Šią žiemą, tiksliau, vieną iš dienų tarp katalikiškų Kalėdų ir Naujųjų metų, Veeam techninės pagalbos inžinieriai buvo užsiėmę neįprastomis užduotimis: jie medžiojo įsilaužėlių grupę, vadinamą „Veeamonymous“.
Jis papasakojo, kaip patys vaikinai sugalvojo ir realiai savo darbe atliko tikrus ieškojimus su užduotimis „arti kovoti“. Kirilas Stetsko, Eskalavimo inžinierius.
- Kodėl tu tai pradėjai?
– Maždaug taip, kaip žmonės vienu metu sugalvojo Linux – tiesiog savo malonumui, savo malonumui.
Norėjomės judėjimo, o kartu ir kažką naudingo, įdomaus. Be to, reikėjo šiek tiek emocinio palengvėjimo inžinieriams nuo jų kasdienio darbo.
- Kas tai pasiūlė? Kieno tai buvo idėja?
— Idėja buvo mūsų vadovė Katya Egorova, o tada koncepcija ir visos tolimesnės idėjos gimė bendromis pastangomis. Iš pradžių galvojome surengti hakatoną. Tačiau kuriant koncepciją, idėja išaugo į ieškojimą, juk techninės pagalbos inžinierius yra kitokia veikla nei programavimas.
Taigi, mes skambinome draugams, bendražygiams, pažįstamiems, skirtingi žmonės mums padėjo sumanyti - vienas žmogus iš T2 (antra paramos linija yra redaktoriaus pastaba), vienas asmuo su T3, pora žmonių iš SWAT komandos (greito reagavimo komanda ypač skubiais atvejais - redaktoriaus pastaba). Mes visi susirinkome, susėdome ir bandėme sugalvoti užduotis savo užduotims atlikti.
— Sužinoti apie visa tai buvo labai netikėta, nes, kiek žinau, ieškojimų mechaniką dažniausiai rengia scenaristai specialistai, tai yra, jūs ne tik susidorojote su tokiu sudėtingu dalyku, bet ir su savo darbu. , į savo profesinės veiklos sritį.
— Taip, norėjome, kad tai būtų ne tik pramoga, bet ir „pasipumpuotų“ techninius inžinierių įgūdžius. Viena iš mūsų skyriaus užduočių – keitimasis žiniomis ir mokymai, tačiau toks ieškojimas – puiki proga leisti žmonėms „pačiupinėti“ kai kurias naujas jiems skirtas technikas.
– Kaip sugalvojote užduotis?
– Turėjome protų šturmą. Turėjome supratimą, kad turime atlikti tam tikrus techninius testus ir tokius, kad jie būtų įdomūs ir kartu atneštų naujų žinių.
Pavyzdžiui, mes manėme, kad žmonės turėtų išbandyti srautą, naudoti šešioliktainius redaktorius, ką nors padaryti su Linux, šiek tiek gilesnių dalykų, susijusių su mūsų produktais (Veeam Backup & Replication ir kt.).
Koncepcija taip pat buvo svarbi dalis. Nusprendėme kurti įsilaužėlių, anoniminės prieigos ir paslapties atmosferos tema. Guy Fawkes kaukė buvo padaryta simboliu, o pavadinimas atsirado natūraliai – Veeamonymous.
"Pradžioje buvo žodis"
Siekdami sužadinti susidomėjimą, nusprendėme prieš renginį surengti viešųjų ryšių kampaniją ieškojimų tema: aplink savo biurą iškabinome plakatus su skelbimu. O po kelių dienų paslapčia nuo visų nudažė juos purškimo skardinėmis ir užvedė „antis“, sako, kad plakatus sugadino kažkokie užpuolikai, net pridėjo nuotrauką su įrodymu...
– Vadinasi, tai padarėte pats, tai yra, organizatorių komanda?!
— Taip, penktadienį, apie 9 val., kai visi jau buvo išvažiavę, nuėjome ir iš balionų nupiešėme „V“ raidę žalia spalva.) Daugelis kvesto dalyvių niekada neatspėjo, kas tai padarė – prie mūsų priėjo žmonės. ir paklausė kas sugadino plakatus ? Kažkas labai rimtai pažvelgė į šią problemą ir atliko visą tyrimą šia tema.
Užduočiai taip pat rašėme garso failus, „išplėšėme“ garsus: pavyzdžiui, kai inžinierius prisijungia prie mūsų [gamybos CRM] sistemos, yra atsakiklio robotas, kuris sako visokias frazes, skaičius... Štai mes iš tų žodžių, kuriuos jis įrašė, sukūrė daugiau ar mažiau prasmingų frazių, na, gal kiek kreivai - pavyzdžiui, garso faile gavome „Jokių draugų jums padėti“.
Pavyzdžiui, IP adresą pavaizdavome dvejetainiu kodu ir vėl, naudodami šiuos skaičius [ištaria robotas], pridėjome visokių bauginančių garsų. Vaizdo įrašą filmavome patys: vaizdo įraše sėdi vyras su juodu gobtuvu ir dėvi Guy Fawkes kaukę, tačiau realiai yra ne vienas žmogus, o trys, nes už jo stovi du ir laiko padarytą „foną“. antklodės :).
– Na, jūs, atvirai tariant, pasimetėte.
– Taip, užsidegėme. Apskritai mes pirmiausia sugalvojome savo technines specifikacijas, o tada sudarėme literatūrinį ir žaismingą apybraižą tema, kas tariamai įvyko. Pagal scenarijų dalyviai medžiojo įsilaužėlių grupę, vadinamą „Veeamonymous“. Taip pat buvo mintis, kad mes tarsi „sulaužysime 4-ąją sieną“, tai yra, perkelsime įvykius į realybę – dažome, pavyzdžiui, iš purškimo skardinės.
Literatūriškai apdoroti tekstą mums padėjo viena iš mūsų katedros anglų kalbos mokytojų.
– Palauk, kodėl gimtoji kalba? Ar jūs taip pat viską padarėte angliškai?!
— Taip, tai darėme Sankt Peterburgo ir Bukarešto biurams, todėl viskas buvo anglų kalba.
Pirmą kartą stengėmės, kad viskas veiktų, todėl scenarijus buvo linijinis ir gana paprastas. Pridėjome daugiau aplinkos: slaptų tekstų, kodų, paveikslėlių.
Naudojome ir memus: buvo krūva nuotraukų tyrimų temomis, NSO, keletas populiarių siaubo istorijų – kai kurios komandos nuo to blaškėsi, bandydamos ten rasti kažkokias paslėptas žinutes, pritaikyti savo žinias apie steganografiją ir kitus dalykus... bet, žinoma, nieko panašaus nebuvo.
Apie spyglius
Tačiau pasiruošimo procese susidūrėme ir su netikėtais iššūkiais.
Labai su jais kovojome ir sprendėme visokias netikėtas problemas, o likus maždaug savaitei iki ieškojimo manėme, kad viskas prarasta.
Tikriausiai verta šiek tiek papasakoti apie techninius ieškojimo pagrindus.
Viskas buvo atlikta mūsų vidinėje ESXi laboratorijoje. Turėjome 6 komandas, o tai reiškia, kad turėjome skirti 6 išteklių telkinius. Taigi kiekvienai komandai įdiegėme atskirą telkinį su reikiamomis virtualiosiomis mašinomis (tas pats IP). Bet kadangi visa tai buvo serveriuose, kurie yra tame pačiame tinkle, dabartinė mūsų VLAN konfigūracija neleido mums atskirti mašinų skirtinguose telkiniuose. Ir, pavyzdžiui, bandomojo važiavimo metu sulaukėme situacijų, kai mašina iš vieno baseino susijungė su mašina iš kito.
– Kaip pavyko ištaisyti situaciją?
— Iš pradžių ilgai galvojome, išbandėme visokius variantus su leidimais, atskirus vLAN mašinoms. Dėl to jie taip ir padarė – kiekviena komanda mato tik Veeam Backup serverį, per kurį vyksta visas tolesnis darbas, bet nemato paslėpto pogrupio, kuriame yra:
- kelios Windows mašinos
- „Windows“ pagrindinis serveris
- Linux mašina
- suporuoti VTL (virtualią juostų biblioteką)
Visiems telkiniams priskiriama atskira vDS jungiklio prievadų grupė ir jų privatus VLAN. Ši dviguba izoliacija yra būtent tai, ko reikia norint visiškai pašalinti tinklo sąveikos galimybę.
Apie drąsius
– Ar kas nors galėtų dalyvauti ieškojime? Kaip buvo suformuotos komandos?
— Tai buvo pirmoji mūsų patirtis rengti tokį renginį, o mūsų laboratorijos galimybės apsiribojo 6 komandomis.
Pirmiausia, kaip jau sakiau, atlikome viešųjų ryšių kampaniją: plakatais ir laiškais paskelbėme, kad bus surengtas užduotys. Netgi turėjome užuominų – frazės buvo užšifruotos dvejetainiu kodu ant pačių plakatų. Taip susidomėjome, žmonės jau susitarė tarpusavyje, su draugais, su draugais, bendradarbiavo. Dėl to atsiliepė daugiau žmonių, nei turėjome baseinus, todėl turėjome atlikti atranką: sugalvojome paprastą testo užduotį ir išsiuntėme ją visiems atsakiusiems. Tai buvo loginė problema, kurią reikėjo greitai išspręsti.
Komandoje buvo leidžiama iki 5 žmonių. Nereikėjo kapitono, mintis buvo bendradarbiavimas, bendravimas tarpusavyje. Kažkas yra stiprus, pavyzdžiui, Linux, kažkas stiprus juostose (atsarginės kopijos į juostas), ir kiekvienas, matydamas užduotį, galėtų investuoti savo pastangas į bendrą sprendimą. Visi bendravo tarpusavyje ir rado sprendimą.
– Kuriuo momentu šis renginys prasidėjo? Ar turėjote kokią nors „valandą X“?
— Taip, turėjome griežtai paskirtą dieną, ją pasirinkome taip, kad skyriuje būtų mažesnis krūvis. Natūralu, kad komandų vadovams buvo iš anksto pranešta, kad tokios ir tokios komandos buvo pakviestos dalyvauti užduotyje, ir tą dieną jiems reikėjo šiek tiek palengvinti [dėl pakrovimo]. Atrodė, kad turėtų būti metų pabaiga, gruodžio 28 d., penktadienis. Tikėjomės, kad tai užtruks apie 5 valandas, bet visos komandos tai įveikė greičiau.
— Ar visi buvo lygūs, ar visi turėjo tas pačias užduotis, pagrįstas tikrais atvejais?
— Na, taip, kiekvienas iš rengėjų pasisėmė kai kurių istorijų iš asmeninės patirties. Kažką žinojome, kad taip gali nutikti realybėje, ir žmogui būtų įdomu tai „pajusti“, pažiūrėti, išsiaiškinti. Jie ėmėsi ir konkretesnių dalykų – pavyzdžiui, duomenų atkūrimo iš sugadintų juostų. Kai kurios davė užuominų, tačiau dauguma komandų tai padarė pačios.
Arba reikėjo pasinaudoti greitųjų scenarijų magija - pavyzdžiui, turėjome istoriją, kad kažkokia „loginė bomba“ kelių tomų archyvą „suplėšė“ į atsitiktinius aplankus palei medį ir reikėjo rinkti duomenis. Tai galite padaryti rankiniu būdu – raskite ir nukopijuokite [failus] po vieną arba galite parašyti scenarijų naudodami kaukę.
Apskritai stengėmės laikytis požiūrio, kad vieną problemą galima išspręsti įvairiais būdais. Pavyzdžiui, jei esate šiek tiek labiau patyręs ar norite susipainioti, tuomet galite tai išspręsti greičiau, tačiau yra tiesioginis būdas tai išspręsti tiesiai į akis – bet tuo pačiu daugiau laiko skirsite problemai. Tai yra, beveik kiekviena užduotis turėjo kelis sprendimus ir buvo įdomu, kokius kelius rinksis komandos. Taigi netiesiškumas buvo būtent pasirenkant sprendimo variantą.
Beje, Linux problema pasirodė pati sunkiausia – tik viena komanda ją išsprendė savarankiškai, be jokių užuominų.
– Ar galėtumėte priimti užuominų? Kaip tikrame ieškojime??
— Taip, buvo galima imti, nes supratome, kad žmonės yra skirtingi, o tie, kuriems trūksta žinių, gali patekti į tą pačią komandą, todėl norėdami nevilkinti praėjimo ir neprarasti konkurencinio susidomėjimo, nusprendėme, kad būtų arbatpinigių. Norėdami tai padaryti, kiekvieną komandą stebėjo asmuo iš organizatorių. Na, mes įsitikinome, kad niekas neapgaudinėja.
Apie žvaigždes
– Ar buvo apdovanoti nugalėtojai?
— Taip, stengėmės, kad prizai būtų kuo malonesni ir visiems dalyviams, ir laimėtojams: laimėtojams atiteko dizainerių sukurti megztiniai su Veeam logotipu ir fraze, užšifruota šešioliktainiu kodu, juoda). Visi dalyviai gavo Guy Fawkes kaukę ir firminį krepšį su logotipu ir tuo pačiu kodu.
– Tai yra, viskas buvo kaip tikrame ieškojime!
„Na, mes norėjome padaryti šaunų, suaugusiems dalyką, ir manau, kad mums pavyko“.
- Tai yra tiesa! Kokia buvo paskutinė tų, kurie dalyvavo šiame ieškoje, reakcija? Ar pasiekei savo tikslą?
– Taip, daugelis vėliau sugalvojo, kad aiškiai mato savo silpnąsias vietas ir nori jas tobulinti. Kažkas nustojo bijoti tam tikrų technologijų – pavyzdžiui, iš juostų mėtyti blokus ir bandyti ten ką nors sugriebti... Kažkas suprato, kad reikia patobulinti Linux ir t.t. Stengėmės pateikti gana platų užduočių spektrą, bet ne visai nereikšmingų.
Laimėjusi komanda
"Kas norės, tas pasieks!"
— Ar tai pareikalavo daug pastangų iš tų, kurie rengė užduotį?
- Tiesą sakant, taip. Bet tai greičiausiai lėmė tai, kad neturėjome patirties rengiant tokius ieškojimus, tokią infrastruktūrą. (Darykime išlygą, kad tai nėra tikroji mūsų infrastruktūra – ji tiesiog turėjo atlikti kai kurias žaidimo funkcijas.)
Mums tai buvo labai įdomi patirtis. Iš pradžių žiūrėjau skeptiškai, nes idėja man pasirodė per šauni, maniau, kad ją bus labai sunku įgyvendinti. Bet mes pradėjome tai daryti, pradėjome arti, viskas pradėjo užsidegti, ir galiausiai mums pavyko. Ir net praktiškai nebuvo perdangų.
Iš viso praleidome 3 mėnesius. Didžiąją dalį sugalvojome koncepciją ir aptarėme, ką galėtume įgyvendinti. Šiame procese, žinoma, kai kas pasikeitė, nes supratome, kad neturime techninių galimybių ką nors padaryti. Teko kažką perdaryti pakeliui, bet taip, kad nenutrūktų visas kontūras, istorija ir logika. Stengėmės ne tik pateikti techninių užduočių sąrašą, bet ir taip, kad jis tilptų į istoriją, kad jis būtų nuoseklus ir logiškas. Pagrindinis darbas vyko paskutinį mėnesį, tai yra 3-4 savaites iki X dienos.
— Vadinasi, be pagrindinės veiklos, laiko skyrėte pasiruošimui?
— Taip, tai darėme lygiagrečiai su pagrindiniu darbu.
- Ar jūsų prašoma tai padaryti dar kartą?
– Taip, turime daug prašymų pakartoti.
- Ir tu?
– Turime naujų idėjų, naujų koncepcijų, norime pritraukti daugiau žmonių ir laikui bėgant ištempti – tiek atrankos procesą, tiek patį žaidimo procesą. Apskritai mus įkvepia projektas „Cicada“, galite paieškoti „Google“ – tai labai šauni IT tema, ten vienijasi žmonės iš viso pasaulio, kuria temas „Reddit“, forumuose, naudoja kodų vertimus, sprendžia mįsles. , ir visa tai.
— Idėja buvo puiki, tik pagarba idėjai ir įgyvendinimui, nes ji tikrai daug verta. Nuoširdžiai linkiu, kad neprarastumėte šio įkvėpimo ir kad visi nauji jūsų projektai taip pat būtų sėkmingi. Ačiū!
– Taip, ar galite pažvelgti į užduoties, kurios tikrai nenaudosite pakartotinai, pavyzdį?
„Įtariu, kad nė vieno iš jų pakartotinai nenaudosime“. Todėl galiu papasakoti apie viso ieškojimo eigą.
Bonus takelisPačioje pradžioje žaidėjai turi virtualios mašinos pavadinimą ir kredencialus iš „vCenter“. Prisijungę prie jos, jie mato šią mašiną, bet ji neįsijungia. Čia reikia atspėti, kad kažkas negerai su .vmx failu. Atsisiuntę jie mato raginimą, reikalingą antrajam veiksmui. Iš esmės sakoma, kad „Veeam Backup & Replication“ naudojama duomenų bazė yra užšifruota.
Pašalinę raginimą, atgal atsisiuntę .vmx failą ir sėkmingai įjungę įrenginį, jie pamato, kad viename iš diskų iš tikrųjų yra base64 šifruota duomenų bazė. Atitinkamai, užduotis yra jį iššifruoti ir gauti visiškai funkcionalų Veeam serverį.
Šiek tiek apie virtualią mašiną, kurioje visa tai vyksta. Kaip prisimename, pagal siužetą pagrindinis ieškojimo veikėjas yra gana tamsus žmogus ir daro tai, kas akivaizdžiai nėra labai legalu. Todėl jo darbo kompiuteris turėtų turėti visiškai įsilaužėlių išvaizdą, kurią mes turėjome sukurti, nepaisant to, kad tai yra „Windows“. Pirmas dalykas, kurį padarėme, buvo pridėta daug rekvizitų, tokių kaip informacija apie pagrindinius įsilaužimus, DDoS atakas ir panašiai. Tada jie įdiegė visą tipinę programinę įrangą ir visur dėjo įvairias sąvartynas, failus su maišais ir pan. Viskas kaip filmuose. Be kita ko, buvo aplankai, pavadinti uždaru dėklu*** ir atviru dėklu***
Norėdami toliau tobulėti, žaidėjai turi atkurti patarimus iš atsarginių failų.
Čia reikia pasakyti, kad iš pradžių žaidėjams buvo suteikta gana daug informacijos ir jie gaudavo daugumą duomenų (pvz., IP, prisijungimo vardai ir slaptažodžiai) vykdydami užduotis, rasdami įkalčių atsarginėse kopijose ar kompiuteriuose išbarstytose failuose. . Iš pradžių atsarginės kopijos yra „Linux“ saugykloje, tačiau pats aplankas serveryje yra prijungtas su vėliava noexec, todėl agentas, atsakingas už failų atkūrimą, negali pradėti.
Pataisę saugyklą, dalyviai gauna prieigą prie viso turinio ir galiausiai gali atkurti bet kokią informaciją. Belieka suprasti, kuris iš jų. Ir norėdami tai padaryti, jiems tereikia išstudijuoti šiame kompiuteryje saugomus failus, nustatyti, kurie iš jų yra „sugedę“ ir ką tiksliai reikia atkurti.
Šiuo metu scenarijus pereina nuo bendrųjų IT žinių prie specifinių Veeam funkcijų.
Šiame konkrečiame pavyzdyje (kai žinote failo pavadinimą, bet nežinote, kur jo ieškoti), turite naudoti Enterprise Manager paieškos funkciją ir pan. Dėl to, atkūrus visą loginę grandinę, žaidėjai turi kitą prisijungimo/slaptažodį ir nmap išvestį. Tai perkelia juos į „Windows Core“ serverį ir per KPP (kad gyvenimas neatrodytų kaip medus).
Pagrindinis šio serverio bruožas: paprasto scenarijaus ir kelių žodynų pagalba buvo suformuota absoliučiai beprasmė aplankų ir failų struktūra. Kai prisijungiate, gaunate sveikinimo pranešimą, pavyzdžiui, „Čia sprogo loginė bomba, todėl turėsite surinkti įkalčius tolesniems veiksmams“.
Šis patarimas buvo padalintas į kelių tomų archyvą (40–50 vienetų) ir atsitiktinai paskirstytas tarp šių aplankų. Mūsų idėja buvo ta, kad žaidėjai turėtų parodyti savo talentus rašydami paprastus „PowerShell“ scenarijus, kad galėtų sudaryti kelių tomų archyvą naudodami gerai žinomą kaukę ir gauti reikiamus duomenis. (Tačiau pasirodė kaip tame pokšte – kai kurie dalykai pasirodė neįprastai fiziškai išvystyti.)
Archyve buvo kasetės nuotrauka (su užrašu „Paskutinė vakarienė – geriausios akimirkos“), kuri davė užuominą apie prijungtos juostų bibliotekos, kurioje buvo panašaus pavadinimo kasetė, naudojimą. Iškilo tik viena bėda – ji pasirodė tokia neveikianti, kad net nebuvo kataloguota. Čia ir prasidėjo bene sunkiausia ieškojimo dalis. Ištrynėme antraštę iš kasetės, todėl norint atkurti duomenis iš jos, tereikia išmesti „neapdorotus“ blokus ir peržvelgti juos šešioliktainiame redaktoriuje, kad rastumėte failo pradžios žymeklius.
Surandame žymeklį, pažiūrime poslinkį, padauginame bloką iš jo dydžio, pridedame poslinkį ir, naudodami vidinį įrankį, bandome atkurti failą iš konkretaus bloko. Jei viskas bus padaryta teisingai ir matematika sutiks, žaidėjų rankose bus .wav failas.
Jame, naudojant balso generatorių, be kita ko, padiktuojamas dvejetainis kodas, kuris išplečiamas į kitą IP.
Pasirodo, tai yra naujas „Windows“ serveris, kuriame viskas rodo, kad reikia naudoti „Wireshark“, bet jo ten nėra. Pagrindinis triukas yra tas, kad šiame įrenginyje yra įdiegtos dvi sistemos - tik diskas iš antrosios yra atjungtas per įrenginių tvarkytuvę neprisijungus, o loginė grandinė lemia poreikį perkrauti. Tada paaiškėja, kad pagal nutylėjimą turėtų būti paleista visiškai kita sistema, kurioje įdiegtas „Wireshark“. Ir visą šį laiką buvome antrinėje OS.
Čia nieko ypatingo daryti nereikia, tiesiog įgalinkite fiksavimą vienoje sąsajoje. Palyginti atidžiai ištyrus sąvartyną, matomas aiškiai kairiarankis paketas, reguliariai siunčiamas iš pagalbinės mašinos, kuriame yra nuoroda į YouTube vaizdo įrašą, kuriame žaidėjų prašoma paskambinti tam tikru numeriu. Pirmasis skambinantis išgirs sveikinimus už pirmą vietą, likusieji gaus kvietimą į HR (pokštas)).
Beje, mes atviri techninės pagalbos inžinieriams ir stažuotojams. Sveiki atvykę į komandą!
Šaltinis: www.habr.com