Биылғы қыста, дәлірек айтсақ, католиктік Рождество мен Жаңа жыл арасындағы күндердің бірінде Veeam техникалық қолдау инженерлері әдеттен тыс тапсырмалармен айналысты: олар «Veeamonymous» атты хакерлер тобын іздеді.
Ол жігіттердің өз жұмысында «жауынгерлік жақын» тапсырмалармен нақты ізденістерді қалай ойлап тапқанын және жүзеге асырғанын айтты. Кирилл Стецко, Эскалация инженері.
- Неліктен мұны бастадыңыз?
- Адамдар Linux-ті бір уақытта ойлап тапқаны сияқты - тек көңіл көтеру үшін, өз ләззат алу үшін.
Біз қозғалысты қаладық, сонымен бірге пайдалы, қызықты нәрсе жасағымыз келді. Сонымен қатар, инженерлерге күнделікті жұмысынан біраз эмоциялық жеңілдік беру керек болды.
- Мұны кім ұсынды? Бұл кімнің идеясы болды?
— Идея біздің менеджер Катя Егорова болды, содан кейін тұжырымдама және барлық идеялар бірлескен күш-жігер арқылы дүниеге келді. Бастапқыда хакатон өткізуді ойладық. Бірақ тұжырымдаманы әзірлеу кезінде идея ізденіске айналды, өйткені техникалық қолдау инженері бағдарламалаудан басқа қызмет түрі болып табылады.
Сонымен, біз достарды, жолдастарды, таныстарды шақырдық, әртүрлі адамдар бізге тұжырымдамаға көмектесті - Т2-ден бір адам (қолдау көрсетудің екінші желісі ред.), T3 бар бір адам, SWAT командасынан бірнеше адам (ерекше шұғыл жағдайларға жедел әрекет ету тобы - ред.). Барлығымыз жиналып, отырдық және өз ізденісімізге арналған тапсырмаларды шығаруға тырыстық.
— Осының барлығын білу өте күтпеген жағдай болды, өйткені, менің білуімше, квест механикасын әдетте арнайы сценаристер әзірлейді, яғни сіз мұндай күрделі мәселемен айналысып қана қоймай, сонымен қатар жұмысыңызға қатысты да болдыңыз. , кәсіби қызмет саласына.
— Иә, біз мұны жай ғана ойын-сауық емес, инженерлердің техникалық дағдыларын «сорғымыз» келді. Біздің бөлімшедегі міндеттердің бірі - білім және оқыту алмасу, бірақ мұндай ізденіс адамдарға жаңа әдістерді өмір сүруге мүмкіндік берудің тамаша мүмкіндігі болып табылады.
— Тапсырмаларды қалай шығардыңыз?
— Миға шабуыл сабағын өткіздік. Біз бірнеше техникалық сынақтарды өткізуіміз керек екенін түсіндік, олар қызықты және сонымен бірге жаңа білім әкеледі.
Мысалы, адамдар трафикті иіскеуге, он алтылық редакторларды пайдалануға, Linux үшін бірдеңе жасауға тырысу керек деп ойладық, біздің өнімдерге қатысты біршама тереңірек нәрселер (Veeam Backup & Replication және т.б.).
Тұжырымдама да маңызды бөлік болды. Біз хакерлер, анонимді қол жеткізу және құпиялылық атмосферасы тақырыбын құруды шештік. Гай Фоукс маскасы символға айналды және оның атауы табиғи түрде пайда болды - Veeamonymous.
«Басында сөз болды»
Қызығушылықты ояту үшін біз іс-шараның алдында квест-тақырыптық PR-науқанын ұйымдастыруды ұйғардық: кеңсеміздің айналасына хабарландыру жазылған плакаттарды іліп қойдық. Бірнеше күннен кейін барлығынан жасырын түрде бүріккіш құтылармен бояп, «үйрек» бастады, олар кейбір шабуылдаушылар плакаттарды бүлдірді дейді, олар тіпті дәлелі бар фотосуретті де тіркеді ....
– Сонда сіз мұны өзіңіз жасадыңыз, яғни ұйымдастырушылар командасы?!
— Иә, жұма күні, сағат 9 шамасында, бәрі кетіп қалғанда, біз барып, шарлардан жасыл түспен «V» әрпін сызып алдық.) Квестке қатысушылардың көпшілігі мұны кім жасағанын ешқашан болжаған жоқ - адамдар бізге келді. және плакаттарды кім бұзды деп сұрады? Біреу бұл мәселеге өте байыппен қарап, осы тақырып бойынша толық тергеу жүргізді.
Квест үшін біз сонымен қатар аудио файлдарды, «жыртып алған» дыбыстарды жаздық: мысалы, инженер біздің [өндіріс CRM] жүйемізге кіргенде, барлық сөз тіркестерін, сандарды айтатын жауап беретін робот бар... Міне, біз ол жазып алған, азды-көпті мағыналы сөз тіркестерін құрастырған сөздерден, сәл қисық болуы мүмкін - мысалы, аудио файлда бізде «Саған көмектесетін достар жоқ».
Мысалы, біз IP-мекен-жайды екілік кодта көрсеттік және тағы да осы сандарды [робот айтады] пайдалана отырып, біз қорқынышты дыбыстардың барлық түрлерін қостық. Бейнежазбаны өзіміз түсірдік: бейнеде қара капюшон киген адам және Гай Фокс маскасы бар, бірақ іс жүзінде бір адам емес, үш адам бар, өйткені оның артында екеуі тұрып, «фон» ұстап тұр. көрпе :).
– Е-е, абдырап қалдың ғой, турасын айтқанда.
- Иә, отқа орандық. Жалпы, біз алдымен техникалық сипаттамаларымызды ойлап таптық, содан кейін болған оқиғаның тақырыбына әдеби-ойындық схема құрастырдық. Сценарий бойынша қатысушылар «Veeamonymous» деп аталатын хакерлер тобын аңдыған. Сондай-ақ, біз «4-ші қабырғаны сындырамыз», яғни оқиғаларды шындыққа айналдырамыз - біз, мысалы, бүріккіштен боядық.
Мәтінді әдеби өңдеуге біздің бөлімдегі ағылшын тілінде сөйлейтіндердің бірі көмектесті.
- Тоқтай тұрыңыз, неге ана тілші? Бәрін де ағылшынша орындадың ба?!
— Иә, біз мұны Санкт-Петербург пен Бухаресттегі кеңселер үшін жасадық, сондықтан бәрі ағылшын тілінде болды.
Бірінші тәжірибе үшін біз бәрін жай жұмыс істеуге тырыстық, сондықтан сценарий сызықтық және өте қарапайым болды. Біз көбірек қоршаған ортаны қостық: құпия мәтіндер, кодтар, суреттер.
Біз сондай-ақ мемдерді пайдаландық: тергеу тақырыптары бойынша көптеген суреттер, НЛО-лар, кейбір танымал қорқынышты оқиғалар болды - кейбір командалар осыған алаңдап, жасырын хабарламаларды табуға, стеганография және басқа да нәрселер туралы білімдерін қолдануға тырысты ... бірақ, әрине, мұндай ештеңе болған жоқ.
Тікенектер туралы
Дегенмен, дайындық барысында біз күтпеген қиындықтарға да тап болдық.
Біз олармен көп күресіп, әр түрлі күтпеген мәселелерді шештік, ал квестке шамамен бір апта қалғанда бәрі жоғалды деп ойладық.
Квесттің техникалық негізі туралы аздап айтып кеткен жөн болар.
Барлығы біздің ішкі ESXi зертханасында жасалды. Бізде 6 команда болды, яғни 6 ресурс пулын бөлуге тура келді. Осылайша, әрбір команда үшін біз қажетті виртуалды машиналармен (бірдей IP) бөлек пулды орналастырдық. Бірақ мұның бәрі бір желіде орналасқан серверлерде орналасқандықтан, біздің VLAN желілерінің ағымдағы конфигурациясы әртүрлі бассейндердегі машиналарды оқшаулауға мүмкіндік бермеді. Және, мысалы, сынақ жүргізу кезінде біз бір бассейндегі машина екіншісінен машинаға қосылатын жағдайларды алдық.
— Жағдайды қалай түзете алдыңыз?
— Бастапқыда біз ұзақ уақыт ойладық, рұқсаттары бар опциялардың барлық түрлерін, машиналарға арналған бөлек vLAN желілерін сынадық. Нәтижесінде олар мұны істеді - әр команда тек Veeam Backup серверін көреді, ол арқылы барлық әрі қарай жұмыс орындалады, бірақ жасырын ішкі пулды көрмейді, оның құрамында:
- бірнеше Windows машиналары
- Windows негізгі сервері
- Linux машинасы
- VTL жұбы (виртуалды таспа кітапханасы)
Барлық пулдарға vDS қосқышындағы порттардың бөлек тобы және жеке VLAN желісі тағайындалады. Бұл қос оқшаулау желінің өзара әрекеттесу мүмкіндігін толығымен жою үшін қажет.
Батылдар туралы
— Квестке кез келген адам қатыса ала ма? Командалар қалай құрылды?
— Мұндай шараны өткізудегі бірінші тәжірибеміз болды, біздің зертхананың мүмкіндіктері 6 командамен шектелді.
Біріншіден, мен жоғарыда айтқанымдай, біз PR-науқан жүргіздік: плакаттар мен хабарламаларды пайдалана отырып, біз квест өткізілетінін хабарладық. Бізде тіпті кейбір анықтамалар болды - фразалар плакаттардың өзінде екілік кодпен шифрланған. Осылайша біз адамдарды қызықтырдық, адамдар өзара, достарымен, достарымен келісімге келіп, ынтымақтастықта болды. Нәтижесінде бізде бассейндер болғаннан гөрі көбірек адам жауап берді, сондықтан біз іріктеу жүргізуге тура келді: біз қарапайым тест тапсырмасын ойлап таптық және оны жауап бергендердің барлығына жібердік. Бұл тез шешілуі керек логикалық мәселе болды.
Командаға 5 адамға дейін рұқсат етілді. Капитанның қажеті жоқ, ойы ынтымақтастық, бір-бірімен араласу болды. Біреу күшті, мысалы, Linux-та, біреу ленталарда (таспаларға сақтық көшірмелер) күшті және әркім тапсырманы көріп, жалпы шешімге өз күштерін сала алады. Барлығы бір-бірімен тілдесіп, шешімін тапты.
— Бұл оқиға қай кезде басталды? Сізде «X сағаты» болды ма?
— Иә, бізде қатаң белгіленген күн болды, бөлімде жүктеме аз болсын деп таңдадық. Әрине, команда жетекшілері квестке қатысуға осындай және осындай командалар шақырылғаны туралы алдын ала хабардар етілді және сол күні оларға [жүктемеге қатысты] жеңілдік қажет болды. Жылдың соңы, 28 желтоқсан, жұма болуы керек сияқты. Біз бұл шамамен 5 сағатты алады деп күттік, бірақ барлық командалар оны тезірек аяқтады.
— Барлығының құқығы тең болды ма, нақты істер бойынша барлығының міндеттері бірдей болды ма?
— Иә, иә, құрастырушының әрқайсысы өз тәжірибесінен біраз оқиғаны алды. Біз бұл іс жүзінде болуы мүмкін нәрсе туралы білдік және адамға оны «сезіп», қарау және анықтау қызықты болар еді. Олар сонымен қатар нақтырақ нәрселерді алды - мысалы, зақымдалған таспалардан деректерді қалпына келтіру. Кейбіреулер кеңестермен, бірақ командалардың көпшілігі мұны өз бетімен жасады.
Немесе жылдам сценарийлердің сиқырын пайдалану қажет болды - мысалы, бізде әлдебір «логикалық бомба» көп томдық мұрағатты ағаштың бойындағы кездейсоқ қалталарға «жыртып жібергені» туралы оқиға болды және деректерді жинау керек болды. Мұны қолмен жасауға болады - [файлдарды] бір-бірлеп тауып, көшіруге немесе масканы пайдаланып сценарий жазуға болады.
Жалпы, біз бір мәселені әртүрлі жолмен шешуге болады деген көзқарасты ұстануға тырыстық. Мысалы, егер сіз аздап тәжірибелі болсаңыз немесе шатастырғыңыз келсе, оны тезірек шешуге болады, бірақ оны тікелей шешудің тікелей жолы бар - бірақ сонымен бірге сіз мәселеге көбірек уақыт бөлесіз. Яғни, әр тапсырманың дерлік бірнеше шешімі болды және командалардың қандай жолдарды таңдайтыны қызықты болды. Сонымен, сызықтық еместік дәл шешім нұсқасын таңдауда болды.
Айтпақшы, Linux мәселесі ең қиын болып шықты - тек бір команда оны ешқандай кеңестерсіз дербес шешті.
- Сіз кеңес бере аласыз ба? Нағыз квесттегідей ??
— Иә, қабылдауға болатын еді, өйткені біз адамдар әр түрлі, ал білімі жетіспейтіндер бір командаға түсе алатынын түсіндік, сондықтан өтуді кешіктірмеу және бәсекелестік қызығушылықты жоғалтпау үшін біз кеңестер береді. Ол үшін әр команданы ұйымдастырушылардан бір адам бақылап отырды. Ешкім алдамағанына көз жеткіздік.
Жұлдыздар туралы
— Жеңімпаздарға сыйлықтар болды ма?
— Иә, біз барлық қатысушылар үшін де, жеңімпаздар үшін де ең жағымды сыйлықтар жасауға тырыстық: жеңімпаздар Veeam логотипі және он алтылық кодпен шифрланған фразасы бар дизайнерлік футболкаларды алды, қара түсті). Барлық қатысушылар Гай Фоук маскасын және логотипі және бірдей кодты фирмалық сөмкені алды.
– Яғни, бәрі нағыз ізденістегідей болды!
«Жақсы, біз керемет, ересек нәрсе жасағымыз келді, және менің ойымша, біз жетістікке жеттік».
- Дәл солай! Бұл квестке қатысқандардың соңғы реакциясы қандай болды? Мақсатыңызға жеттіңіз бе?
– Иә, көбісі кейін шығып, өздерінің осал тұстарын анық байқағанын және оны жақсартқысы келетінін айтты. Біреу белгілі бір технологиялардан қорқуды тоқтатты - мысалы, таспалардан блоктарды тастап, сол жерде бірдеңені басып алуға тырысады ... Біреу Linux-ті жақсарту керек екенін түсінді және т.б. Біз өте кең ауқымды тапсырмалар беруге тырыстық, бірақ мүлдем тривиальды емес.
Жеңімпаз команда
«Кім қаласа, соған жетеді!»
— Квест дайындағандардан көп күш қажет болды ма?
- Негізі иә. Бірақ бұл, ең алдымен, бізде мұндай квесттерді, мұндай инфрақұрылымды дайындау тәжірибесінің жоқтығына байланысты болды. (Бұл біздің нақты инфрақұрылымымыз емес екенін ескертейік - ол жай ғана кейбір ойын функцияларын орындауы керек еді.)
Бұл біз үшін өте қызықты тәжірибе болды. Бастапқыда мен күмәндандым, өйткені бұл идея маған тым салқын көрінді, мен оны жүзеге асыру өте қиын болады деп ойладым. Бірақ соны істей бастадық, жер жыртып, бәрі отқа оранып, ақыры табысқа жеттік. Тіпті іс жүзінде ешқандай қабаттасулар болған жоқ.
Барлығы 3 ай уақыт өткіздік. Көбінесе біз тұжырымдама жасап, нені жүзеге асыруға болатынын талқыладық. Бұл процесте, әрине, кейбір нәрселер өзгерді, өйткені біз бірдеңе жасауға техникалық мүмкіндігіміз жоқ екенін түсіндік. Жол бойында бір нәрсені қайта жасауға тура келді, бірақ бүкіл сұлба, тарих пен логика бұзылмайтындай етіп. Біз жай ғана техникалық тапсырмалардың тізімін беріп қоймай, оны оқиғаға сәйкестендіруге тырыстық, осылайша оның үйлесімді және логикалық болуы керек. Негізгі жұмыс соңғы айда, яғни Х күніне 3-4 апта қалғанда жүріп жатты.
— Демек, негізгі қызметіңізбен қатар дайындыққа да уақыт бөлдіңіз бе?
— Біз мұны негізгі жұмысымызбен қатар жүргіздік, иә.
- Бұлай қайталауды сұрады ма?
– Иә, қайталайтын өтініштеріміз көп.
- Және сен?
- Бізде жаңа идеялар, жаңа концепциялар бар, біз көбірек адамдарды тартып, оны уақыт өте келе кеңейткіміз келеді - іріктеу процесі де, ойын процесінің өзі де. Жалпы, бізді «Cicada» жобасы шабыттандырады, сіз оны google-де іздей аласыз - бұл өте керемет IT тақырыбы, әлемнің түкпір-түкпірінен адамдар сонда біріктіріледі, олар Reddit-те, форумдарда ағындар ашады, кодтық аудармаларды пайдаланады, жұмбақтарды шешеді. , және мұның бәрі.
— Идея керемет болды, тек идеяны құрметтеу және жүзеге асыру, өйткені бұл өте құнды. Осы шабытты жоғалтпауыңызды және барлық жаңа жобаларыңыздың да сәтті болуын шын жүректен тілеймін. Рақмет сізге!
— Иә, сіз міндетті түрде қайта пайдаланбайтын тапсырманың мысалын қарастыра аласыз ба?
«Мен олардың ешқайсысын қайта пайдаланбаймыз деп ойлаймын». Сондықтан мен сізге бүкіл квесттің барысы туралы айта аламын.
Бонус трекЕң басында ойыншыларда виртуалды машинаның аты және vCenter тіркелгі деректері болады. Оған кіргеннен кейін олар бұл машинаны көреді, бірақ ол іске қосылмайды. Мұнда .vmx файлында бірдеңе дұрыс емес екенін болжау керек. Оны жүктеп алғаннан кейін олар екінші қадамға қажетті нұсқауды көреді. Негізінде ол Veeam Backup & Replication пайдаланатын дерекқор шифрланғанын айтады.
Шақыруды жойып, .vmx файлын кері жүктеп алып, құрылғыны сәтті қосқаннан кейін олар дискілердің бірінде base64 шифрланған дерекқоры бар екенін көреді. Тиісінше, міндет оның шифрын ашу және толық жұмыс істейтін Veeam серверін алу болып табылады.
Мұның бәрі орын алатын виртуалды машина туралы аздап. Естеріңізде болса, сюжетке сәйкес, квесттің басты кейіпкері - өте қараңғы адам және ол заңды емес нәрсені жасайды. Сондықтан оның жұмыс компьютері Windows болғанына қарамастан, біз жасауымыз керек болатын толығымен хакерлерге ұқсас сыртқы түрі болуы керек. Біз жасаған бірінші нәрсе - негізгі бұзулар, DDoS шабуылдары және т.б. туралы ақпарат сияқты көптеген реквизиттерді қосу. Содан кейін олар барлық типтік бағдарламалық жасақтаманы орнатып, барлық жерде әртүрлі қоқыстарды, хэштері бар файлдарды және т.б. орналастырды. Барлығы кинодағыдай. Басқа нәрселермен қатар жабық-кас*** және ашық-кап*** атты қалталар болды.
Әрі қарай ілгерілеу үшін ойыншылар сақтық көшірме файлдарынан кеңестерді қалпына келтіруі керек.
Бұл жерде айта кету керек, бастапқыда ойыншыларға біршама ақпарат берілді және олар квест барысында деректердің көп бөлігін (мысалы, IP, логиндер мен парольдер) алды, сақтық көшірмелерден немесе машиналарда шашыраңқы файлдарда анықтамаларды тапты. . Бастапқыда сақтық көшірме файлдары Linux репозиторийінде орналасқан, бірақ сервердегі қалтаның өзі жалаушамен бекітілген. noexec, сондықтан файлды қалпына келтіруге жауапты агент іске қосыла алмайды.
Репозиторийді түзету арқылы қатысушылар барлық мазмұнға қол жеткізе алады және соңында кез келген ақпаратты қалпына келтіре алады. Оның қайсысы екенін түсіну қалады. Мұны істеу үшін олар осы машинада сақталған файлдарды зерттеп, олардың қайсысы «бұзылғанын» және нақты нені қалпына келтіру керектігін анықтауы керек.
Осы кезде сценарий жалпы АТ білімінен Veeam арнайы мүмкіндіктеріне ауысады.
Осы нақты мысалда (файл атауын білсеңіз, бірақ оны қайдан іздеу керектігін білмесеңіз), Enterprise Manager ішіндегі іздеу функциясын пайдалануыңыз керек және т.б. Нәтижесінде, бүкіл логикалық тізбекті қалпына келтіргеннен кейін, ойыншыларда басқа логин/пароль және nmap шығысы бар. Бұл оларды Windows Core серверіне және RDP арқылы әкеледі (өмір бал сияқты көрінбеуі үшін).
Бұл сервердің басты ерекшелігі: қарапайым сценарий мен бірнеше сөздіктердің көмегімен қалталар мен файлдардың мүлдем мағынасыз құрылымы қалыптасты. Жүйеге кірген кезде сіз «Бұл жерде логикалық бомба жарылды, сондықтан келесі қадамдар үшін анықтамаларды біріктіру керек» сияқты сәлемдесу хабарын аласыз.
Келесі анықтама көп томдық мұрағатқа (40-50 дана) бөлініп, осы қалталар арасында кездейсоқ таратылды. Біздің ойымыз ойыншылар белгілі масканы пайдаланып көп томдық мұрағатты құрастыру және қажетті деректерді алу үшін қарапайым PowerShell сценарийлерін жазуда өз таланттарын көрсетуі керек еді. (Бірақ бұл әзілдегідей болды - кейбір пәндер әдеттен тыс физикалық дамыған болып шықты.)
Мұрағатта кассетаның фотосуреті («Соңғы кешкі ас - ең жақсы сәттер» деген жазуы бар), ол ұқсас атаудағы кассетаны қамтитын қосылған таспа кітапханасын пайдалану туралы түсінік берді. Бір ғана мәселе болды - ол жұмыс істемейтіні сонша, тіпті каталогталмаған. Квесттің ең қиын бөлігі осы жерден басталды. Біз кассетадан тақырыпты өшірдік, сондықтан одан деректерді қалпына келтіру үшін файлды бастау маркерлерін табу үшін «шикі» блоктарды тастап, оларды он алтылық редакторда қарау керек.
Біз маркерді табамыз, офсетті қараймыз, блокты оның өлшеміне көбейтеміз, офсетті қосамыз және ішкі құралды пайдаланып, белгілі бір блоктан файлды қалпына келтіруге тырысамыз. Егер бәрі дұрыс орындалса және математика келіссе, онда ойыншылардың қолында .wav файлы болады.
Онда дауыс генераторының көмегімен, басқалармен қатар, басқа IP-ге кеңейтілген екілік код жазылады.
Бұл Windows-тың жаңа сервері болып шықты, мұнда барлығы Wireshark пайдалану қажеттілігін көрсетеді, бірақ ол жоқ. Негізгі қулық мынада, бұл машинада орнатылған екі жүйе бар - тек екіншісінің дискісі құрылғы менеджері арқылы желіден тыс ажыратылады, ал логикалық тізбек қайта жүктеу қажеттілігіне әкеледі. Содан кейін әдепкі бойынша Wireshark орнатылған мүлде басқа жүйе жүктелуі керек екені белгілі болды. Осы уақыттың бәрінде біз қосымша операциялық жүйеде болдық.
Мұнда ерекше ештеңе жасаудың қажеті жоқ, тек бір интерфейсте түсіруді қосыңыз. Қоқыс орнын салыстырмалы түрде мұқият тексеру қосымша құрылғыдан белгілі бір аралықта жіберілген анық солақай пакетті анықтайды, онда ойыншылардан белгілі бір нөмірге қоңырау шалу сұралатын YouTube бейнесіне сілтеме бар. Бірінші қоңырау шалушы бірінші орынмен құттықтауларды естиді, қалғандары HR шақыруын алады (әзіл).
Айтпақшы, біз ашықпыз техникалық қолдау көрсететін инженерлер мен тыңдаушыларға арналған. Командаға қош келдіңіз!
Ақпарат көзі: www.habr.com