Negu honetan, edo hobeto esanda, Eguberri Katolikoen eta Urte Berriaren arteko egunetako batean, Veeam-eko laguntza teknikoko ingeniariak ezohiko lanekin buru-belarri ibili ziren: “Veeamonymous” izeneko hacker talde baten bila zebiltzan.
Kontatu zuen nola mutilek beraiek asmatu eta egin zuten benetako bilaketa bat euren lanean, "borrokatik gertu" eginkizunekin. Kirill Stetsko, Eskalatze ingeniaria.
- Zergatik hasi zinen hau?
- Jendeak garai batean Linux-ekin asmatu zuen modu berean - dibertitzeko, bere plazeragatik.
Mugimendua nahi genuen, eta aldi berean zerbait erabilgarria egin nahi genuen, interesgarria. Gainera, ingeniariei eguneroko lanetik arintasun emozional bat ematea beharrezkoa zen.
- Nork iradoki du hau? Noren ideia izan zen?
— Ideia gure kudeatzailea Katya Egorova izan zen, eta gero kontzeptua eta beste ideia guztiak esfortzu bateratuen bidez sortu ziren. Hasieran hackaton bat egitea pentsatu genuen. Baina kontzeptuaren garapenean, ideia bilaketa bihurtu zen; azken finean, laguntza teknikoko ingeniari bat programazioa ez den jarduera mota bat da.
Beraz, lagunei, burkideei, ezagunei deitu genien, pertsona ezberdinek lagundu ziguten kontzeptuarekin - T2ko pertsona batek (bigarren laguntza lerroa da. editorearen oharra), T3 duen pertsona bat, SWAT taldeko pertsona pare bat (erantzun azkarreko taldea bereziki premiazko kasuetarako - editorearen oharra). Denak elkartu, eseri eta gure bilaketarako zereginak sortzen saiatu ginen.
— Oso ustekabekoa izan zen hau guztia ezagutzea, zeren nik dakidala, bilaketaren mekanika gidoilari espezializatuek lantzen dute normalean, hau da, ez zenioten hain gauza konplexu bati aurre egin, baita zure lanarekin ere. , zure jarduera-esparru profesionalera.
— Bai, entretenimendua ez ezik, ingeniarien gaitasun teknikoak “puztu” nahi genituen. Gure saileko zereginetako bat ezagutza eta prestakuntza trukatzea da, baina horrelako bilaketa aukera bikaina da jendeari teknika berri batzuk bizitzeko "ukitzen" uzteko.
— Nola bururatu zitzaizkizun zereginak?
— Brainstorming saioa egin genuen. Ulertu genuen proba tekniko batzuk egin behar genituela, eta hala nola interesgarriak izango zirela eta aldi berean ezagutza berriak ekarriko zituztela.
Esaterako, pentsatu genuen jendeak trafikoa sniffatzen saiatu behar zuela, hex editoreak erabiliz, Linuxerako zerbait egiten, gure produktuekin erlazionatutako gauza apur bat sakonago batzuk (Veeam Backup & Replication eta beste batzuk).
Kontzeptua ere parte garrantzitsua zen. Hackeren gaia, sarbide anonimoa eta sekretu giroa eraikitzea erabaki genuen. Guy Fawkes maskara sinbolo bihurtu zen, eta izena berez sortu zen - Veeamonymous.
"Hasieran hitza zen"
Interesa pizteko, ekitaldiaren aurretik bilaketa-gaietako PR kanpaina bat antolatzea erabaki genuen: iragarkia zuten kartelak zintzilikatu genituen gure bulegoan. Eta egun batzuk geroago, ezkutuan denen artean, spray-botoiekin margotu eta “ahate” bat hasi zuten, erasotzaile batzuek kartelak hondatu zituztela diote, froga batekin argazki bat ere erantsi zietela….
- Beraz, zuk zeuk egin duzu, hau da, antolatzaile taldeak?!
— Bai, ostiralean, 9:XNUMXak aldera, denak jada alde eginda zeudenean, joan ginen eta “V” letra berdez marraztu genuen puxiketatik.) Bilaketaren parte-hartzaile askok ez zuten inoiz asmatu nork egin zuen - jendea hurbildu zen gurera. eta galdetu zuen nork hondatu zituen kartelak? Norbaitek oso serio hartu zuen gai hau eta ikerketa oso bat egin zuen gai honen inguruan.
Bilaketa egiteko, audio-fitxategiak ere idatzi ditugu, soinu “erauziak”: adibidez, ingeniari bat gure [ekoizpen CRM] sisteman sartzen denean, robot erantzuntzaile bat dago, era guztietako esaldiak, zenbakiak... Hona hemen. grabatu dituen hitz horietatik, esaldi esanguratsuagoak edo gutxiago konposatu zituen, tira, agian apur bat makurra - adibidez, audio-fitxategi batean "Ez da lagunik lagunduko dizu".
Adibidez, IP helbidea kode bitarrean irudikatu genuen, eta berriro ere, zenbaki hauek erabiliz [robotak ahoskatuak], era guztietako soinu beldurgarriak gehitu genituen. Bideoa guk geuk grabatu dugu: bideoan gizon bat kaputxa beltzean eserita eta Guy Fawkes maskara bat ditugu, baina, egia esan, ez dago pertsona bat, hiru baizik, bi daudelako bere atzean zutik eta "atzealde" bat eusten dutelako. manta bat :).
- Tira, nahastuta zaude, garbi esateko.
- Bai, su hartu gendun. Oro har, aurrena gure zehaztapen teknikoak atera genituen, eta ondoren ustez gertatutakoaren inguruko eskema literario eta ludiko bat osatu genuen. Eszenatokiaren arabera, parte hartzaileak "Veeamonymous" izeneko hacker talde bat ehizatzen ari ziren. Ideia zen, halaber, "4. horma hautsi" genuela, hau da, gertaerak errealitatera eramango genituzkeela -espray lata batetik margotu genuen, adibidez.
Gure saileko jatorrizko ingeles hiztunetako batek lagundu zigun testuaren prozesamendu literarioan.
- Itxaron, zergatik ama-hiztun bat? Ingelesez ere egin duzu dena?!
— Bai, San Petersburgo eta Bukaresteko bulegoetarako egin genuen, beraz dena ingelesez zegoen.
Lehenengo esperientziarako dena funtzionatzen saiatu ginen, beraz, gidoia lineala eta nahiko sinplea zen. Inguru gehiago gehitu ditugu: testu sekretuak, kodeak, irudiak.
Memeak ere erabili genituen: argazki mordoa zeuden ikerketen gaiei buruzkoak, OZNIak, beldurrezko istorio ezagun batzuk -talde batzuk distraitu egin ziren honekin, ezkutuko mezu batzuk aurkitu nahian, esteganografiari buruzko ezagutzak eta beste gauza batzuk aplikatzen... baina, noski, ez zegoen horrelakorik.
Arantzari buruz
Hala ere, prestaketa prozesuan, ustekabeko erronkei ere aurre egin genien.
Asko borrokatu genuen haiekin eta ustekabeko arazo guztiak konpondu genituen, eta bilaketa baino astebete lehenago dena galduta zegoela pentsatu genuen.
Seguruenik merezi du bilaketaren oinarri teknikoari buruz pixka bat kontatzea.
Dena gure barne ESXi laborategian egin zen. 6 talde genituen, hau da, 6 baliabide multzo banatu behar izan ditugu. Beraz, talde bakoitzeko igerileku bereizi bat zabaldu genuen beharrezko makina birtualekin (IP bera). Baina hori guztia sare berean dauden zerbitzarietan kokatuta zegoenez, gure VLANen egungo konfigurazioak ez zigun makinak igerileku ezberdinetan isolatzea ahalbidetzen. Eta, adibidez, proba batean, igerileku bateko makina bat beste bateko makina batera konektatzen diren egoerak jaso genituen.
— Nola konpondu zenuen egoera?
— Hasieran denbora luzez pentsatu genuen, mota guztietako aukerak probatu genituen baimenekin, makinentzako vLAN bereiziak. Ondorioz, hau egin zuten - talde bakoitzak Veeam Backup zerbitzaria bakarrik ikusten du, eta horren bidez egiten diren lan gehiago egiten dira, baina ez du ikusten ezkutuko azpitaldea, hau da:
- hainbat Windows makina
- Windows core zerbitzaria
- Linux makina
- bikotea VTL (Virtual Tape Library)
Igerileku guztiei ataka-talde bereizi bat esleitzen zaie vDS switchean eta beren VLAN pribatua. Isolamendu bikoitz hori sareko elkarrekintzarako aukera guztiz ezabatzeko behar dena da.
Ausartei buruz
— Norbaitek parte har lezake bilaketan? Nola osatu ziren taldeak?
— Hau izan zen horrelako ekitaldi bat egitean gure lehen esperientzia, eta gure laborategiaren gaitasunak 6 taldetara mugatu ziren.
Lehenik eta behin, esan bezala, PR kanpaina bat egin genuen: kartelak eta posta elektronikoak erabiliz, bilaketa bat egingo zela iragarri genuen. Arrasto batzuk ere izan genituen: esaldiak kode bitarrean zifratzen ziren karteletan bertan. Modu honetan, jendea interesa piztu genuen, eta jendeak jadanik akordioetara iritsi ziren euren artean, lagunekin, lagunekin eta elkarlanean aritu zen. Ondorioz, igerilekuak genituen baino jende gehiagok erantzun zuen, beraz, hautaketa bat egin behar izan genuen: proba-zeregin sinple bat egin genuen eta erantzun zuten guztiei bidali genien. Arazo logika bat zen, azkar konpondu behar zena.
Gehienez 5 laguneko talde bat onartzen zen. Ez zegoen kapitain baten beharrik, ideia elkarlana zen, elkarren arteko komunikazioa. Norbait indartsua da, adibidez, Linuxen, norbait indartsua da zintetan (zintetako babeskopiak), eta denek, zeregina ikusita, bere ahaleginak inbertitu ditzake soluzio orokorrean. Denek elkarren artean komunikatu eta irtenbide bat aurkitu zuten.
— Zein momentutan hasi zen gertaera hau? "X ordu" moduko bat izan al zenuen?
— Bai, zorrozki zehaztutako eguna genuen, sailean lan karga gutxiago egoteko aukeratu genuen. Jakina, taldeburuei aldez aurretik jakinarazi zitzaien halako eta halako taldeei bilaketan parte hartzera gonbidatu zituztela, eta egun horretan arintasun bat eman behar zitzaien [kargari dagokionez]. Urte amaierako abenduaren 28a, ostirala, izan behar zuela zirudien. 5 ordu inguru iraungo zuela espero genuen, baina talde guztiek azkarrago osatu zuten.
— Denak berdin-berdin zeuden, denek eginkizun berdinak zituzten kasu errealetan oinarrituta?
— Tira, bai, konpilatzaile bakoitzak esperientzia pertsonaletik hartu zituen istorio batzuk. Guk bagenekien zerbait hori errealitatean gerta zitekeela, eta interesgarria izango litzateke pertsona batek "sentitzea", begiratzea eta asmatzea. Gauza zehatzago batzuk ere hartu zituzten, adibidez, kaltetutako zintetatik datuak berreskuratzea. Batzuk iradokizunekin, baina talde gehienek euren kabuz egin zuten.
Edo beharrezkoa zen gidoi bizkorren magia erabiltzea; adibidez, "bonba logiko" batzuek bolumen anitzeko artxibo bat zuhaitzean zehar ausazko karpetetan "urratu" zuten istorio bat genuen, eta datuak biltzea beharrezkoa zela. Eskuz egin dezakezu: bilatu eta kopiatu [fitxategiak] banan-banan, edo script bat idatzi dezakezu maskara erabiliz.
Oro har, arazo bat modu ezberdinetan konpon daitekeen ikuspuntuari eusten saiatu gara. Esate baterako, esperientzia apur bat gehiago bazara edo nahastu nahi baduzu, orduan azkarrago konpondu dezakezu, baina zuzenean konpontzeko modu bat dago, baina, aldi berean, arazoari denbora gehiago emango diozu. Hau da, ia zeregin guztiek hainbat irtenbide zituzten, eta interesgarria zen taldeek zein bideak aukeratuko zituzten. Beraz, ez-linealtasuna soluzio-aukeraren aukeraketan zegoen hain zuzen.
Bide batez, Linux arazoa zailena izan zen - talde bakarrak konpondu zuen modu independentean, inolako iradokizunik gabe.
—Iradokizunak har ditzakezu? Benetako bilaketa batean bezala??
— Bai, hartu ahal izan zen, ulertu genuelako jendea ezberdina dela, eta ezagutzaren bat falta dutenak talde berean sar zitezkeela, beraz, pasabidea ez atzeratzeko eta lehiarako interesa ez galtzeko, erabaki genuen aholkuak izango lituzke. Horretarako, talde bakoitzari antolatzaileetako pertsona batek behatu zuen. Beno, inork tranparik egin ez zuela ziurtatu genuen.
Izarren inguruan
— Irabazleentzat saririk egon al zen?
— Bai, parte hartzaile guztientzat zein irabazleentzat saririk atseginenak egiten saiatu gara: irabazleek Veeam logoarekin eta kode hamasezimalean zifratutako esaldi bat, beltzean, diseinatzaileko jertseak jaso zituzten. Parte-hartzaile guztiek Guy Fawkes-eko maskara bat eta markadun poltsa bat jaso zituzten, logotipoa eta kode berdinarekin.
- Hau da, dena benetako bilaketa batean bezala zegoen!
"Beno, helduentzako gauza polita egin nahi genuen, eta uste dut lortu dugula".
- Hau egia da! Zein izan zen bilaketa honetan parte hartu zutenen azken erreakzioa? Lortu al duzu zure helburua?
- Bai, asko etorri ziren gero eta esan zuten argi ikusten zutela euren puntu ahulak eta hobetu nahi zituztela. Norbaitek teknologia batzuen beldur izateari utzi zion -adibidez, zintetatik blokeak botatzea eta han zerbait hartzen saiatzea... Norbaitek konturatu zen Linux hobetu behar zuela, etab. Zeregin sorta zabal samarra ematen saiatu ginen, baina ez guztiz hutsalak.
Talde irabazlea
"Nahi duenak, lortuko du!"
— Esfortzu handia eskatu al zien bilaketa prestatu zutenei?
- Egia esan bai. Baina ziurrenik horrelako bilaketak, azpiegitura mota hau prestatzen, esperientziarik ez genuelako izan zen. (Egin dezagun erreserba hau ez dela gure benetako azpiegitura - jokoaren funtzio batzuk bete behar zituela besterik ez.)
Oso esperientzia interesgarria izan zen guretzat. Hasieran eszeptikoa nintzen, ideia polita iruditu zitzaidalako, gauzatzea oso zaila izango zela pentsatu nuen. Baina egiten hasi ginen, goldatzen hasi ginen, dena su hartzen hasi zen, eta azkenean lortu genuen. Eta ia gainjarririk ere ez zegoen.
Guztira 3 hilabete eman ditugu. Gehienetan, kontzeptu bat asmatu genuen eta zer gauzatu genezakeen eztabaidatu genuen. Prozesuan, berez, gauza batzuk aldatu egin ziren, konturatu ginelako ez genuela gaitasun teknikorik zerbait egiteko. Zerbait berregin behar izan genuen bidean, baina eskema, historia eta logika osoa hautsi ez zen moduan. Zeregin teknikoen zerrenda ematen ez ezik, istorioan sartzen saiatu ginen, koherentea eta logikoa izan zedin. Lan nagusia azken hilabetean egiten ari zen, hau da, X eguna baino 3-4 aste lehenago.
— Beraz, zure jarduera nagusiaz gain, prestatzeko denbora jarri al duzu?
— Hau gure lan nagusiarekin paraleloan egin genuen, bai.
- Berriro hau egiteko eskatzen al zaizu?
- Bai, eskaera asko ditugu errepikatzeko.
- Eta zu?
- Ideia berriak ditugu, kontzeptu berriak, jende gehiago erakarri eta denboran luzatu nahi dugu -bai hautaketa-prozesua, bai joko-prozesua bera-. Orokorrean, "Cicada" proiektuan inspiratuta gaude, Googlen dezakezu - oso gai polita da informatika, mundu osoko jendea batu da bertan, hariak hasten dituzte Reddit-en, foroetan, kodeen itzulpenak erabiltzen dituzte, asmakizunak konpontzen dituzte. , eta hori guztia.
— Ideia bikaina zen, ideiari eta gauzatzeari errespetua besterik ez, benetan asko balio duelako. Zinez nahi dut inspirazio hori ez galtzea eta zure proiektu berri guztiak ere arrakastatsuak izatea. Eskerrik asko!
— Bai, ikus al dezakezu behin betiko berrerabiliko ez duzun zeregin baten adibide bat?
"Sumoa dut ez dugula horietako bat berrerabiliko". Hori dela eta, bilaketa osoaren aurrerapenari buruz hitz egin dezaket.
Bonus trackHasieran, jokalariek makina birtualaren izena eta vCenter-eko kredentzialak dituzte. Bertan saioa hasita, makina hau ikusten dute, baina ez da martxan jartzen. Hemen .vmx fitxategiarekin zerbait gaizki dagoela asmatu behar duzu. Deskargatu ondoren, bigarren urratserako beharrezkoa den gonbita ikusten dute. Funtsean, Veeam Backup & Replication-ek erabiltzen duen datu-basea enkriptatuta dagoela dio.
Gonbidapena kendu, .vmx fitxategia berriro deskargatu eta makina behar bezala piztu ondoren, diskoetako batek benetan base64 enkriptatutako datu-base bat duela ikusten dute. Horren arabera, zeregina deszifratzea eta Veeam zerbitzari guztiz funtzionala lortzea da.
Hori guztia gertatzen den makina birtualari buruz apur bat. Gogoratzen dugunez, argumentuaren arabera, bilaketaren pertsonaia nagusia pertsona ilun samarra da eta argi eta garbi oso legezkoa ez den zerbait egiten ari da. Hori dela eta, bere lan-ordenagailuak erabat hacker itxurakoa izan behar du, guk sortu behar izan duguna, Windows izan arren. Egin genuen lehenengo gauza atrezzo asko gehitzea izan zen, hala nola, hack handiei buruzko informazioa, DDoS erasoak eta antzekoak. Ondoren, software tipiko guztiak instalatu zituzten eta hainbat zabortegi, hashekin fitxategiak, etab. Dena da filmetan bezala. Besteak beste, maiuskulaz itxita*** eta maiuskula irekia*** izeneko karpetak zeuden.
Gehiago aurrera egiteko, jokalariek babeskopia-fitxategietako aholkuak berreskuratu behar dituzte.
Hemen esan beharra dago, hasieran jokalariei informazio dezente ematen ziela, eta datu gehienak (IPa, saioak eta pasahitzak adibidez) jaso zituztela bilaketan zehar, babeskopietan edo makinetan sakabanatuta dauden fitxategietan arrastoak aurkituz. . Hasieran, babeskopia fitxategiak Linux biltegian kokatzen dira, baina zerbitzarian karpeta bera banderarekin muntatuta dago. noexec, beraz, fitxategia berreskuratzeko ardura duen agentea ezin da hasi.
Biltegia konponduta, parte-hartzaileek eduki guztietarako sarbidea izango dute eta azkenean edozein informazio berreskuratu ahal izango dute. Ulertzea falta da zein den. Eta horretarako, makina honetan gordetako fitxategiak aztertu besterik ez dute egin behar, horietako zeintzuk diren "hautsi" eta zehazki zer leheneratu behar den zehaztu.
Une honetan, eszenatokia IT ezagutza orokorretik Veeam-en ezaugarri zehatzetara aldatzen da.
Adibide zehatz honetan (fitxategiaren izena ezagutzen duzunean, baina ez dakizuenean non bilatu), Enterprise Manager-en bilaketa funtzioa erabili behar duzu, eta abar. Ondorioz, kate logiko osoa berreskuratu ondoren, jokalariek beste saio-hasiera/pasahitza eta nmap irteera bat dute. Honek Windows Core zerbitzarira ekartzen ditu, eta RDP bidez (bizitza eztia ez dadin).
Zerbitzari honen ezaugarri nagusia: script soil baten eta hainbat hiztegiren laguntzaz, karpeten eta fitxategien egitura guztiz zentzugabea osatu zen. Eta saioa hasten duzunean, ongietorri-mezu bat jasoko duzu "Hemen bonba logiko bat lehertu da, beraz, pauso gehiago emateko pistak bildu beharko dituzu".
Ondorengo arrastoa bolumen anitzeko artxibo batean banatu zen (40-50 pieza) eta karpeta horien artean ausaz banatu zen. Gure ideia zen jokalariek PowerShell script sinpleak idazten erakutsi behar zutela euren dohainak, maskara ezagun bat erabiliz bolumen anitzeko artxibo bat osatzeko eta beharrezko datuak lortzeko. (Baina txantxa hartan bezala atera zen - gai batzuk fisikoki ezohiko garatuta zeuden.)
Artxiboak kasete baten argazkia zuen («Azken afaria - Momentu onenak» inskripzioarekin), konektatutako zinta liburutegi baten erabileraren iradokizuna ematen zuena, antzeko izena zuen kasete bat zuena. Arazo bakarra zegoen: hain funtzionaezina zela katalogatu ere egin gabe zegoen. Hemen hasi zen ziurrenik bilaketaren zatirik gogorrena. Goiburua kasetetik ezabatu dugu, beraz, bertatik datuak berreskuratzeko, bloke "gordinak" bota eta haiek hex editorean begiratu besterik ez duzu egin behar fitxategien hasierako markatzaileak aurkitzeko.
Markatzailea aurkitzen dugu, desplazamendua begiratu, blokea bere tamainaz biderkatu, desplazamendua gehitu eta, barne tresna erabiliz, fitxategia bloke zehatz batetik berreskuratzen saiatzen gara. Dena ondo egiten bada eta matematika ados badago, jokalariek .wav fitxategi bat izango dute esku artean.
Bertan, ahots-sorgailu bat erabiliz, besteak beste, kode bitar bat agintzen da, beste IP batean zabaltzen dena.
Hau da, Windows zerbitzari berri bat da, non denak Wireshark erabili beharra adierazten du, baina ez dago. Trikimailu nagusia da makina honetan bi sistema instalatuta daudela: bigarrenaren diskoa bakarrik deskonektatzen da lineaz kanpo gailu-kudeatzailearen bidez, eta kate logikoak berrabiarazi beharra dakar. Orduan, lehenespenez Wireshark instalatuta dagoen sistema guztiz desberdina abiarazi beharko litzateke. Eta denbora guztian bigarren sistema eragilean egon ginen.
Ez dago ezer berezirik egin behar hemen, gaitu harrapaketa interfaze bakarrean. Zabortegiaren azterketa nahiko hurbil batek makina laguntzailetik aldiro bidaltzen duen pakete argi eta garbi erakusten du, zeinak YouTube bideo baterako esteka dauka, non jokalariei zenbaki jakin batera deitzeko eskatzen zaien. Lehenengo deitzaileak zorionak entzungo ditu lehen postuan, gainontzekoek HR-rako gonbidapena jasoko dute (txantxa).
Bide batez, irekita gaude laguntza teknikoko ingeniarientzat eta bekadunentzat. Ongi etorri taldera!
Iturria: www.habr.com