この冬、というかカトリックのクリスマスと新年の間のある日、Veeam のテクニカル サポート エンジニアは珍しい仕事に追われていました。彼らは「Veeamonymous」と呼ばれるハッカーのグループを捜索していました。

彼は、彼ら自身が実際の仕事で「戦闘に近い」タスクをどのようにして現実の探求を思いつき、実行したかについて語った。 キリル・ステツコ, エスカレーションエンジニア.

-なぜこれを始めたのですか？

- かつて人々が Linux を思いついたのとほぼ同じ方法で、ただ楽しむため、自分自身の楽しみのためでした。

私たちは動きを求めていましたが、同時に何か役に立つこと、何か面白いことをしたいと考えていました。 さらに、エンジニアが日々の仕事から精神的に解放されることも必要でした。

- 誰がこれを提案しましたか? 誰のアイデアでしたか？

— アイデアはマネージャーのカティア・エゴロワであり、コンセプトとその他のアイデアはすべて共同作業によって生まれました。 当初はハッカソンをやろうと考えていました。 しかし、コンセプトの開発中に、そのアイデアは探究へと発展し、結局のところ、テクニカル サポート エンジニアはプログラミングとは異なる種類の活動です。

そこで、私たちは友人、同志、知人に電話をし、さまざまな人がこのコンセプトを手伝ってくれました - T2 の XNUMX 人です (XNUMX 番目のサポートは 編集者のメモ）、T3 の XNUMX 人、SWAT チームの数人（特に緊急の場合の迅速対応チーム - 編集者のメモ）。 私たちは全員集まって座って、探求のためのタスクを考え出そうとしました。

— 私の知る限り、クエストの仕組みは通常、専門の脚本家によって考案されているため、このようなことをすべて知るのは非常に予想外でした。つまり、あなたはそのような複雑なことを扱っただけでなく、自分の作品との関連性も考慮していました。 、あなたの専門的な活動分野に。

――はい、単なるエンターテイメントではなく、エンジニアの技術力を“底上げ”するものにしたかったのです。 私たちの部門の仕事の XNUMX つは知識の交換とトレーニングですが、このような探求は人々に新しい技術に「触れて」もらう絶好の機会です。

――課題はどのようにして考えたのですか？

— ブレインストーミングセッションを行いました。 私たちは、いくつかの技術的なテストを行う必要があることを理解しており、それは興味深いものであり、同時に新しい知識をもたらすものであると考えていました。
たとえば、トラフィックのスニッフィング、XNUMX 進エディタの使用、Linux 向けの作業、製品 (Veeam Backup & Replication など) に関連したもう少し深い作業を試してみるべきだと考えました。

コンセプトも重要な部分でした。 私たちはハッカー、匿名アクセス、秘密主義の雰囲気をテーマに構築することにしました。 ガイ・フォークスのマスクがシンボルとなり、Veeamonymous という名前が自然に付けられました。

「始まりは言葉だった」

関心を集めるために、イベントの前にクエストをテーマにした PR キャンペーンを企画することにしました。発表内容のポスターをオフィスの周囲に貼りました。 そして数日後、みんなに内緒でスプレー缶で絵を描いて「アヒル」を始めたそうです。何人かの攻撃者がポスターを台無しにし、証拠の写真まで添付したそうです…。

- つまり、主催者チームが自分でやったということですね！

— はい、金曜日の9時ごろ、みんながもう帰ってしまったとき、私たちは風船から緑色で「V」の文字を描きに行きました。）クエストの参加者の多くは、誰がそれをしたのか全く予想していませんでした。人々が私たちに近づいてきました。そしてポスターを台無しにしたのは誰ですか?と尋ねました。 ある人がこの問題を非常に真剣に受け止め、このテーマについて全体的な調査を実施しました。

このクエストのために、私たちは「切り取った」音のオーディオ ファイルも書きました。たとえば、エンジニアが [本番 CRM] システムにログインすると、あらゆる種類のフレーズや数字を話す応答ロボットがいます...彼が録音したそれらの言葉から、多かれ少なかれ意味のあるフレーズを作成しましたが、まあ、少しひねくれているかもしれません - たとえば、音声ファイルには「助けてくれる友達がいません」というものがありました。

たとえば、IP アドレスをバイナリ コードで表現し、その数字を使って (ロボットが発音する) あらゆる種類の恐ろしい音を追加しました。 私たちはビデオを自分たちで撮影しました。ビデオでは、黒いフードをかぶってガイ・フォークスのマスクをかぶった男性が座っていますが、実際にはXNUMX人ではなくXNUMX人です。なぜなら、XNUMX人が彼の後ろに立って、作られた「背景」を持っているからです。毛布の:)。

- そうですね、はっきり言って混乱していますね。

- はい、火がつきました。 一般に、私たちは最初に技術仕様を考え出し、次に何が起こったとされるのかというテーマについて文学的で遊び心のある概要を作成しました。 シナリオによれば、参加者は「Veeamonymous」と呼ばれるハッカーのグループを狩っていました。 このアイデアは、いわば「第 4 の壁を打ち破る」、つまり出来事を現実に移すというものでもありました。たとえば、スプレー缶から絵を描きました。

私たちの部門の英語を母国語とする人の XNUMX 人が、テキストの文学的処理を手伝ってくれました。

- 待って、なぜネイティブスピーカーなのですか? それも全部英語でやったの？

— はい、サンクトペテルブルクとブカレストのオフィスで行ったので、すべて英語でした。

初めての体験では、すべてがうまく機能するように努めたので、スクリプトは直線的で非常にシンプルなものになりました。 秘密のテキスト、コード、写真など、さらに多くの環境を追加しました。

また、ミームも使用しました。調査、UFO、いくつかの人気のあるホラーストーリーをテーマにした写真がたくさんありました。一部のチームはこれに気を取られ、そこに隠されたメッセージを見つけようとしたり、ステガノグラフィーなどの知識を応用しようとしたりしました...しかし、もちろん、そのようなものは何もありませんでした。

トゲについて

しかし、準備の過程では予期せぬ課題にも直面しました。

私たちは彼らとたくさん苦労し、あらゆる種類の予期せぬ問題を解決しましたが、クエストの約 XNUMX 週間前にはすべてが失われたと思いました。

おそらく、このクエストの技術的基礎について少し説明する価値があるでしょう。

すべては社内の ESXi ラボで行われました。 チームが 6 つあったため、6 つのリソース プールを割り当てる必要がありました。 そこで、チームごとに、必要な仮想マシン (同じ IP) を備えた個別のプールをデプロイしました。 しかし、これらはすべて同じネットワーク上のサーバー上に配置されていたため、現在の VLAN 構成ではマシンを異なるプールに分離できませんでした。 そして、たとえば、テスト実行中に、あるプールのマシンが別のプールのマシンに接続するという状況が発生しました。

—どのようにして状況を修正することができましたか？

— 最初に、私たちは長い間考え、権限を備えたあらゆる種類のオプション、マシンごとに個別の vLAN をテストしました。 その結果、彼らはこれを実行しました。各チームは、以降のすべての作業が行われる Veeam Backup サーバーのみを認識しますが、以下を含む非表示のサブプールは認識しません。

• いくつかの Windows マシン
• Windowsコアサーバー
• Linuxマシン
• ペア VTL (仮想テープ ライブラリ)

すべてのプールには、vDS スイッチ上の個別のポート グループと独自のプライベート VLAN が割り当てられます。 この二重の分離は、まさにネットワーク相互作用の可能性を完全に排除するために必要なものです。

勇者について

— 誰でもクエストに参加できますか？ チームはどのように結成されましたか?

— このようなイベントを開催するのは初めての経験でしたし、私たちの研究室の能力も6チームに限られていました。

まず、先ほども言いましたが、ポスターや郵送物などでクエストの開催を告知する広報活動を行いました。 ポスター自体のフレーズがバイナリコードで暗号化されていたため、いくつかの手がかりさえ得られました。 このようにして、私たちは人々に興味を持ってもらい、人々はすでに自分自身の間で、友人間で、友人間で合意に達し、協力してくれました。 その結果、プールよりも多くの人が回答したため、選択を実施する必要がありました。簡単なテスト タスクを考え出し、回答した全員に送信しました。 それはすぐに解決しなければならない論理的な問題でした。

5チームはXNUMX名までとさせていただきました。 キャプテンは必要ありませんでした。アイデアは協力し、お互いにコミュニケーションをとることでした。 たとえば、Linux に強い人もいれば、テープ (テープへのバックアップ) に強い人もいて、全員がそのタスクを見て、ソリューション全体に労力を注ぐことができます。 全員が互いにコミュニケーションを図り、解決策を見つけました。

――このイベントはいつ頃から始まったんですか？ 何か「X時間」はありましたか？

— はい、厳密に指定日があり、部門の仕事量を減らすためにその日を選びました。 当然のことながら、チームリーダーには、これこれのチームがクエストに参加するよう招待されていることを事前に通知されており、当日は（ロードに関して）ある程度の緩和を与える必要がありました。 年末の28月5日金曜日になるはずだった。 XNUMX 時間ほどかかると予想していましたが、どのチームもそれよりも早く完了しました。

— 全員が平等な立場にあり、実際の事例に基づいて全員が同じタスクを抱えていましたか?

— そうですね、各コンパイラーは個人的な経験からいくつかの話を取り入れました。 私たちはこれが現実に起こり得ることを知っていました、そして人がそれを「感じ」、見て、そしてそれを理解することは興味深いでしょう。 また、破損したテープからのデータ回復など、より具体的なことも行いました。 いくつかヒントがありましたが、ほとんどのチームは自分たちでそれを行いました。

あるいは、クイック スクリプトの魔法を使用する必要がありました。たとえば、ある「論理爆弾」によって複数ボリュームのアーカイブがツリーに沿ってランダムなフォルダーに「引き裂かれ」、データを収集する必要があったという話がありました。 これは手動で行うこともできます。[ファイル] を XNUMX つずつ見つけてコピーすることも、マスクを使用してスクリプトを作成することもできます。

一般に、私たちは XNUMX つの問題をさまざまな方法で解決できるという観点に従うように努めました。 たとえば、もう少し経験がある場合、または混乱したい場合は、より速く問題を解決できますが、問題を正面から解決する直接的な方法があります。ただし、同時に、問題により多くの時間を費やすことになります。 つまり、ほぼすべてのタスクに複数の解決策があり、チームがどの道を選択するかは興味深いものでした。 したがって、非線形性はまさに解決策の選択肢の選択にありました。

ちなみに、Linux の問題は最も難しいことが判明しました。ヒントなしで独自に解決したのは XNUMX つのチームだけでした。

――ヒントをいただけますか？ まるで本物のクエストのよう??

— はい、人間には違いがあり、ある程度の知識が欠けている人でも同じチームに入れる可能性があることを理解していたため、受験することは可能でした。そのため、合格を遅らせたり、競争上の関心を失わないようにするために、ヒントになるでしょう。 これを行うために、各チームは主催者の担当者によって観察されました。 まあ、誰も不正行為をしていないことを確認しました。

星について

――優勝者には賞品はありましたか？

— はい、私たちはすべての参加者と勝者の両方にとって最も楽しい賞品を作ろうと努めました。勝者には、Veeam ロゴと 16 進コードで暗号化されたフレーズが入ったデザイナー スウェットシャツ (黒) が贈られました。 参加者全員には、ガイ・フォークスのマスクと、ロゴと同じコードが入ったブランドバッグが贈られました。

- つまり、すべてが本物のクエストのようでした！

「そうですね、クールで大人っぽいことをやりたかったので、成功したと思います。」

- これは本当です！ このクエストに参加した人たちの最終的な反応はどうでしたか？ 目標は達成できましたか？

- はい、後から多くの人が来て、自分の弱点がはっきりとわかり、それを改善したいと言いました。 誰かが特定のテクノロジーを恐れることをやめました - たとえば、テープからブロックをダンプして、そこにある何かを取得しようとした... 誰かが、Linux を改善する必要があることに気づきました。 私たちはかなり広範囲のタスクを与えるようにしましたが、完全に簡単なものではありませんでした。

優勝チーム

「望む者は必ず達成する！」

――クエストを用意された方には大変なご苦労があったのでしょうか？

-実際、そうです。 しかし、これはおそらく、私たちがそのようなクエストやこの種のインフラストラクチャを準備する経験がなかったという事実によるものです。 (これは実際のインフラストラクチャではないことを留保しておきます。これは単にいくつかのゲーム機能を実行することを想定していました。)

それは私たちにとってとても興味深い経験でした。 最初は懐疑的でした。なぜなら、このアイデアがあまりにもクールに思えたので、実装するのは非常に難しいだろうと思いました。 しかし、私たちはそれをやり始め、耕し始め、すべてに火がつき始め、最終的には成功しました。 そして、オーバーレイさえ事実上ありませんでした。

合計で3か月を費やしました。 ほとんどの場合、私たちはコンセプトを考え出し、何を実装できるかを話し合いました。 その過程で、当然のことながら、自分たちには何かを行うための技術的能力がないことに気づき、いくつかのことが変わりました。 途中で何かをやり直す必要がありましたが、全体の概要、歴史、ロジックが崩れないような方法でやり直さなければなりませんでした。 私たちは技術的なタスクのリストを提供するだけでなく、それをストーリーに適合させ、一貫性と論理性を持たせるように努めました。 主要な作業は先月、つまり X 日の 3 ～ 4 週間前から行われていました。

――本業以外に準備の時間を割いていたんですね。

— はい、本業と並行して制作しました。

- またこれをやるよう求められますか？

- はい、リピートしたいリクエストがたくさんあります。

- あなたも？

- 私たちは新しいアイデア、新しいコンセプトを持っており、より多くの人々を魅了し、それを選考プロセスとゲームプロセス自体の両方で時間をかけて拡張したいと考えています。 一般的に、私たちは「Cicada」プロジェクトからインスピレーションを受けています。Google で調べてみてください。これは非常にクールな IT トピックです。世界中の人々がそこに団結し、Reddit やフォーラムでスレッドを開始し、コード翻訳を使用し、謎を解きます。 、その他すべて。

— アイデアは素晴らしかったですが、アイデアと実装には敬意を表します。本当に大きな価値があるからです。 あなたがこのインスピレーションを失わず、新しいプロジェクトもすべて成功することを心から願っています。 ありがとう！

— はい、絶対に再利用しないタスクの例を見てもらえますか?

「おそらく、それらを再利用することはないと思います。」 したがって、クエスト全体の進行状況について説明できます。

ボーナストラック最初に、プレーヤーは仮想マシンの名前と vCenter からの認証情報を持っています。 ログインすると、このマシンが表示されますが、起動しません。 ここでは、.vmx ファイルに何か問題があると推測する必要があります。 ダウンロードすると、XNUMX 番目のステップに必要なプロンプトが表示されます。 本質的には、Veeam Backup & Replication で使用されるデータベースが暗号化されているということです。
プロンプトを削除し、.vmx ファイルを再度ダウンロードしてマシンの電源を正常にオンにすると、ディスクの 64 つに実際に BaseXNUMX で暗号化されたデータベースが含まれていることがわかります。 したがって、タスクはそれを復号化し、完全に機能する Veeam サーバーを取得することです。

このすべてが行われる仮想マシンについて少し説明します。 覚えているように、プロットによれば、クエストの主人公はかなり暗い人物であり、明らかにあまり合法ではないことを行っています。 したがって、彼の仕事用コンピューターは、Windows であるにもかかわらず、完全にハッカーのような外観を持つ必要があり、それを作成する必要がありました。 私たちが最初に行ったのは、大規模なハッキングや DDoS 攻撃などに関する情報など、多くの小道具を追加することでした。 次に、一般的なソフトウェアをすべてインストールし、さまざまなダンプやハッシュを含むファイルなどをあらゆる場所に配置しました。 すべてが映画の中のようです。 特に、closed-case*** と open-case*** という名前のフォルダーがありました。
さらに先に進むには、プレーヤーはバックアップ ファイルからヒントを復元する必要があります。

ここで、プレイヤーには最初にかなりの量の情報が与えられ、クエストの過程でほとんどのデータ (IP、ログイン、パスワードなど) を受け取り、バックアップやマシン上に散在するファイルから手がかりを見つけたと言わなければなりません。 。 当初、バックアップ ファイルは Linux リポジトリにありますが、サーバー上のフォルダー自体はフラグでマウントされます。 noexec、そのため、ファイル回復を担当するエージェントを開始できません。

リポジトリを修正することで、参加者はすべてのコンテンツにアクセスできるようになり、最終的にはあらゆる情報を復元できるようになります。 それがどれであるかを理解することはまだ残っています。 これを行うには、このマシンに保存されているファイルを調べて、どのファイルが「壊れている」のか、そして正確に何を復元する必要があるのか​​を判断するだけで済みます。

この時点で、シナリオは一般的な IT 知識から Veeam 固有の機能に移ります。

この特定の例では (ファイル名はわかっているが、どこで探せばよいかわからない場合)、Enterprise Manager などの検索機能を使用する必要があります。 その結果、論理チェーン全体を復元した後、プレーヤーには別のログイン/パスワードと nmap 出力が得られます。 これにより、RDP 経由で Wi​​ndows Core サーバーにアクセスされます (人生が蜜のように感じられないようにするため)。

このサーバーの主な特徴は、単純なスクリプトといくつかの辞書の助けを借りて、まったく意味のないフォルダーとファイルの構造が形成されたことです。 ログインすると、「ここで論理爆弾が爆発したため、さらなるステップのために手がかりをつなぎ合わせる必要があります。」のようなウェルカム メッセージが表示されます。

次の手がかりは複数ボリュームのアーカイブ (40 ～ 50 個) に分割され、これらのフォルダーにランダムに分散されました。 私たちの考えは、プレーヤーは、よく知られたマスクを使用してマルチボリューム アーカイブをまとめ、必要なデータを取得するために、単純な PowerShell スクリプトを作成する才能を発揮する必要があるということでした。 （しかし、結果はあのジョークのように、被験者の中には異常に身体が発達していることが判明した人もいました。）

アーカイブにはカセットの写真（「最後の晩餐 - 最高の瞬間」と刻まれている）が含まれており、これは、同様の名前のカセットが含まれていた、接続されたテープ ライブラリの使用を示唆するものでした。 問題が XNUMX つだけありました。それは非常に動作不能であることが判明したため、カタログにも掲載されていませんでした。 おそらくここから、この探求の最もハードコアな部分が始まりました。 カセットからヘッダーを消去したので、そこからデータを復元するには、「生の」ブロックをダンプし、XNUMX 進エディターでそれらを調べてファイル開始マーカーを見つけるだけです。
マーカーを見つけ、オフセットを確認し、ブロックにそのサイズを掛けてオフセットを追加し、内部ツールを使用して特定のブロックからファイルを復元しようとします。 すべてが正しく行われ、計算が一致すると、プレイヤーは .wav ファイルを手にすることになります。

この中では、音声ジェネレーターなどを使用してバイナリ コードが記述され、別の IP に展開されます。

結局のところ、これは新しい Windows サーバーであり、すべてが Wireshark を使用する必要性を示唆していますが、実際には存在しません。 主なトリックは、このマシンには XNUMX つのシステムがインストールされているということです。XNUMX 番目のディスクだけがデバイス マネージャーを介してオフラインで切断され、論理チェーンにより再起動が必要になります。 その後、デフォルトでは、Wireshark がインストールされているまったく別のシステムが起動する必要があることがわかりました。 そして、この間ずっとセカンダリ OS を使用していました。

ここでは特別なことをする必要はなく、単一のインターフェイスでキャプチャを有効にするだけです。 ダンプを比較的詳しく調べると、補助マシンから一定の間隔で送信される明らかに左巻きのパケットが明らかになります。このパケットには、プレーヤーが特定の番号に電話するよう求められる YouTube ビデオへのリンクが含まれています。 最初の発信者には XNUMX 位のお祝いの言葉が聞こえ、残りの人には HR への招待状が届きます (冗談です)。

ちなみに営業してます 欠員 テクニカルサポートエンジニアと研修生向け。 チームへようこそ！

出所： habr.com