Í vetur, eða réttara sagt, á einum af dögum milli kaþólskra jóla og nýárs, voru tæknifræðingar Veeam uppteknir við óvenjuleg verkefni: þeir voru að leita að hópi tölvuþrjóta sem kallast „Veeamonymous“.
Hann sagði frá því hvernig strákarnir sjálfir komust upp með og gerðu alvöru leit í raun og veru í vinnu sinni, með verkefni „nálægt bardaga“ Kirill Stetsko, Stækkunarverkfræðingur.
- Hvers vegna byrjaðirðu á þessu?
- Um svipað leyti og fólk kom upp með Linux á sínum tíma - bara sér til skemmtunar, sér til ánægju.
Okkur langaði í hreyfingu og á sama tíma vildum við gera eitthvað gagnlegt, eitthvað áhugavert. Auk þess var nauðsynlegt að veita verkfræðingunum tilfinningalega léttir frá daglegu starfi þeirra.
- Hver stakk upp á þessu? Hvers hugmynd var það?
— Hugmyndin var Katya Egorova, stjórnandi okkar, og síðan fæddust hugmyndin og allar frekari hugmyndir með sameiginlegu átaki. Upphaflega datt okkur í hug að gera hackathon. En við þróun hugmyndarinnar óx hugmyndin í leit; þegar öllu er á botninn hvolft er tæknilegur aðstoðarverkfræðingur önnur tegund af starfsemi en forritun.
Svo, við hringdum í vini, félaga, kunningja, mismunandi fólk hjálpaði okkur með hugmyndina - einn einstaklingur frá T2 (önnur stuðningslínan er athugasemd ritstjóra), einn einstaklingur með T3, nokkrir úr SWAT teyminu (flýtiviðbragðsteymi fyrir sérstaklega brýn mál - athugasemd ritstjóra). Við komum öll saman, settumst niður og reyndum að koma með verkefni fyrir leit okkar.
— Það var mjög óvænt að kynnast þessu öllu, því að eftir því sem ég best veit, þá er leitarvélafræði yfirleitt unnin af sérhæfðum handritshöfundum, það er að segja að þú tókst ekki aðeins á við svo flókið atriði, heldur einnig í tengslum við vinnu þína. , á fagsvið þitt.
— Já, við vildum gera þetta ekki bara til skemmtunar heldur „dæla“ upp tæknikunnáttu verkfræðinga. Eitt af verkefnum deildarinnar okkar er að skiptast á þekkingu og þjálfun, en slík leit er frábært tækifæri til að leyfa fólki að „snerta“ nýja tækni fyrir það lifandi.
— Hvernig komstu að verkefnum?
— Við fórum í hugarflug. Við höfðum skilning á því að við yrðum að gera nokkur tæknipróf og þannig að þau yrðu áhugaverð og um leið færa nýja þekkingu.
Við héldum til dæmis að fólk ætti að prófa að þefa uppi umferð, nota hex ritstjóra, gera eitthvað fyrir Linux, eitthvað dýpri hluti sem tengjast vörum okkar (Veeam Backup & Replication og fleiri).
Hugmyndin var líka mikilvægur þáttur. Við ákváðum að byggja á þema tölvuþrjóta, nafnlauss aðgangs og andrúmslofts leyndar. Guy Fawkes gríman var gerð að tákni og nafnið kom af sjálfu sér - Veeamonymous.
„Í upphafi var orðið“
Til að vekja áhuga ákváðum við að skipuleggja PR-herferð með quest-þema fyrir viðburðinn: við hengdum upp veggspjöld með tilkynningunni um skrifstofuna okkar. Og nokkrum dögum síðar, leynilega frá öllum, máluðu þeir þá með spreybrúsum og stofnuðu „önd“, þeir segja að sumir árásarmenn hafi eyðilagt veggspjöldin, þeir hengdu jafnvel mynd með sönnun….
- Þannig að þú gerðir það sjálfur, það er að segja hópur skipuleggjenda?!
— Já, á föstudaginn, um 9 leytið, þegar allir voru farnir, fórum við og teiknuðum stafinn „V“ með grænum lit úr blöðrum.) Margir þátttakendur í leitinni giskuðu aldrei á hver gerði það - fólk kom til okkar og spurði hver eyðilagði plakötin ? Einhver tók þetta mál mjög alvarlega og framkvæmdi heila rannsókn á þessu efni.
Fyrir leitina skrifuðum við líka hljóðskrár, „rífuðum út“ hljóð: til dæmis, þegar verkfræðingur skráir sig inn í [framleiðslu CRM] kerfið okkar, er vélmenni sem svarar alls kyns orðasamböndum, tölum... Hér erum við úr þessum orðum sem hann hefur tekið upp, samið meira og minna merkingarbærar setningar, tja, kannski svolítið skakkt - til dæmis fengum við „Enga vinir til að hjálpa þér“ í hljóðskrá.
Til dæmis táknuðum við IP töluna í tvíundarkóða, og aftur, með því að nota þessar tölur [boraðar fram af vélmenni], bættum við við alls kyns ógnvekjandi hljóðum. Við tókum myndbandið sjálfir: í myndbandinu erum við með mann sem situr í svartri hettu og Guy Fawkes grímu, en í raun er það ekki einn maður, heldur þrír, því tveir standa fyrir aftan hann og halda á „bakgrunni“ úr teppi :).
- Jæja, þú ert ruglaður, hreint út sagt.
- Já, það kviknaði í okkur. Almennt séð komum við fyrst með tækniforskriftir okkar og sömdum síðan bókmenntalega og fjöruga útlínu um efnið sem sagðist hafa gerst. Samkvæmt atburðarásinni voru þátttakendur að veiða hóp tölvuþrjóta sem kallast „Veeamonymous“. Hugmyndin var líka sú að við myndum sem sagt „brjóta fjórða vegginn,“ það er að segja að við myndum yfirfæra atburði í raunveruleikann - við máluðum til dæmis úr spreybrúsa.
Einn enskumælandi frá deildinni okkar hjálpaði okkur við bókmenntavinnslu textans.
- Bíddu, hvers vegna móðurmáli? Gerðir þú þetta líka allt á ensku?!
— Já, við gerðum það fyrir skrifstofurnar í St. Pétursborg og Búkarest, svo allt var á ensku.
Í fyrstu reynslu reyndum við að láta allt bara virka, svo handritið var línulegt og frekar einfalt. Við bættum við meira umhverfi: leynilegum textum, kóða, myndum.
Við notuðum líka memes: það var fullt af myndum um efni rannsókna, UFO, nokkrar vinsælar hryllingssögur - sum lið voru annars hugar við þetta, reyndu að finna falin skilaboð þar, beita þekkingu sinni á steganography og öðru... en auðvitað var ekkert svoleiðis.
Um þyrna
Hins vegar, meðan á undirbúningsferlinu stóð, stóðum við einnig frammi fyrir óvæntum áskorunum.
Við börðumst mikið við þá og leystum alls kyns óvænt mál og um viku fyrir leitina héldum við að allt væri glatað.
Það er líklega þess virði að segja aðeins frá tæknilegum grunni leitarinnar.
Allt var gert í innri ESXi rannsóknarstofu okkar. Við vorum með 6 lið, sem þýðir að við þurftum að úthluta 6 auðlindapottum. Svo, fyrir hvert lið settum við upp sérstaka laug með nauðsynlegum sýndarvélum (sama IP). En þar sem allt þetta var staðsett á netþjónum sem eru á sama neti, leyfði núverandi uppsetning VLAN okkar okkur ekki að einangra vélar í mismunandi laugum. Og, til dæmis, í tilraunahlaupi fengum við aðstæður þar sem vél úr einni laug tengdist vél frá annarri.
— Hvernig tókst þér að leiðrétta ástandið?
— Í fyrstu hugsuðum við lengi, prófuðum alls kyns valkosti með heimildum, aðskilin vLAN fyrir vélar. Fyrir vikið gerðu þeir þetta - hvert lið sér aðeins Veeam Backup netþjóninn, sem öll frekari vinna fer fram í gegnum, en sér ekki falinn undirhópinn, sem inniheldur:
- nokkrar Windows vélar
- Windows kjarnaþjónn
- Linux vél
- para VTL (Virtual Tape Library)
Öllum laugum er úthlutað sérstökum hópi tengi á vDS rofanum og þeirra eigin einka VLAN. Þessi tvöfalda einangrun er nákvæmlega það sem þarf til að útiloka algjörlega möguleika á netsamskiptum.
Um hugrakka
— Gæti einhver tekið þátt í leitinni? Hvernig urðu liðin til?
— Þetta var fyrsta reynsla okkar af því að halda slíkan viðburð og getu rannsóknarstofu okkar var takmörkuð við 6 teymi.
Í fyrsta lagi, eins og ég sagði þegar, gerðum við PR herferð: með því að nota veggspjöld og póstsendingar tilkynntum við að verkefni yrði haldið. Við höfðum meira að segja nokkrar vísbendingar - orðasambönd voru dulkóðuð með tvöföldum kóða á veggspjöldunum sjálfum. Þannig vöktum við áhuga fólks og menn náðu þegar samkomulagi sín á milli, við vini, við vini og samstarf. Fyrir vikið svöruðu fleiri en við höfðum laug, þannig að við urðum að gera val: við komum með einfalt prófverkefni og sendum það til allra sem svöruðu. Þetta var rökfræðilegt vandamál sem þurfti að leysa fljótt.
Lið var leyft allt að 5 manns. Það var engin þörf á skipstjóra, hugmyndin var samvinna, samskipti sín á milli. Einhver er sterkur, til dæmis í Linux, einhver er sterkur í spólum (afrit á spólur), og allir, sem sjá verkefnið, gætu lagt krafta sína í heildarlausnina. Allir höfðu samskipti sín á milli og fundu lausn.
— Hvenær hófst þessi atburður? Varstu með einhvers konar „klukkutíma X“?
— Já, við vorum með strangt tiltekinn dag, við völdum hann þannig að það væri minna álag á deildinni. Að sjálfsögðu var liðsforingjum tilkynnt fyrirfram um að slíkum og slíkum liðum væri boðið að taka þátt í leitinni og þeir þyrftu að fá smá léttir [varðandi fermingu] þann dag. Það leit út fyrir að það ætti að vera áramót, 28. desember, föstudag. Við bjuggumst við að það tæki um 5 klukkustundir en öll lið kláruðu þetta hraðar.
— Voru allir jafnfætis, höfðu allir sömu verkefnin út frá raunverulegum málum?
— Jæja, já, hver þýðandinn tók nokkrar sögur af eigin reynslu. Við vissum um eitthvað sem gæti gerst í raunveruleikanum og það væri áhugavert fyrir manneskju að „finna fyrir“ því, skoða og átta sig á því. Þeir tóku líka ákveðnari hluti - til dæmis endurheimt gagna frá skemmdum segulböndum. Sumir með vísbendingar, en flest liðin gerðu það á eigin spýtur.
Eða það var nauðsynlegt að nota töfra fljótlegra handrita - til dæmis höfðum við sögu um að einhver „röksprengja“ „reif“ margþætt skjalasafn í handahófskenndar möppur meðfram trénu og það var nauðsynlegt að safna gögnunum. Þú getur gert þetta handvirkt - fundið og afritað [skrár] eina í einu, eða þú getur skrifað handrit með grímu.
Almennt var reynt að halda fast við það sjónarmið að hægt væri að leysa eitt vandamál á mismunandi vegu. Til dæmis, ef þú ert aðeins reynslunni ríkari eða vilt ruglast, þá geturðu leyst það hraðar, en það er bein leið til að leysa það beint - en á sama tíma muntu eyða meiri tíma í vandamálið. Það er að segja að nánast hvert verkefni hafði nokkrar lausnir og það var áhugavert hvaða leiðir liðin myndu velja. Þannig að ólínuleikin var einmitt í vali á lausnarmöguleika.
Við the vegur, Linux vandamálið reyndist vera erfiðast - aðeins eitt lið leysti það sjálfstætt, án nokkurra vísbendinga.
— Gætirðu tekið vísbendingar? Eins og í alvöru leit??
— Já, það var hægt að taka því, því við áttum okkur á því að fólk er ólíkt og þeir sem skortir einhverja þekkingu gætu komist í sama lið, þannig að til að tefja ekki yfirferðina og missa ekki samkeppnisáhugann ákváðum við að við myndi ráð. Til að gera þetta var fylgst með hverju liði af einstaklingi frá skipuleggjendum. Jæja, við gættum þess að enginn svindlaði.
Um stjörnurnar
— Voru verðlaun fyrir sigurvegarana?
— Já, við reyndum að útvega skemmtilegustu vinningana fyrir bæði alla þátttakendur og sigurvegara: sigurvegararnir fengu hönnuð peysur með Veeam lógóinu og setningu dulkóðaðs í sextándakóða, svörtum). Allir þátttakendur fengu Guy Fawkes grímu og vörumerkjapoka með lógóinu og sama kóða.
- Það er, allt var eins og í alvöru leit!
„Jæja, við vildum gera flott, fullorðinn hlut og ég held að okkur hafi tekist það.
- Þetta er satt! Hver voru lokaviðbrögð þeirra sem tóku þátt í þessari leit? Hefur þú náð markmiði þínu?
- Já, margir komu upp seinna og sögðust greinilega sjá sína veiku hlið og vildu bæta þá. Einhver hætti að vera hræddur við ákveðna tækni - til dæmis að henda kubbum af spólum og reyna að grípa eitthvað þar... Einhver áttaði sig á því að hann þyrfti að bæta Linux o.s.frv. Við reyndum að gefa nokkuð fjölbreytt verkefni, en ekki alveg léttvæg.
Sigurliðið
"Hver sem vill, mun ná því!"
— Krefðist það mikillar fyrirhafnar frá þeim sem undirbjuggu leitina?
- Reyndar já. En þetta var líklegast vegna þess að við höfðum enga reynslu í að undirbúa svona verkefni, svona innviði. (Við skulum gera fyrirvara um að þetta sé ekki raunverulegur innviði okkar - það átti einfaldlega að framkvæma nokkrar leikjaaðgerðir.)
Þetta var mjög áhugaverð reynsla fyrir okkur. Í fyrstu var ég efins, vegna þess að mér fannst hugmyndin of flott, ég hélt að hún yrði mjög erfið í framkvæmd. En við byrjuðum á því, byrjuðum að plægja, allt fór að kvikna og á endanum tókst það. Og það voru jafnvel nánast engar yfirlögn.
Alls eyddum við 3 mánuðum. Að mestu leyti komum við með hugmynd og ræddum hvað við gætum útfært. Í því ferli breyttust náttúrulega hlutir, því við áttuðum okkur á því að við höfðum ekki tæknilega hæfileika til að gera eitthvað. Við þurftum að endurgera eitthvað í leiðinni, en þannig að öll útlínur, saga og rökfræði brotnuðu ekki. Við reyndum ekki bara að gefa lista yfir tæknileg verkefni, heldur að láta hann falla inn í söguna, þannig að hún væri samfelld og rökrétt. Aðalvinnan var í gangi síðasta mánuðinn, það er 3-4 vikum fyrir dag X.
— Svo, auk aðalstarfsemi þinnar, úthlutaðir þú tíma til undirbúnings?
— Við gerðum þetta samhliða okkar aðalstarfi, já.
- Ertu beðinn um að gera þetta aftur?
- Já, við höfum margar beiðnir til að endurtaka.
- Og þú?
- Við erum með nýjar hugmyndir, nýjar hugmyndir, við viljum laða að fleira fólk og teygja það út með tímanum - bæði valferlið og leikferlið sjálft. Almennt séð erum við innblásin af „Cicada“ verkefninu, þú getur gúglað það - það er mjög flott upplýsingatækniefni, fólk alls staðar að úr heiminum sameinast þar, það byrjar þræði á Reddit, á spjallborðum, það notar kóðaþýðingar, leysir gátur , og allt það.
— Hugmyndin var frábær, bara virðing fyrir hugmyndinni og framkvæmdinni, því hún er virkilega mikils virði. Ég óska þess innilega að þú missir ekki þennan innblástur og að öll nýju verkefnin þín gangi líka vel. Þakka þér fyrir!
— Já, geturðu skoðað dæmi um verkefni sem þú munt örugglega ekki endurnýta?
„Mig grunar að við munum ekki endurnýta neitt þeirra.“ Þess vegna get ég sagt þér frá framvindu alls leitarinnar.
Bónus lagÍ upphafi hafa leikmenn nafn sýndarvélarinnar og skilríki frá vCenter. Eftir að hafa skráð sig inn á hana sjá þeir þessa vél en hún fer ekki í gang. Hér þarftu að giska á að eitthvað sé að .vmx skránni. Þegar þeir hafa hlaðið því niður sjá þeir hvetja sem þarf fyrir annað skrefið. Í meginatriðum segir það að gagnagrunnurinn sem Veeam Backup & Replication notar sé dulkóðaður.
Eftir að hafa fjarlægt vísuna, hlaðið niður .vmx skránni til baka og kveikt á vélinni, sjá þeir að einn af diskunum inniheldur í raun base64 dulkóðaðan gagnagrunn. Í samræmi við það er verkefnið að afkóða það og fá fullkomlega virkan Veeam netþjón.
Smá um sýndarvélina sem allt þetta gerist á. Eins og við munum, samkvæmt söguþræðinum, er aðalpersónan í leitinni frekar dökk manneskja og er að gera eitthvað sem er greinilega ekki mjög löglegt. Þess vegna ætti vinnutölvan hans að vera algjörlega tölvuþrjótandi, sem við urðum að búa til, þrátt fyrir að það sé Windows. Það fyrsta sem við gerðum var að bæta við fullt af leikmunum, svo sem upplýsingum um helstu járnsög, DDoS árásir og þess háttar. Síðan settu þeir upp allan dæmigerðan hugbúnað og settu ýmis sorp, skrár með hass o.s.frv. Allt er eins og í kvikmyndum. Meðal annars voru möppur sem hétu lokuð mál*** og opið mál***
Til að komast lengra þurfa leikmenn að endurheimta vísbendingar úr öryggisafritsskrám.
Hér verður að segjast að í upphafi fengu leikmenn töluvert af upplýsingum og þeir fengu flest gögnin (eins og IP, innskráningu og lykilorð) meðan á leitinni stóð, fundu vísbendingar í afritum eða skrám sem dreifðust á vélum. . Upphaflega eru afritaskrárnar staðsettar á Linux geymslunni, en mappan sjálf á þjóninum er fest með fánanum noexec, svo umboðsmaðurinn sem ber ábyrgð á endurheimt skrá getur ekki byrjað.
Með því að laga geymsluna fá þátttakendur aðgang að öllu efni og geta loksins endurheimt hvaða upplýsingar sem er. Það á eftir að skilja hver það er. Og til að gera þetta þurfa þeir bara að rannsaka skrárnar sem eru geymdar á þessari vél, ákvarða hver þeirra er „brotinn“ og hvað nákvæmlega þarf að endurheimta.
Á þessum tímapunkti færist atburðarásin frá almennri upplýsingatækniþekkingu yfir í Veeam sérstaka eiginleika.
Í þessu tiltekna dæmi (þegar þú veist skráarnafnið, en veist ekki hvar á að leita að því), þarftu að nota leitaraðgerðina í Enterprise Manager, og svo framvegis. Þar af leiðandi, eftir að hafa endurheimt alla rökrænu keðjuna, hafa leikmenn annað innskráningarorð/lykilorð og nmap úttak. Þetta kemur þeim á Windows Core netþjóninn og í gegnum RDP (svo að lífið virðist ekki eins og hunang).
Helstu eiginleiki þessa netþjóns: með hjálp einfalds handrits og nokkurra orðabóka var algerlega tilgangslaus uppbygging möppna og skráa mynduð. Og þegar þú skráir þig inn færðu velkomin skilaboð eins og "Röksprengja hefur sprungið hér, svo þú verður að púsla saman vísbendingunum fyrir frekari skref."
Eftirfarandi vísbendingu var skipt í margra binda skjalasafn (40-50 stykki) og dreift af handahófi á þessar möppur. Hugmyndin okkar var sú að leikmenn ættu að sýna hæfileika sína í að skrifa einföld PowerShell forskriftir til að setja saman fjölbinda skjalasafn með því að nota vel þekkta grímu og fá nauðsynleg gögn. (En það kom út eins og í þessum brandara - sum viðfangsefnin reyndust vera óvenjulega líkamlega þróuð.)
Í skjalasafninu var mynd af snældu (með áletruninni „Síðasta kvöldmáltíðin - Bestu augnablikin“), sem gaf vísbendingu um notkun á tengdu segulbandasafni, sem innihélt kassettu með svipuðu nafni. Það var bara eitt vandamál - það reyndist svo óstarfhæft að það var ekki einu sinni skráð. Þetta er þar sem sennilega harðkjarna hluti leitarinnar hófst. Við eyddum hausnum af snældunni, svo til að endurheimta gögn úr henni þarftu bara að henda „hráu“ kubbunum og fletta í gegnum þá í hex ritstjóra til að finna upphafsmerki skráa.
Við finnum merkið, skoðum offsetið, margföldum blokkina með stærð hans, bætum við offsetinu og reynum með innra tólinu að endurheimta skrána úr ákveðinni blokk. Ef allt er rétt gert og stærðfræðin er sammála, þá munu leikmenn hafa .wav skrá í höndunum.
Í því, með því að nota raddgenerator, meðal annars, er tvíundarkóði fyrirskipaður, sem er stækkaður í annan IP.
Það kemur í ljós að þetta er nýr Windows netþjónn, þar sem allt bendir til þess að nota þurfi Wireshark, en hann er ekki til staðar. Helsta bragðið er að það eru tvö kerfi uppsett á þessari vél - aðeins diskurinn frá annarri er aftengdur í gegnum tækjastjórann án nettengingar og rökrétt keðja leiðir til þess að endurræsa þarf. Þá kemur í ljós að sjálfgefið ætti allt annað kerfi, þar sem Wireshark er uppsett, að ræsa. Og allan þennan tíma vorum við á auka OS.
Það er engin þörf á að gera neitt sérstakt hér, bara virkjaðu handtöku á einu viðmóti. Við tiltölulega nákvæma athugun á sorpinu kemur í ljós greinilega örvhentur pakki sem er sendur frá aukavélinni með reglulegu millibili, sem inniheldur tengil á YouTube myndband þar sem spilarar eru beðnir um að hringja í ákveðið númer. Fyrsti sem hringir mun heyra til hamingju með fyrsta sætið, hinir fá boð í HR (brandari)).
Við the vegur, við erum með opið fyrir tæknifræðinga og nema. Velkomin í liðið!
Heimild: www.habr.com