ProHoster > Blog > ynternet nijs > Cyber ​​​​quest fan technyske stipeteam fan Veeam

Cyber ​​​​quest fan technyske stipeteam fan Veeam

Dizze winter, of leaver, op ien fan 'e dagen tusken katolike kryst en nijjier, wiene Veeam technyske stipe-yngenieurs dwaande mei ûngewoane taken: se wiene op jacht nei in groep hackers neamd "Veeamonymous".

Cyber ​​​​quest fan technyske stipeteam fan Veeam

Hy fertelde hoe't de jonges sels in echte syktocht yn 'e realiteit op har wurk kamen en útfierden, mei taken "ticht by bestriding" Kirill Stetsko, Escalation Engineer.

- Wêrom bist dit sels begûn?

- Ungefear op deselde manier as minsken op ien kear mei Linux kamen - gewoan foar de wille, foar har eigen wille.

Wy woenen beweging, en tagelyk woene wy ​​wat nuttichs dwaan, wat nijsgjirrichs. Plus it wie nedich om wat emosjonele reliëf te jaan oan de yngenieurs fan har deistich wurk.

- Wa hat dit foarsteld? Wa syn idee wie it?

- It idee wie ús manager Katya Egorova, en doe waarden it konsept en alle fierdere ideeën berne troch mienskiplike ynspanningen. Ynearsten tochten wy in hackathon te dwaan. Mar tidens de ûntwikkeling fan it konsept groeide it idee út ta in syktocht; ommers, in technyske stipe-yngenieur is in oare soarte aktiviteit dan programmearring.

Dat, wy neamden freonen, kameraden, kunde, ferskate minsken holpen ús mei it konsept - ien persoan fan T2 (de twadde line fan stipe is redakteur syn notysje), ien persoan mei T3, in pear minsken fan it SWAT-team (snelle antwurdteam foar benammen urgente gefallen - redakteur syn notysje). Wy kamen allegear byinoar, sieten en besochten mei taken te kommen foar ús syktocht.

- It wie heul ûnferwachts om dit alles te learen, om't, foar safier't ik wit, questmeganika meastentiids útwurke wurde troch spesjalistyske senarioskriuwers, dat is, net allinich mei sa'n kompleks ding te krijen hawwe, mar ek yn relaasje ta jo wurk , nei jo profesjonele aktiviteitsfjild.

- Ja, wy woenen it net allinich fermaak meitsje, mar de technyske feardichheden fan yngenieurs "oppompe". Ien fan de taken yn ús ôfdieling is it útwikseljen fan kennis en training, mar sa'n syktocht is in poerbêste kâns om minsken "oanreitsje" wat nije techniken foar harren libje.

- Hoe binne jo oan taken kommen?

- Wy hienen in brainstoarm. Wy hiene it begryp dat wy wat technyske testen dwaan moasten, en sa dat se ynteressant wêze soene en tagelyk nije kennis bringe.
Wy tochten bygelyks dat minsken moatte besykje ferkear te snuffeljen, hex-bewurkers te brûken, wat dwaan foar Linux, wat wat djipper dingen relatearre oan ús produkten (Veeam Backup & Replication en oaren).

It konsept wie ek in wichtich part. Wy besletten om te bouwen op it tema fan hackers, anonime tagong en in sfear fan geheimhâlding. It masker fan Guy Fawkes waard makke yn in symboal, en de namme kaam fansels - Veeamonymous.

"Yn it begjin wie it wurd"

Om ynteresse op te wekken, hawwe wy besletten om foar it evenemint in PR-kampanje mei as tema te organisearjen: wy hong posters mei de oankundiging om ús kantoar hinne. En in pear dagen letter, temûk fan elkenien, skildere se se mei spuitbussen en begonen in "eend", se sizze dat guon oanfallers de posters ferneatige, se heakke sels in foto mei in bewiis ....

- Sa hawwe jo it sels dien, dat is it team fan organisatoaren?!

- Ja, freed, om 9 oere hinne, doe't elkenien al fuort wie, gongen wy en tekenen de letter "V" yn grien út ballonnen.) In protte dielnimmers oan 'e syktocht rieden noait wa't it dien hat - minsken kamen nei ús ta en frege wa't de posters fernield hat? Immen naam dizze kwestje tige serieus en die in folslein ûndersyk oer dit ûnderwerp.

Foar de syktocht hawwe wy ek audiobestannen skreaun, "útride" lûden: bygelyks as in yngenieur ynlogt yn ús [produksje CRM] systeem, is d'r in antwurdende robot dy't alle soarten útdrukkingen, sifers seit ... Hjir binne wy fan dy wurden dy't er opnomd hat, mear of minder betsjuttingsfolle frases gearstald, no, miskien in bytsje krom - wy krigen bygelyks "Gjin freonen om dy te helpen" yn in audiobestân.

Bygelyks, wy fertsjintwurdigje it IP-adres yn binêre koade, en nochris, mei dizze sifers [útsprutsen troch de robot], hawwe wy allerhanne skriklike lûden tafoege. Wy hawwe de fideo sels ferfilme: yn 'e fideo sitte in man yn in swarte kap en in masker fan Guy Fawkes, mar yn werklikheid is d'r net ien persoan, mar trije, om't twa efter him steane en in "eftergrûn" hâlde makke fan in tekken :).

- No, do bist yn 'e war, om it bot út te sizzen.

- Ja, wy stienen yn 'e brân. Yn 't algemien kamen wy earst mei ús technyske spesifikaasjes, en makken doe in literêre en boartlike skets oer it ûnderwerp fan wat soe bard wêze. Neffens it senario jagen de dielnimmers in groep hackers mei de namme "Veeamonymous". It idee wie ek dat wy, as it wiene, "de 4e muorre brekke", dat is, wy soene eveneminten yn 'e realiteit oerdrage - wy skildere bygelyks út in spuitbus.

Ien fan de Ingelsktaligen fan ús ôfdieling hat ús holpen mei de literêre ferwurking fan de tekst.

- Wachtsje, wêrom in memmetaalsprekker? Hasto it ek allegear yn it Ingelsk dien?!

- Ja, wy diene it foar de kantoaren fan Sint-Petersburch en Boekarest, dus alles wie yn it Ingelsk.

Foar de earste ûnderfining hawwe wy besocht om alles gewoan te meitsjen, dus it skript wie lineêr en frij ienfâldich. Wy hawwe mear omjouwing tafoege: geheime teksten, koades, ôfbyldings.

Cyber ​​​​quest fan technyske stipeteam fan Veeam

Wy brûkten ek memes: d'r wiene in bosk foto's oer de ûnderwerpen fan ûndersiken, UFO's, guon populêre horrorferhalen - guon teams waarden dêrtroch ôfleid, besykje dêr wat ferburgen berjochten te finen, har kennis fan steganografy en oare dingen tapasse ... mar, fansels, der wie neat as dat wie.

Oer stikels

Tidens it tariedingsproses stienen wy lykwols ek foar ûnferwachte útdagings.

Wy stride in protte mei har en losten alle soarten ûnferwachte problemen op, en sawat in wike foar de syktocht tochten wy dat alles ferlern wie.

It is wierskynlik de muoite wurdich om in bytsje te fertellen oer de technyske basis fan 'e syktocht.

Alles waard dien yn ús ynterne ESXi-lab. Wy hienen 6 teams, wat betsjut dat wy 6 boarne pools tawize moasten. Dat, foar elk team hawwe wy in aparte pool ynset mei de nedige firtuele masines (deselde IP). Mar om't dit alles op servers leit dy't op itselde netwurk binne, liet de hjoeddeistige konfiguraasje fan ús VLAN's ús net tastean om masines yn ferskate swimbaden te isolearjen. En, bygelyks, tidens in test run, wy krigen situaasjes dêr't in masine út ien pool ferbûn oan in masine fan in oare.

- Hoe koene jo de situaasje korrigearje?

- Earst tochten wy in lange tiid, testen alle soarten opsjes mei tagongsrjochten, aparte vLAN's foar masines. As gefolch hawwe se dit dien - elk team sjocht allinich de Veeam Backup-tsjinner, wêrmei alle fierdere wurk plakfynt, mar sjocht de ferburgen subpool net, dy't befettet:

  • ferskate Windows masines
  • Windows kearntsjinner
  • Linux masine
  • pear VTL (Virtual Tape Library)

Alle swimbaden wurde tawiisd in aparte groep fan havens op de vDS switch en harren eigen Private VLAN. Dizze dûbele isolaasje is krekt wat nedich is om de mooglikheid fan netwurk ynteraksje folslein te eliminearjen.

Oer de dappere

- Koe immen meidwaan oan 'e syktocht? Hoe binne de teams foarme?

- Dit wie ús earste ûnderfining fan it hâlden fan sa'n evenemint, en de mooglikheden fan ús laboratoarium wiene beheind ta 6 teams.

Earst hawwe wy, sa't ik al sei, in PR-kampanje útfierd: mei help fan posters en mailings makken wy bekend dat der in syktocht hâlden wurde soe. Wy hiene sels wat oanwizings - útdrukkingen waarden fersifere yn binêre koade op de posters sels. Op dizze manier krigen wy minsken ynteressearre, en makken minsken al ôfspraken ûnderinoar, mei freonen, mei freonen, en wurken gear. Dêrtroch reagearren mear minsken as wy puollen hiene, dus wy moasten in seleksje dwaan: wy kamen mei in ienfâldige testtaak en stjoerde dy nei elkenien dy't reagearre. It wie in logysk probleem dat gau oplost wurde moast.

In team mocht maksimaal 5 minsken. Der wie gjin ferlet fan in kaptein, it idee wie gearwurking, kommunikaasje mei elkoar. Immen is sterk, bygelyks, yn Linux, immen is sterk yn tapes (backups nei tapes), en elkenien, sjoen de taak, koe ynvestearje harren ynspannings yn de totale oplossing. Elkenien kommunisearre mei elkoar en fûn in oplossing.

Cyber ​​​​quest fan technyske stipeteam fan Veeam

- Op hokker punt begon dit barren? Hawwe jo in soarte fan "oere X"?

- Ja, wy hienen in strikt oanwiisde dei, dy ha wy sa keazen dat der minder wurkdruk wie op de ôfdieling. Fansels waarden de teamlieders fan tefoaren op 'e hichte brocht dat soksoarte teams waarden útnoege om mei te dwaan oan' e syktocht, en se moasten op dy dei wat reliëf krije [oangeande laden]. It like derop dat it de ein fan it jier wêze soe, 28 desimber, freed. Wy ferwachte dat it sawat 5 oeren soe nimme, mar alle teams foltôgen it rapper.

- Wie elkenien op gelikense foet, hie elkenien op grûn fan echte gefallen deselde taken?

- No, ja, elk fan 'e gearstallers naam wat ferhalen út persoanlike ûnderfining. Wy wisten oer wat dat dit yn 'e realiteit koe barre, en it soe ynteressant wêze foar in persoan om it te "fielen", te sjen en it út te finen. Se namen ek wat mear spesifike dingen - bygelyks gegevensherstel fan skansearre tapes. Guon mei hints, mar de measte teams diene it op har eigen.

Of it wie nedich om de magy fan rappe skripts te brûken - wy hienen bygelyks in ferhaal dat guon "logyske bom" in multi-volume argyf "tearde" yn willekeurige mappen lâns de beam, en it wie nedich om de gegevens te sammeljen. Jo kinne dit manuell dwaan - fine en kopiearje [bestannen] ien foar ien, of jo kinne in skript skriuwe mei in masker.

Yn 't algemien hawwe wy besocht te hâlden oan it eachpunt dat ien probleem op ferskate manieren oplost wurde kin. As jo ​​​​bygelyks in bytsje mear erfaren binne of yn 'e betizing wolle, dan kinne jo it rapper oplosse, mar d'r is in direkte manier om it direkt op te lossen - mar tagelyk besteegje jo mear tiid oan it probleem. Dat is, hast elke taak hie ferskate oplossingen, en it wie nijsgjirrich hokker paden de teams soene kieze. Sa wie de netlineariteit krekt yn 'e kar fan oplossingsopsje.

Trouwens, it Linux-probleem blykte it dreechste te wêzen - mar ien team hat it selsstannich oplost, sûnder hints.

- Kinne jo hintsjes nimme? Lykas yn in echte syktocht ??

- Ja, it wie mooglik om it te nimmen, om't wy begrepen dat minsken oars binne, en wa't wat kennis ûntbrekt, koe yn itselde team komme, dus om de passaazje net te fertrage en konkurrearjende belangstelling net te ferliezen, hawwe wy besletten dat wy soe tips. Om dit te dwaan, waard elk team observearre troch in persoan fan 'e organisatoaren. No, wy soarge derfoar dat gjinien bedrogen.

Cyber ​​​​quest fan technyske stipeteam fan Veeam

Oer de stjerren

- Wiene der prizen foar de winners?

- Ja, wy hawwe besocht de noflikste prizen te meitsjen foar sawol alle dielnimmers as de winners: de winners krigen ûntwerper sweatshirts mei it Veeam-logo en in sin fersifere yn heksadesimale koade, swart). Alle dielnimmers krigen in Guy Fawkes-masker en in merktaske mei it logo en deselde koade.

- Dat is, alles wie as yn in echte syktocht!

"No, wy woenen in koel, folwoeksen ding dwaan, en ik tink dat wy binne slagge."

- Dit is wier! Wat wie de lêste reaksje fan dyjingen dy't meidien hawwe oan dizze syktocht? Hawwe jo jo doel berikt?

- Ja, in protte kamen letter op en seinen dat se har swakke punten dúdlik seagen en dy ferbetterje woene. Immen stoppe bang te wêzen foar bepaalde technologyen - bygelyks blokken fan tapes dumpe en dêr wat besykje te pakken... Immen realisearre dat hy Linux moast ferbetterje, ensfh. Wy besocht te jaan in frij breed skala oan taken, mar net hielendal triviale.

Cyber ​​​​quest fan technyske stipeteam fan Veeam
It winnende team

"Wa't wol, sil it berikke!"

- Hat it in protte muoite nedich fan dyjingen dy't de syktocht tariede?

- Eins ja. Mar dit wie nei alle gedachten te tankjen oan it feit dat wy hiene gjin ûnderfining yn it tarieden fan sokke speurtochten, dit soarte fan ynfrastruktuer. (Litte wy in reservearje meitsje dat dit net ús echte ynfrastruktuer is - it soe gewoan wat spielfunksjes útfiere.)

It wie in tige nijsgjirrige ûnderfining foar ús. Yn it earstoan wie ik skeptysk, om't it idee my te cool like, ik tocht dat it heul lestich út te fieren soe. Mar wy begûnen it te dwaan, wy begûnen te ploegjen, alles begon te fjochtsjen, en op 't lêst slagge it ús. En der wiene sels frijwol gjin oerlêst.

Yn totaal hawwe wy 3 moannen trochbrocht. Foar it grutste part kamen wy mei in konsept en bepraten wat wy kinne útfiere. Yn it proses, fansels, guon dingen feroare, om't wy realisearre dat wy net hawwe de technyske mooglikheid om te dwaan wat. Wy moasten ûnderweis wat oermeitsje, mar op sa’n manier dat de hiele omtrek, skiednis en logika net brekke. Wy besochten net allinich in list fan technyske taken te jaan, mar om it yn it ferhaal te passen, sadat it gearhingjend en logysk wie. It wichtichste wurk wie geande foar de lêste moanne, dat is, 3-4 wiken foar dei X.

- Dus, njonken jo haadaktiviteit, hawwe jo tiid takend foar tarieding?

- Dat diene wy ​​parallel mei ús haadwurk, ja.

- Binne jo frege dit nochris te dwaan?

- Ja, wy hawwe in protte fersiken om te herheljen.

- En do?

- Wy hawwe nije ideeën, nije konsepten, wy wolle mear minsken lûke en it útwreidzje oer de tiid - sawol it seleksjeproses as it spultsje sels. Yn 't algemien binne wy ​​ynspireare troch it projekt "Cicada", jo kinne it Google - it is in heul cool IT-ûnderwerp, minsken fan oer de hiele wrâld ferienigje dêr, se begjinne diskusjes op Reddit, op foarums, se brûke koade-oersettingen, oplosse riedsels , en dat alles.

- It idee wie geweldich, gewoan respekt foar it idee en útfiering, want it is echt in protte wurdich. Ik winskje oprjocht dat jo dizze ynspiraasje net ferlieze en dat al jo nije projekten ek suksesfol binne. Dankewol!

Cyber ​​​​quest fan technyske stipeteam fan Veeam

- Ja, mar kinne jo in foarbyld sjen fan in taak dy't jo perfoarst net werbrûke sille?

"Ik tink dat wy gjin ien fan har sille opnij brûke." Dêrom kin ik jo fertelle oer de fuortgong fan 'e heule syktocht.

Bonus trackOan it begjin hawwe spilers de namme fan 'e firtuele masine en bewiisbrieven fan vCenter. Nei it oanmelden, sjogge se dizze masine, mar it begjint net. Hjir moatte jo riede dat der wat mis is mei it .vmx-bestân. Sadree't se it downloade, sjogge se de prompt dy't nedich is foar de twadde stap. Yn essinsje seit it dat de database brûkt troch Veeam Backup & Replication is fersifere.
Nei it fuortheljen fan de prompt, it ynladen fan it .vmx-bestân werom en de masine mei súkses ynskeakele, sjogge se dat ien fan 'e skiven eins in base64-fersifere databank befettet. Dêrtroch is de taak om it te ûntsiferjen en in folslein funksjonele Veeam-tsjinner te krijen.

In bytsje oer de firtuele masine wêrop dit alles bart. Sa't wy ûnthâlde, neffens it plot, de haadpersoan fan 'e syktocht is in nochal tsjustere persoan en docht wat dat is dúdlik net hiel legaal. Dêrom moat syn wurkkomputer in folslein hacker-like uterlik hawwe, dy't wy meitsje moasten, nettsjinsteande it feit dat it Windows is. It earste ding dat wy diene wie in protte props tafoegje, lykas ynformaasje oer grutte hacks, DDoS-oanfallen, en sa. Dêrnei hawwe se alle typyske software ynstalleare en oeral ferskate dumps, bestannen mei hashes, ensfh. Alles is lykas yn 'e films. Der wiene ûnder oare mappen mei de namme closed-case*** en open-case***
Om fierder te gean, moatte spilers hints fan reservekopybestannen weromsette.

Hjir moat sein wurde dat de spilers yn it begjin nochal wat ynformaasje krigen hawwe, en se krigen de measte gegevens (lykas IP, oanmelden en wachtwurden) yn 'e rin fan' e syktocht, it finen fan oanwizings yn backups of bestannen ferspraat op masines . Yn it earstoan lizze de reservekopybestannen op it Linux-repository, mar de map sels op 'e tsjinner is monteard mei de flagge noexec, sadat de agint ferantwurdlik foar triemherstel kin net begjinne.

Troch it repository te reparearjen krije dielnimmers tagong ta alle ynhâld en kinne úteinlik alle ynformaasje weromsette. It bliuwt om te begripen hokker it is. En om dit te dwaan, moatte se gewoan de bestannen op dizze masine studearje, bepale hokker fan har binne "brutsen" en wat krekt moat wurde restaurearre.

Op dit punt feroaret it senario fuort fan algemiene IT-kennis nei Veeam-spesifike funksjes.

Yn dit bepaalde foarbyld (as jo de triemnamme kenne, mar net witte wêr't jo nei sykje), moatte jo de sykfunksje brûke yn Enterprise Manager, ensfh. As gefolch, nei it herstellen fan de hiele logyske keten, de spilers hawwe in oare oanmelding / wachtwurd en nmap útfier. Dit bringt se nei de Windows Core tsjinner, en fia RDP (sadat it libben net liket huning).

It wichtichste skaaimerk fan dizze tsjinner: mei help fan in ienfâldich skript en ferskate wurdboeken waard foarme in absolút betsjuttingsleaze struktuer fan mappen en triemmen. En as jo ynlogge, krije jo in wolkomberjocht lykas "In logyske bom is hjir eksplodearre, dus jo moatte de oanwizings foar fierdere stappen gearwurkje."

De folgjende oanwizing waard ferdield yn in multi-volume argyf (40-50 stikken) en willekeurich ferdield ûnder dizze mappen. Us idee wie dat spilers har talinten moatte sjen litte yn it skriuwen fan ienfâldige PowerShell-skripts om in multi-volume argyf gear te setten mei in bekend masker en de fereaske gegevens te krijen. (Mar it die bliken as yn dy grap - guon fan 'e ûnderwerpen bliken ûngewoan fysyk ûntwikkele te wêzen.)

It argyf befette in foto fan in kassette (mei it opskrift "Last Supper - Best Moments"), dy't in hint joech fan it brûken fan in ferbûne tapebibleteek, dy't in kassette mei in ferlykbere namme befette. D'r wie mar ien probleem - it die bliken sa net te wurkjen dat it net iens katalogisearre waard. Dit is wêr wierskynlik it meast hardcore diel fan 'e syktocht begon. Wy hawwe de koptekst fan 'e kassette wiske, dus om gegevens derfan werom te heljen, moatte jo gewoan de "rauwe" blokken dumpe en troch se sjen yn in hex-bewurker om bestânstartmarkers te finen.
Wy fine de marker, besjoch de offset, fermannichfâldigje it blok mei syn grutte, foegje de offset ta en besykje it bestân te herstellen fan in spesifyk blok mei it ynterne ark. As alles goed dien wurdt en de wiskunde oerienkomt, dan hawwe de spilers in .wav-bestân yn hannen.

Dêryn, mei help fan in stim generator, ûnder oaren, wurdt diktearre in binêre koade, dat wurdt útwreide nei in oare IP.

Dit, docht bliken, is in nije Windows-tsjinner, wêr't alles hint op 'e needsaak om Wireshark te brûken, mar it is der net. De wichtichste trúk is dat d'r twa systemen binne ynstalleare op dizze masine - allinich de skiif fan 'e twadde wurdt loskeppele fia de apparaatbehearder offline, en de logyske ketting liedt ta de needsaak om te herstarten. Dan docht bliken dat standert in folslein oar systeem, wêr't Wireshark is ynstalleare, boot moat. En al dizze tiid wiene wy ​​op it sekundêre OS.

D'r is hjir gjin need nedich om wat spesjaal te dwaan, skeakelje gewoan opname yn op ien ynterface. In relatyf nau ûndersyk fan 'e dump ûntbleatet in dúdlik lofterhân pakket ferstjoerd fan' e helpmasine mei regelmjittige yntervallen, dy't in keppeling befettet nei in YouTube-fideo wêr't spilers wurde frege om in bepaald nûmer te skiljen. De earste beller sil lokwinsken hearre op it earste plak, de rest sil in útnoeging krije foar HR (grap)).

Trouwens, wy binne iepen baan iepening foar technyske stipe yngenieurs en trainees. Wolkom by it team!

Boarne: www.habr.com

Add a comment