Musim dingin ini, atau lebih tepatnya, pada salah satu hari antara Natal Katolik dan Tahun Baru, para insinyur dukungan teknis Veeam sibuk dengan tugas yang tidak biasa: mereka memburu sekelompok peretas yang disebut “Veeamonymous”.

Dia menceritakan bagaimana orang-orang itu sendiri yang menemukan dan melaksanakan pencarian nyata dalam kenyataan di tempat kerja mereka, dengan tugas-tugas yang “dekat dengan pertempuran” Kirill Stetsko, Insinyur Eskalasi.

- Kenapa kamu memulai ini?

- Hampir sama dengan cara orang menemukan Linux pada satu waktu - hanya untuk bersenang-senang, untuk kesenangan mereka sendiri.

Kami menginginkan gerakan, dan pada saat yang sama kami ingin melakukan sesuatu yang bermanfaat, sesuatu yang menarik. Ditambah lagi, penting untuk memberikan kelegaan emosional kepada para insinyur dari pekerjaan mereka sehari-hari.

- Siapa yang menyarankan ini? Ide siapa itu?

— Idenya adalah manajer kami Katya Egorova, dan kemudian konsep dan semua ide selanjutnya lahir melalui upaya bersama. Awalnya kami berpikir untuk melakukan hackathon. Namun selama pengembangan konsep, ide tersebut berkembang menjadi sebuah pencarian, lagipula, seorang insinyur dukungan teknis adalah jenis aktivitas yang berbeda dari pemrograman.

Jadi, kami menelepon teman, kawan, kenalan, orang yang berbeda membantu kami dengan konsep tersebut - satu orang dari T2 (jalur dukungan kedua adalah catatan Editor), satu orang dengan T3, beberapa orang dari tim SWAT (tim tanggap cepat untuk kasus-kasus yang sangat mendesak - catatan Editor). Kami semua berkumpul, duduk dan mencoba memikirkan tugas untuk pencarian kami.

— Sangat tidak terduga untuk mengetahui semua ini, karena, sejauh yang saya tahu, mekanisme pencarian biasanya dikerjakan oleh penulis skenario spesialis, yaitu, Anda tidak hanya menangani hal yang begitu rumit, tetapi juga yang berkaitan dengan pekerjaan Anda. , untuk bidang aktivitas profesional Anda.

— Ya, kami ingin menjadikannya bukan hanya hiburan, tetapi untuk “memompa” keterampilan teknis para insinyur. Salah satu tugas di departemen kami adalah pertukaran pengetahuan dan pelatihan, tetapi pencarian semacam itu adalah peluang bagus untuk membiarkan orang “menyentuh” beberapa teknik baru untuk mereka secara langsung.

— Bagaimana Anda mendapatkan tugas?

— Kami mengadakan sesi brainstorming. Kami memiliki pemahaman bahwa kami harus melakukan beberapa tes teknis, sehingga menarik sekaligus membawa pengetahuan baru.
Misalnya, kami berpikir bahwa orang harus mencoba mengendus lalu lintas, menggunakan hex editor, melakukan sesuatu untuk Linux, beberapa hal yang lebih mendalam terkait dengan produk kami (Veeam Backup & Replication dan lain-lain).

Konsep juga merupakan bagian penting. Kami memutuskan untuk mengembangkan tema peretas, akses anonim, dan suasana kerahasiaan. Topeng Guy Fawkes dijadikan simbol, dan namanya muncul secara alami – Veeamonymous.

"Pada awalnya adalah kata"

Untuk membangkitkan minat, kami memutuskan untuk mengadakan kampanye PR bertema pencarian sebelum acara: kami memasang poster pengumuman di sekitar kantor kami. Dan beberapa hari kemudian, diam-diam dari semua orang, mereka mengecatnya dengan kaleng semprot dan memulai “bebek”, mereka mengatakan bahwa beberapa penyerang merusak poster, mereka bahkan melampirkan foto dengan bukti….

- Jadi Anda melakukannya sendiri, yaitu tim penyelenggara?!

— Ya, pada hari Jumat, sekitar jam 9, ketika semua orang sudah pergi, kami pergi dan menggambar huruf "V" berwarna hijau dari balon.) Banyak peserta dalam pencarian tidak pernah menebak siapa yang melakukannya - orang-orang mendatangi kami dan bertanya siapa yang merusak poster itu? Seseorang menanggapi masalah ini dengan sangat serius dan melakukan penyelidikan menyeluruh mengenai topik ini.

Untuk misi ini, kami juga menulis file audio, suara "robek": misalnya, ketika seorang insinyur masuk ke sistem [CRM produksi] kami, ada robot penjawab yang mengucapkan segala macam frasa, angka... Ini dia dari kata-kata yang dia rekam, menyusun frasa yang kurang lebih bermakna, yah, mungkin sedikit bengkok - misalnya, kami mendapat "Tidak ada teman yang membantu Anda" dalam file audio.

Misalnya, kami merepresentasikan alamat IP dalam kode biner, dan sekali lagi, dengan menggunakan angka-angka ini [diucapkan oleh robot], kami menambahkan segala jenis suara yang menakutkan. Kami merekam videonya sendiri: dalam video tersebut kami melihat seorang pria mengenakan tudung hitam dan mengenakan topeng Guy Fawkes, namun kenyataannya tidak ada satu orang, melainkan tiga orang, karena dua orang berdiri di belakangnya dan memegang “latar belakang” yang terbuat dari selimut :).

– Terus terang, kamu bingung.

- Ya, kami terbakar. Secara umum, pertama-tama kami membuat spesifikasi teknis kami sendiri, dan kemudian menyusun garis besar sastra dan lucu tentang topik apa yang diduga terjadi. Menurut skenario, para peserta sedang berburu sekelompok hacker bernama “Veeamonymous”. Idenya juga adalah bahwa kami akan, seolah-olah, “mendobrak tembok ke-4”, yaitu, kami akan menerjemahkan peristiwa menjadi kenyataan - kami melukis dari kaleng semprot, misalnya.

Salah satu penutur asli bahasa Inggris dari departemen kami membantu kami dalam pemrosesan sastra teks.

- Tunggu, kenapa penutur asli? Apakah kamu melakukan semuanya dalam bahasa Inggris juga?!

— Ya, kami melakukannya untuk kantor St. Petersburg dan Bukares, jadi semuanya dalam bahasa Inggris.

Untuk pengalaman pertama kami mencoba membuat semuanya berjalan lancar, jadi skripnya linier dan cukup sederhana. Kami menambahkan lebih banyak lingkungan: teks rahasia, kode, gambar.

Kami juga menggunakan meme: ada banyak gambar dengan topik investigasi, UFO, beberapa cerita horor populer - beberapa tim terganggu oleh hal ini, mencoba menemukan beberapa pesan tersembunyi di sana, menerapkan pengetahuan mereka tentang steganografi dan hal-hal lain... tapi, tentu saja, tidak ada yang seperti itu.

Tentang duri

Namun, dalam proses persiapan, kami juga menghadapi tantangan yang tidak terduga.

Kami banyak berjuang dengan mereka dan menyelesaikan segala macam masalah yang tidak terduga, dan sekitar seminggu sebelum pencarian kami berpikir bahwa semuanya telah hilang.

Mungkin ada baiknya menceritakan sedikit tentang dasar teknis dari pencarian ini.

Semuanya dilakukan di lab ESXi internal kami. Kami memiliki 6 tim, yang berarti kami harus mengalokasikan 6 sumber daya. Jadi, untuk setiap tim kami menerapkan kumpulan terpisah dengan mesin virtual yang diperlukan (IP yang sama). Namun karena semua ini berlokasi di server yang berada di jaringan yang sama, konfigurasi VLAN kami saat ini tidak memungkinkan kami untuk mengisolasi mesin di kumpulan yang berbeda. Dan, misalnya, selama uji coba, kami menerima situasi di mana mesin dari satu kumpulan terhubung ke mesin dari kumpulan lainnya.

— Bagaimana Anda dapat memperbaiki situasi tersebut?

— Awalnya kami berpikir lama, menguji segala macam opsi dengan izin, vLAN terpisah untuk mesin. Akibatnya, mereka melakukan ini - setiap tim hanya melihat server Veeam Backup, yang melaluinya semua pekerjaan lebih lanjut dilakukan, tetapi tidak melihat subkumpulan tersembunyi, yang berisi:

• beberapa mesin Windows
• Server inti Windows
• mesin Linux
• memasangkan VTL (Perpustakaan Pita Virtual)

Semua kumpulan diberi grup port terpisah pada sakelar vDS dan VLAN Pribadinya sendiri. Isolasi ganda inilah yang diperlukan untuk sepenuhnya menghilangkan kemungkinan interaksi jaringan.

Tentang yang berani

— Adakah yang bisa mengambil bagian dalam misi ini? Bagaimana tim-tim tersebut dibentuk?

— Ini adalah pengalaman pertama kami mengadakan acara seperti itu, dan kemampuan laboratorium kami terbatas pada 6 tim.

Pertama, seperti yang sudah saya katakan, kami melakukan kampanye PR: dengan menggunakan poster dan surat, kami mengumumkan bahwa sebuah pencarian akan diadakan. Kami bahkan memiliki beberapa petunjuk - frasa dienkripsi dalam kode biner di poster itu sendiri. Dengan cara ini, kami membuat orang-orang tertarik, dan orang-orang telah mencapai kesepakatan di antara mereka sendiri, dengan teman, dengan teman, dan bekerja sama. Hasilnya, lebih banyak orang yang merespons daripada kumpulan yang kami punya, jadi kami harus melakukan seleksi: kami membuat tugas tes sederhana dan mengirimkannya ke semua orang yang merespons. Itu adalah masalah logika yang harus diselesaikan dengan cepat.

Satu tim diperbolehkan maksimal 5 orang. Tidak perlu ada kapten, idenya adalah kerjasama, komunikasi satu sama lain. Seseorang kuat, misalnya, di Linux, seseorang kuat dalam kaset (cadangan ke kaset), dan semua orang, melihat tugasnya, dapat menginvestasikan upaya mereka dalam solusi keseluruhan. Semua orang berkomunikasi satu sama lain dan menemukan solusi.

— Pada titik manakah acara ini dimulai? Apakah Anda memiliki semacam “jam X”?

— Ya, kami memiliki hari yang ditentukan secara ketat, kami memilihnya agar beban kerja di departemen lebih sedikit. Tentu saja, pemimpin tim telah diberitahu sebelumnya bahwa tim ini dan itu diundang untuk berpartisipasi dalam misi, dan mereka perlu diberi keringanan [mengenai pemuatan] pada hari itu. Sepertinya ini akhir tahun, 28 Desember, Jumat. Kami memperkirakan ini akan memakan waktu sekitar 5 jam, tetapi semua tim menyelesaikannya lebih cepat.

— Apakah semua orang memiliki kedudukan yang sama, apakah setiap orang mempunyai tugas yang sama berdasarkan kasus nyata?

— Ya, masing-masing penyusun mengambil beberapa cerita dari pengalaman pribadi. Kami tahu bahwa hal ini bisa terjadi dalam kenyataan, dan akan menarik bagi seseorang untuk “merasakan”, melihat, dan memahaminya. Mereka juga mengambil beberapa hal yang lebih spesifik - misalnya, pemulihan data dari kaset yang rusak. Beberapa dengan petunjuk, tetapi sebagian besar tim melakukannya sendiri.

Atau perlu menggunakan keajaiban skrip cepat - misalnya, kami memiliki cerita bahwa semacam "bom logis" "merobek" arsip multi-volume ke dalam folder acak di sepanjang pohon, dan data perlu dikumpulkan. Anda dapat melakukannya secara manual - temukan dan salin [file] satu per satu, atau Anda dapat menulis skrip menggunakan topeng.

Secara umum, kami mencoba untuk berpegang pada pandangan bahwa satu masalah dapat diselesaikan dengan cara yang berbeda. Misalnya, jika Anda sedikit lebih berpengalaman atau ingin bingung, maka Anda dapat menyelesaikannya lebih cepat, tetapi ada cara langsung untuk menyelesaikannya secara langsung - tetapi pada saat yang sama Anda akan menghabiskan lebih banyak waktu untuk menyelesaikan masalah tersebut. Artinya, hampir setiap tugas mempunyai beberapa solusi, dan menarik jalur mana yang akan dipilih tim. Jadi ketidaklinierannya justru pada pemilihan opsi solusi.

Omong-omong, masalah Linux ternyata yang paling sulit - hanya satu tim yang menyelesaikannya secara mandiri, tanpa petunjuk apa pun.

— Bisakah kamu mendapat petunjuk? Seperti dalam pencarian nyata??

— Ya, itu mungkin untuk diambil, karena kami memahami bahwa orang berbeda, dan mereka yang kurang memiliki pengetahuan bisa masuk ke tim yang sama, jadi agar tidak menunda perjalanan dan tidak kehilangan minat kompetitif, kami memutuskan bahwa kami akan tips. Untuk melakukan hal tersebut, setiap tim diawasi oleh salah satu pihak penyelenggara. Ya, kami memastikan tidak ada yang curang.

Tentang bintang-bintang

— Apakah ada hadiah untuk para pemenang?

— Ya, kami mencoba memberikan hadiah yang paling menyenangkan bagi semua peserta dan pemenang: pemenang menerima kaus desainer dengan logo Veeam dan frasa yang dienkripsi dalam kode heksadesimal, hitam). Seluruh peserta mendapatkan masker Guy Fawkes dan tas branded dengan logo dan kode yang sama.

- Artinya, semuanya seperti dalam pencarian nyata!

“Yah, kami ingin melakukan hal yang keren dan dewasa, dan menurutku kami berhasil.”

- Ini benar! Apa reaksi akhir dari mereka yang berpartisipasi dalam misi ini? Sudahkah Anda mencapai tujuan Anda?

- Ya, banyak yang muncul kemudian dan mengatakan bahwa mereka dengan jelas melihat kelemahan mereka dan ingin memperbaikinya. Seseorang tidak lagi takut dengan teknologi tertentu - misalnya, membuang blok dari kaset dan mencoba mengambil sesuatu di sana... Seseorang menyadari bahwa dia perlu meningkatkan Linux, dan seterusnya. Kami mencoba memberikan tugas yang cukup luas, tetapi tidak sepenuhnya sepele.

Tim pemenang

“Siapapun yang mau, akan mencapainya!”

– Apakah itu membutuhkan banyak usaha dari mereka yang mempersiapkan misinya?

- Sebenarnya ya. Tapi ini kemungkinan besar disebabkan oleh fakta bahwa kami tidak memiliki pengalaman dalam mempersiapkan misi semacam itu, infrastruktur semacam ini. (Mari kita buat reservasi bahwa ini bukan infrastruktur kita yang sebenarnya - ini hanya dimaksudkan untuk menjalankan beberapa fungsi permainan.)

Itu adalah pengalaman yang sangat menarik bagi kami. Awalnya saya skeptis, karena ide itu menurut saya terlalu keren, saya pikir akan sangat sulit untuk diterapkan. Tapi kami mulai melakukannya, kami mulai membajak, semuanya mulai terbakar, dan pada akhirnya kami berhasil. Dan bahkan hampir tidak ada overlay.

Total kami menghabiskan 3 bulan. Sebagian besar, kami menghasilkan sebuah konsep dan mendiskusikan apa yang dapat kami terapkan. Dalam prosesnya, tentu saja ada beberapa hal yang berubah, karena kami menyadari bahwa kami tidak mempunyai kemampuan teknis untuk melakukan sesuatu. Kami harus mengulang sesuatu di sepanjang jalan, tetapi sedemikian rupa sehingga keseluruhan garis besar, sejarah dan logika tidak rusak. Kami mencoba tidak sekedar memberikan daftar tugas teknis, tetapi menyesuaikannya dengan cerita, sehingga koheren dan logis. Pekerjaan utama berlangsung selama sebulan terakhir, yaitu 3-4 minggu sebelum hari X.

— Jadi, selain aktivitas utama Anda, Anda mengalokasikan waktu untuk persiapan?

— Kami melakukan ini bersamaan dengan pekerjaan utama kami, ya.

- Apakah kamu diminta melakukan ini lagi?

- Ya, kami memiliki banyak permintaan untuk mengulang.

- Dan kamu?

- Kami memiliki ide-ide baru, konsep-konsep baru, kami ingin menarik lebih banyak orang dan mengembangkannya seiring berjalannya waktu - baik proses seleksi maupun proses permainan itu sendiri. Secara umum, kami terinspirasi oleh proyek “Cicada”, Anda dapat mencarinya di Google - ini adalah topik TI yang sangat keren, orang-orang dari seluruh dunia bersatu di sana, mereka memulai topik di Reddit, di forum, mereka menggunakan terjemahan kode, memecahkan teka-teki , dan semua itu.

— Idenya bagus, hormati saja ide dan implementasinya, karena itu sangat berharga. Saya dengan tulus berharap Anda tidak kehilangan inspirasi ini dan semua proyek baru Anda juga berhasil. Terima kasih!

— Ya, bisakah Anda melihat contoh tugas yang pasti tidak akan Anda gunakan kembali?

“Saya kira kami tidak akan menggunakan kembali satupun dari mereka.” Oleh karena itu, saya dapat memberi tahu Anda tentang kemajuan seluruh misi.

Lagu bonusPada awalnya, pemain memiliki nama mesin virtual dan kredensial dari vCenter. Setelah masuk ke dalamnya, mereka melihat mesin ini, tetapi tidak dapat dijalankan. Di sini Anda perlu menebak ada yang salah dengan file .vmx. Setelah mengunduhnya, mereka melihat perintah yang diperlukan untuk langkah kedua. Pada dasarnya, dikatakan bahwa database yang digunakan oleh Veeam Backup & Replication dienkripsi.
Setelah menghapus prompt, mengunduh kembali file .vmx dan berhasil menyalakan mesin, mereka melihat bahwa salah satu disk sebenarnya berisi database terenkripsi base64. Oleh karena itu, tugasnya adalah mendekripsinya dan mendapatkan server Veeam yang berfungsi penuh.

Sedikit tentang mesin virtual tempat semua ini terjadi. Seperti yang kita ingat, menurut plotnya, karakter utama dari quest ini adalah orang yang agak gelap dan melakukan sesuatu yang jelas-jelas tidak terlalu legal. Oleh karena itu, komputer kerjanya harus memiliki tampilan yang benar-benar seperti peretas, yang harus kami buat, meskipun sebenarnya itu adalah Windows. Hal pertama yang kami lakukan adalah menambahkan banyak alat peraga, seperti informasi tentang peretasan besar, serangan DDoS, dan sejenisnya. Kemudian mereka menginstal semua perangkat lunak biasa dan menempatkan berbagai dump, file dengan hash, dll di mana-mana. Semuanya seperti di film. Antara lain, ada folder bernama close-case*** dan open-case***
Untuk maju lebih jauh, pemain perlu memulihkan petunjuk dari file cadangan.

Di sini harus dikatakan bahwa pada awalnya para pemain diberikan cukup banyak informasi, dan mereka menerima sebagian besar data (seperti IP, login dan kata sandi) selama pencarian, menemukan petunjuk di cadangan atau file yang tersebar di mesin . Awalnya, file cadangan terletak di repositori Linux, tetapi folder itu sendiri di server dipasang dengan bendera noexec, sehingga agen yang bertanggung jawab atas pemulihan file tidak dapat memulai.

Dengan memperbaiki repositori, peserta mendapatkan akses ke semua konten dan akhirnya dapat memulihkan informasi apa pun. Masih harus dipahami yang mana itu. Dan untuk melakukan ini, mereka hanya perlu mempelajari file yang disimpan di mesin ini, menentukan file mana yang “rusak” dan apa sebenarnya yang perlu dipulihkan.

Pada titik ini, skenario beralih dari pengetahuan TI umum ke fitur khusus Veeam.

Dalam contoh khusus ini (ketika Anda mengetahui nama file, tetapi tidak tahu di mana mencarinya), Anda perlu menggunakan fungsi pencarian di Enterprise Manager, dan seterusnya. Hasilnya, setelah memulihkan seluruh rantai logis, pemain memiliki login/kata sandi lain dan keluaran nmap. Ini membawa mereka ke server Windows Core, dan melalui RDP (sehingga hidup tidak terasa seperti madu).

Fitur utama server ini: dengan bantuan skrip sederhana dan beberapa kamus, struktur folder dan file yang sama sekali tidak berarti terbentuk. Dan saat Anda masuk, Anda menerima pesan selamat datang seperti “Bom logika telah meledak di sini, jadi Anda harus mengumpulkan petunjuk untuk langkah selanjutnya.”

Petunjuk berikut dibagi menjadi arsip multi-volume (40-50 buah) dan didistribusikan secara acak ke dalam folder-folder ini. Ide kami adalah pemain harus menunjukkan bakat mereka dalam menulis skrip PowerShell sederhana untuk menyusun arsip multi-volume menggunakan topeng terkenal dan mendapatkan data yang diperlukan. (Tetapi ternyata seperti dalam lelucon itu - beberapa subjek ternyata memiliki perkembangan fisik yang luar biasa.)

Arsip tersebut berisi foto kaset (dengan tulisan “Perjamuan Terakhir - Momen Terbaik”), yang memberikan petunjuk tentang penggunaan perpustakaan kaset yang terhubung, yang berisi kaset dengan nama yang mirip. Hanya ada satu masalah - ternyata sangat tidak bisa dioperasikan sehingga bahkan tidak dikatalogkan. Di sinilah mungkin bagian paling sulit dari pencarian dimulai. Kami menghapus header dari kaset, jadi untuk memulihkan data darinya, Anda hanya perlu membuang blok "mentah" dan memeriksanya dalam hex editor untuk menemukan penanda awal file.
Kami menemukan penanda, melihat offset, mengalikan blok dengan ukurannya, menambahkan offset dan, menggunakan alat internal, mencoba memulihkan file dari blok tertentu. Jika semuanya dilakukan dengan benar dan matematika setuju, maka para pemain akan memiliki file .wav di tangan mereka.

Di dalamnya, menggunakan generator suara, antara lain, kode biner ditentukan, yang diperluas ke IP lain.

Ternyata ini adalah server Windows baru, yang semuanya mengisyaratkan perlunya menggunakan Wireshark, tetapi tidak ada. Trik utamanya adalah ada dua sistem yang diinstal pada mesin ini - hanya disk dari sistem kedua yang terputus melalui pengelola perangkat secara offline, dan rantai logis menyebabkan perlunya reboot. Kemudian ternyata secara default sistem yang sama sekali berbeda, tempat Wireshark diinstal, harus melakukan booting. Dan selama ini kami menggunakan OS sekunder.

Tidak perlu melakukan sesuatu yang istimewa di sini, cukup aktifkan pengambilan pada satu antarmuka. Pemeriksaan yang relatif dekat terhadap dump tersebut mengungkapkan paket yang jelas-jelas kidal yang dikirim dari mesin tambahan secara berkala, yang berisi tautan ke video YouTube di mana pemain diminta untuk menghubungi nomor tertentu. Penelepon pertama akan mendengar ucapan selamat sebagai juara pertama, sisanya akan mendapat undangan ke HR (lelucon)).

Ngomong-ngomong, kami terbuka Lowongan untuk insinyur dukungan teknis dan peserta pelatihan. Selamat Datang di tim!

Sumber: www.habr.com