo estas bonega ŝanco lasi homojn "tuŝi" kelkajn novajn teknikojn por ili vivi.

— Kiel vi elpensis taskojn?

— Ni havis cerbuman sesion. Ni komprenis, ke ni devas fari kelkajn teknikajn testojn, kaj tiajn, ke ili estu interesaj kaj samtempe alportu novajn sciojn.
Ekzemple, ni pensis, ke homoj provu flari trafikon, uzi deksajn redaktilojn, fari ion por Linukso, iom pli profundajn aferojn rilatajn al niaj produktoj (Veeam Backup & Replication kaj aliaj).

La koncepto ankaŭ estis grava parto. Ni decidis konstrui sur la temo de hackers, anonima aliro kaj atmosfero de sekreteco. La Guy Fawkes-masko fariĝis simbolo, kaj la nomo venis nature - Veeamonymous.

"En la komenco estis la vorto"

Por veki intereson, ni decidis organizi serĉteman PR-kampanjon antaŭ la evento: ni pendigis afiŝojn kun la anonco ĉirkaŭ nia oficejo. Kaj kelkajn tagojn poste, sekrete de ĉiuj, ili pentris ilin per ŝprucujoj kaj komencis "anason", oni diras, ke iuj atakantoj ruinigis la afiŝojn, ili eĉ kunmetis foton kun pruvo....

- Do vi mem faris tion, tio estas la teamo de organizantoj?!

— Jes, vendrede, ĉirkaŭ la 9-a, kiam ĉiuj jam foriris, ni iris kaj desegnis verde el balonoj la literon “V”.) Multaj partoprenantoj en la serĉado neniam divenis, kiu faris ĝin – homoj venis al ni. kaj demandis, kiu ruinigis la afiŝojn? Iu prenis ĉi tiun aferon tre serioze kaj faris tutan esploron pri ĉi tiu temo.

Por la serĉo, ni ankaŭ verkis sondosierojn, "elŝiritajn" sonojn: ekzemple, kiam inĝeniero ensalutas en nia [produktada CRM] sistemo, estas responda roboto kiu diras ĉiajn frazojn, nombrojn... Jen ni estas. el tiuj vortoj, kiujn li registris, komponis pli-malpli signifoplenajn frazojn, nu, eble iom malrektaj - ekzemple, ni ricevis "Neniu amikoj por helpi vin" en sondosiero.

Ekzemple, ni reprezentis la IP-adreson en binara kodo, kaj denove, uzante ĉi tiujn nombrojn [prononcitajn de la roboto], ni aldonis ĉiajn timigajn sonojn. Ni mem filmis la filmeton: en la video ni havas viron sidantan en nigra kapuĉo kaj masko de Guy Fawkes, sed fakte estas ne unu persono, sed tri, ĉar du staras malantaŭ li kaj tenas "fonon" el litkovrilo :).

- Nu, vi estas konfuzita, por diri malakre.

- Jes, ni ekbrulis. Ĝenerale, ni unue elpensis niajn teknikajn specifojn, kaj poste verkis literaturan kaj ludeman skizon pri la temo de tio, kio supozeble okazis. Laŭ la scenaro, la partoprenantoj ĉasis grupon de piratoj nomitaj "Veeamonymous". La ideo ankaŭ estis, ke ni kvazaŭ "rompus la 4-an muron", tio estas, ni transdonos eventojn en realecon - ni pentris el sprayujo, ekzemple.

Unu el la denaskaj anglalingvanoj el nia fako helpis nin pri la literatura prilaborado de la teksto.

- Atendu, kial denaska parolanto? Ĉu vi faris ĉion ankaŭ en la angla?!

— Jes, ni faris ĝin por la oficejoj de Sankt-Peterburgo kaj Bukareŝto, do ĉio estis en la angla.

Por la unua sperto ni provis igi ĉion simple funkcii, do la skripto estis lineara kaj sufiĉe simpla. Ni aldonis pli da ĉirkaŭaĵoj: sekretaj tekstoj, kodoj, bildoj.

Ciberserĉo de la teknika subtena teamo de Veeam

Ni ankaŭ uzis memeojn: estis amaso da bildoj pri la temoj de esploroj, nifoj, kelkaj popularaj teruraj rakontoj - kelkaj teamoj estis distritaj pro tio, provante trovi kelkajn kaŝitajn mesaĝojn tie, apliki sian scion pri steganografio kaj aliaj aferoj... sed, kompreneble, estis nenio tia.

Pri dornoj

Tamen, dum la prepara procezo, ni ankaŭ alfrontis neatenditajn defiojn.

Ni multe luktis kun ili kaj solvis ĉiajn neatenditajn problemojn, kaj ĉirkaŭ semajnon antaŭ la serĉo ni pensis, ke ĉio estas perdita.

Verŝajne indas rakonti iomete pri la teknika bazo de la serĉo.

Ĉio estis farita en nia interna ESXi-laboratorio. Ni havis 6 teamojn, kio signifas, ke ni devis asigni 6 rimedojn. Do, por ĉiu teamo ni deplojis apartan naĝejon kun la necesaj virtualaj maŝinoj (sama IP). Sed ĉar ĉio ĉi situis sur serviloj kiuj estas en la sama reto, la nuna agordo de niaj VLAN-oj ne permesis al ni izoli maŝinojn en malsamaj naĝejoj. Kaj, ekzemple, dum provkuro, ni ricevis situaciojn kie maŝino de unu naĝejo konektita al maŝino de alia.

— Kiel vi povis korekti la situacion?

— Komence ni longe pensis, provis ĉiajn opciojn kun permesoj, apartajn vLANojn por maŝinoj. Kiel rezulto, ili faris tion - ĉiu teamo vidas nur la Veeam Backup-servilon, per kiu ĉiu plua laboro okazas, sed ne vidas la kaŝitan subpoolon, kiu enhavas:

  • pluraj Vindozaj maŝinoj
  • Windows kerna servilo
  • Linuksa maŝino
  • paro VTL (Virtuala Bendbiblioteko)

Ĉiuj naĝejoj ricevas apartan grupon de havenoj sur la vDS-ŝaltilo kaj sia propra Privata VLAN. Ĉi tiu duobla izolado estas ĝuste tio, kio necesas por tute forigi la eblecon de reto-interago.

Pri la kuraĝuloj

— Ĉu iu povus partopreni la serĉadon? Kiel formiĝis la teamoj?

— Ĉi tio estis nia unua sperto okazigi tian eventon, kaj la kapabloj de nia laboratorio estis limigitaj al 6 teamoj.

Unue, kiel mi jam diris, ni faris PR-kampanjon: uzante afiŝojn kaj poŝtaĵojn, ni anoncis, ke serĉado okazos. Ni eĉ havis kelkajn indicojn - frazoj estis ĉifritaj en binara kodo sur la afiŝoj mem. Tiamaniere ni interesigis homojn, kaj homoj jam atingis interkonsentojn inter si, kun amikoj, kun amikoj, kaj kunlaboris. Kiel rezulto, pli da homoj respondis ol ni havis naĝejojn, do ni devis fari elekton: ni elpensis simplan testtaskon kaj sendis ĝin al ĉiuj kiuj respondis. Ĝi estis logika problemo, kiu devis esti solvita rapide.

Teamo estis permesita ĝis 5 homoj. Ne necesis kapitano, la ideo estis kunlaboro, komunikado inter si. Iu estas forta, ekzemple, en Linukso, iu estas forta en glubendoj (sekurkopioj al glubendoj), kaj ĉiuj, vidante la taskon, povus investi siajn klopodojn en la ĝenerala solvo. Ĉiuj komunikis inter si kaj trovis solvon.

Ciberserĉo de la teknika subtena teamo de Veeam

— Je kiu punkto komenciĝis ĉi tiu evento? Ĉu vi havis ian "horon X"?

— Jes, ni havis strikte difinitan tagon, ni elektis ĝin por ke estu malpli da laborŝarĝo en la fako. Nature, la teamgvidantoj estis sciigitaj anticipe ke tiaj kaj tiaj teamoj estis invititaj por partopreni la serĉon, kaj ili devis ricevi iom da krizhelpo [rilate al ŝarĝo] en tiu tago. Ŝajnis, ke ĝi devus esti la fino de la jaro, la 28-an de decembro, vendredo. Ni atendis, ke ĝi daŭris ĉirkaŭ 5 horojn, sed ĉiuj teamoj kompletigis ĝin pli rapide.

— Ĉu ĉiuj estis sur egala bazo, ĉu ĉiuj havis la samajn taskojn bazitajn sur realaj kazoj?

— Nu, jes, ĉiu el la kompilintoj prenis kelkajn rakontojn el persona sperto. Ni sciis pri io, ke tio povus okazi reale, kaj estus interese por homo "senti" ĝin, rigardi kaj eltrovi ĝin. Ili ankaŭ prenis kelkajn pli specifajn aferojn - ekzemple, datumreakiro de difektitaj bendoj. Kelkaj kun sugestoj, sed la plej multaj el la teamoj faris ĝin memstare.

Aŭ necesis uzi la magion de rapidaj skriptoj - ekzemple, ni havis rakonton, ke iu "logika bombo" "ŝiris" multvoluman arkivon en hazardajn dosierujojn laŭlonge de la arbo, kaj necesis kolekti la datumojn. Vi povas fari tion permane - trovi kaj kopii [dosierojn] unu post la alia, aŭ vi povas skribi skripton uzante maskon.

Ĝenerale, ni provis aliĝi al la vidpunkto, ke unu problemo povas esti solvita en malsamaj manieroj. Ekzemple, se vi estas iom pli sperta aŭ volas konfuziĝi, tiam vi povas solvi ĝin pli rapide, sed estas rekta maniero solvi ĝin rekte - sed samtempe vi pasigos pli da tempo pri la problemo. Tio estas, preskaŭ ĉiu tasko havis plurajn solvojn, kaj estis interese, kiujn vojojn la teamoj elektus. Do la nelineareco estis ĝuste en la elekto de solvopcio.

Cetere, la Linuksa problemo montriĝis la plej malfacila - nur unu teamo solvis ĝin sendepende, sen ajnaj sugestoj.

— Ĉu vi povus preni aludojn? Kiel en vera serĉo??

— Jes, eblis preni ĝin, ĉar ni komprenis, ke homoj estas malsamaj, kaj tiuj al kiuj mankas scioj povus eniri en la saman teamon, do por ne prokrasti la trairejon kaj ne perdi konkurencivan intereson, ni decidis, ke ni estus konsiletoj. Por fari tion, ĉiu teamo estis observita de persono el la organizantoj. Nu, ni zorgis, ke neniu trompu.

Ciberserĉo de la teknika subtena teamo de Veeam

Pri la steloj

— Ĉu estis premioj por la gajnintoj?

— Jes, ni provis fari la plej agrablajn premiojn kaj por ĉiuj partoprenantoj kaj por la gajnintoj: la gajnintoj ricevis dezajnajn ŝvitĉemizojn kun la emblemo de Veeam kaj frazo ĉifrita en deksesuma kodo, nigra). Ĉiuj partoprenantoj ricevis maskon de Guy Fawkes kaj markon kun la emblemo kaj la sama kodo.

- Tio estas, ĉio estis kvazaŭ en vera serĉo!

"Nu, ni volis fari bonegan, plenkreskan aferon, kaj mi pensas, ke ni sukcesis."

- Ĉi tio estas vera! Kio estis la fina reago de tiuj, kiuj partoprenis ĉi tiun serĉon? Ĉu vi atingis vian celon?

- Jes, multaj venis poste kaj diris, ke ili klare vidas siajn malfortajn punktojn kaj volas plibonigi ilin. Iu ĉesis timi certajn teknologiojn - ekzemple forĵeti blokojn el sonbendoj kaj provi ion tie kapti... Iu konstatis, ke li bezonas plibonigi Linukson, ktp. Ni provis doni sufiĉe vastan gamon da taskoj, sed ne tute bagatelajn.

Ciberserĉo de la teknika subtena teamo de Veeam
La gajnanta teamo

"Kiu volas, tiu atingos ĝin!"

— Ĉu ĝi postulis multe da peno de tiuj, kiuj preparis la serĉon?

- Fakte jes. Sed ĉi tio plej verŝajne estis pro la fakto, ke ni ne havis sperton pri preparado de tiaj serĉoj, ĉi tia infrastrukturo. (Ni faru rezervon, ke ĉi tio ne estas nia reala infrastrukturo - ĝi simple supozis plenumi kelkajn ludfunkciojn.)

Estis tre interesa sperto por ni. Komence mi estis skeptika, ĉar la ideo ŝajnis al mi tro malvarmeta, mi pensis, ke ĝi estos tre malfacile efektivigi. Sed ni komencis fari ĝin, ni komencis plugi, ĉio ekbrulis, kaj fine ni sukcesis. Kaj eĉ preskaŭ ne estis supermetaĵoj.

Entute ni pasigis 3 monatojn. Plejparte, ni elpensis koncepton kaj diskutis, kion ni povus efektivigi. En la procezo, nature, iuj aferoj ŝanĝiĝis, ĉar ni rimarkis, ke ni ne havas la teknikan kapablon fari ion. Ni devis refari ion survoje, sed tiel, ke la tuta skizo, historio kaj logiko ne rompiĝu. Ni provis ne nur doni liston de teknikaj taskoj, sed igi ĝin kongrui en la rakonto, por ke ĝi estu kohera kaj logika. La ĉefa laboro daŭris dum la lasta monato, tio estas, 3-4 semajnoj antaŭ la X-a tago.

— Do, krom via ĉefa agado, vi asignis tempon por preparo?

— Ni faris tion paralele kun nia ĉefa laboro, jes.

- Ĉu vi petas fari tion denove?

- Jes, ni havas multajn petojn por ripeti.

- Kaj vi?

- Ni havas novajn ideojn, novajn konceptojn, ni volas altiri pli da homoj kaj etendi ĝin laŭlonge de la tempo - kaj la elektprocezon kaj la ludprocezon mem. Ĝenerale, ni estas inspiritaj de la projekto "Cicada", vi povas Google ĝin - ĝi estas tre bonega IT-temo, homoj el la tuta mondo kuniĝas tie, ili komencas fadenojn en Reddit, en forumoj, ili uzas kodtradukojn, solvas enigmojn. , kaj ĉio tio.

— La ideo estis bonega, nur respekto al la ideo kaj efektivigo, ĉar ĝi vere multe valoras. Mi elkore deziras, ke vi ne perdu ĉi tiun inspiron kaj ke ĉiuj viaj novaj projektoj ankaŭ sukcesu. Dankon!

Ciberserĉo de la teknika subtena teamo de Veeam

— Jes, ĉu vi povas rigardi ekzemplon de tasko, kiun vi certe ne reuzos?

"Mi suspektas, ke ni reuzos neniun el ili." Tial mi povas rakonti al vi pri la progreso de la tuta serĉo.

BonustrakoĈe la komenco, ludantoj havas la nomon de la virtuala maŝino kaj akreditaĵojn de vCenter. Ensalutinte en ĝi, ili vidas ĉi tiun maŝinon, sed ĝi ne komenciĝas. Ĉi tie vi devas konjekti, ke io estas malĝusta kun la .vmx-dosiero. Post kiam ili elŝutas ĝin, ili vidas la instigon necesan por la dua paŝo. Esence, ĝi diras, ke la datumbazo uzata de Veeam Backup & Replication estas ĉifrita.
Post forigi la prompton, elŝuti la .vmx-dosieron reen kaj sukcese ŝalti la maŝinon, ili vidas, ke unu el la diskoj efektive enhavas base64 ĉifritan datumbazon. Sekve, la tasko estas deĉifri ĝin kaj akiri plene funkcian Veeam-servilon.

Iom pri la virtuala maŝino, sur kiu ĉio ĉi okazas. Kiel ni memoras, laŭ la intrigo, la ĉeffiguro de la serĉo estas sufiĉe malhela persono kaj faras ion, kio klare ne estas tre laŭleĝa. Tial lia laborkomputilo havu tute hakersimilan aspekton, kiun ni devis krei, malgraŭ tio, ke ĝi estas Vindozo. La unua afero, kiun ni faris, estis aldoni multajn apogojn, kiel informojn pri gravaj hakoj, DDoS-atakoj kaj similaj. Poste ili instalis la tutan tipan programaron kaj metis ĉie diversajn rubejojn, dosierojn kun haŝiŝoj ktp. Ĉio estas kiel en la filmoj. Interalie, estis dosierujoj nomitaj fermita majuskla*** kaj malfermita majuskla***
Por progresi plu, ludantoj devas restarigi sugestojn el rezervaj dosieroj.

Ĉi tie oni devas diri, ke komence la ludantoj ricevis sufiĉe da informoj, kaj ili ricevis la plej multajn datumojn (kiel IP, ensalutojn kaj pasvortojn) dum la serĉado, trovante indicojn en sekurkopioj aŭ dosieroj disigitaj sur maŝinoj. . Komence, la rezerva dosieroj situas sur la deponejo Linukso, sed la dosierujo mem sur la servilo estas muntita kun la flago noexec, do la agento respondeca por dosierreakiro ne povas komenci.

Riparante la deponejon, partoprenantoj akiras aliron al ĉiu enhavo kaj povas finfine restarigi ajnan informon. Restas kompreni, kiu ĝi estas. Kaj por fari tion, ili nur bezonas studi la dosierojn konservitajn en ĉi tiu maŝino, determini kiuj el ili estas "rompitaj" kaj kio ĝuste devas esti restaŭrita.

Je ĉi tiu punkto, la scenaro ŝanĝiĝas for de ĝenerala IT-scio al specifaj trajtoj de Veeam.

En ĉi tiu aparta ekzemplo (kiam vi scias la dosiernomon, sed ne scias kie serĉi ĝin), vi devas uzi la serĉfunkcion en Enterprise Manager, ktp. Kiel rezulto, post restarigo de la tuta logika ĉeno, la ludantoj havas alian ensaluton/pasvorton kaj nmap-produktaĵon. Ĉi tio alportas ilin al la Windows Core-servilo, kaj per RDP (por ke la vivo ne ŝajnu mielo).

La ĉefa trajto de ĉi tiu servilo: helpe de simpla skripto kaj pluraj vortaroj formiĝis absolute sensignifa strukturo de dosierujoj kaj dosieroj. Kaj kiam vi ensalutas, vi ricevas bonvenan mesaĝon kiel "Logika bombo eksplodis ĉi tie, do vi devos kunmeti la indicojn por pliaj paŝoj."

La sekva indico estis dividita en plurvoluma arkivo (40-50 pecoj) kaj hazarde disdonita inter tiuj dosierujoj. Nia ideo estis, ke ludantoj montru sian talenton skribante simplajn PowerShell-skriptojn por kunmeti plurvoluman arkivon uzante konatan maskon kaj akiri la bezonatajn datumojn. (Sed ĝi rezultis kiel en tiu ŝerco - kelkaj el la temoj montriĝis nekutime fizike evoluintaj.)

La arkivo enhavis foton de kasedo (kun la surskribo "Lasta Vespermanĝo - Plej bonaj Momentoj"), kiu donis aludon pri la uzo de kunligita kasedo, kiu enhavis kasedon kun simila nomo. Estis nur unu problemo - ĝi montriĝis tiel nefunkciebla, ke ĝi eĉ ne estis katalogita. Ĉi tie verŝajne komenciĝis la plej malmola parto de la serĉo. Ni viŝis la kaplinion de la kasedo, do por reakiri datumojn de ĝi, vi nur bezonas forĵeti la "krudajn" blokojn kaj trarigardi ilin en heksredaktilo por trovi dosierkomencmarkojn.
Ni trovas la markilon, rigardas la ofseton, multobligu la blokon per ĝia grandeco, aldonu la ofseton kaj, uzante la internan ilon, provas reakiri la dosieron de specifa bloko. Se ĉio estas farita ĝuste kaj la matematiko konsentas, tiam la ludantoj havos .wav dosieron en siaj manoj.

En ĝi, uzante voĉgeneratoron, interalie, binara kodo estas diktita, kiu estas vastigita en alian IP.

Ĉi tio, rezultas, estas nova Vindoza servilo, kie ĉio sugestas la bezonon uzi Wireshark, sed ĝi ne estas tie. La ĉefa lertaĵo estas, ke estas du sistemoj instalitaj sur ĉi tiu maŝino - nur la disko de la dua estas malkonektita per la aparato-administranto eksterrete, kaj la logika ĉeno kondukas al la bezono rekomenci. Tiam montriĝas, ke defaŭlte tute malsama sistemo, kie Wireshark estas instalita, devus ekbruligi. Kaj dum ĉi tiu tempo ni estis sur la malĉefa OS.

Ne necesas fari ion specialan ĉi tie, nur ebligu kapton sur ununura interfaco. Relative proksima ekzameno de la rubejo rivelas klare maldekstramanan pakaĵeton senditan de la helpmaŝino je regulaj intervaloj, kiu enhavas ligon al YouTube-vidbendo kie ludantoj estas petitaj voki certan nombron. La unua alvokanto aŭdos gratulojn pri unua loko, la ceteraj ricevos inviton al HR (ŝerco)).

Cetere, ni estas malfermitaj laborpostenoj por teknikaj subtenaj inĝenieroj kaj praktikantoj. Bonvenon al la teamo!

fonto: www.habr.com

Aldoni komenton