ProHoster > Блог > интернет мэдээ > Veeam техникийн дэмжлэг үзүүлэх багийн кибер эрэл хайгуул

Veeam техникийн дэмжлэг үзүүлэх багийн кибер эрэл хайгуул

Энэ өвөл, эс тэгвээс Католик Христийн Мэндэлсний Баяр ба Шинэ жилийн хоорондох өдрүүдийн нэгэнд Veeam-ийн техникийн дэмжлэг үзүүлэх инженерүүд ер бусын ажил хийх завгүй байв: тэд "Veeamonymous" нэртэй хакеруудын бүлэглэлийг хайж байв.

Veeam техникийн дэмжлэг үзүүлэх багийн кибер эрэл хайгуул

Тэрээр залуус өөрсдөө ажил дээрээ "байлдалд ойрхон" даалгавартай бодит эрэл хайгуулыг хэрхэн гаргаж ирснийг хэлэв. Кирилл Стецко, Эскалацын инженер.

- Та яагаад үүнийг эхлүүлсэн бэ?

- Хүмүүс зүгээр л зугаацах, өөрсдийн таашаал авах зорилгоор Линуксийг нэг дор гаргаж ирсэнтэй адил юм.

Бид хөдөлгөөн хийхийг хүсч, үүнтэй зэрэгцэн ямар нэгэн ашигтай, сонирхолтой зүйл хийхийг хүссэн. Үүнээс гадна инженерүүдийн өдөр тутмын ажлаасаа сэтгэл санааг нь тайвшруулах шаардлагатай байв.

- Хэн үүнийг санал болгосон бэ? Хэний санаа байсан бэ?

Энэ санааг манай менежер Катя Егорова гаргасан бөгөөд дараа нь үзэл баримтлал болон цаашдын бүх санаанууд хамтын хүчин чармайлтаар бий болсон. Эхэндээ бид хакатон хийнэ гэж бодсон. Гэхдээ үзэл баримтлалыг боловсруулах явцад санаа нь эрэл хайгуул болж хувирсан бөгөөд техникийн туслалцааны инженер бол програмчлалаас өөр төрлийн үйл ажиллагаа юм.

Тиймээс бид найз нөхөд, нөхдүүд, танилууд руу утасдаж, өөр өөр хүмүүс бидэнд ойлголтод тусалсан - T2-ээс нэг хүн (хоёр дахь дэмжлэг нь редакторын тэмдэглэл), T3-тай нэг хүн, SWAT багийн хэд хэдэн хүн (онцгой тохиолдолд шуурхай хариу өгөх баг - редакторын тэмдэглэл). Бид бүгдээрээ цугларч, суугаад эрэл хайгуулынхаа даалгавруудыг гаргахыг хичээсэн.

- Энэ бүхний талаар мэдэх нь үнэхээр гэнэтийн байсан, учир нь миний мэдэж байгаагаар эрэл хайгуулын механикийг ихэвчлэн мэргэжлийн сценаристууд боловсруулдаг, өөрөөр хэлбэл та зөвхөн ийм нарийн төвөгтэй асуудлыг шийдэж байсан төдийгүй таны ажилтай холбоотой байдаг. , таны мэргэжлийн үйл ажиллагааны чиглэлээр.

- Тийм ээ, бид үүнийг зөвхөн зугаа цэнгэл биш, харин инженерүүдийн техникийн ур чадварыг "шахах" зорилготой байсан. Манай тэнхимийн нэг ажил бол мэдлэг солилцох, сургалт явуулах явдал боловч ийм эрэл хайгуул нь хүмүүст зарим шинэ техникийг "хүрэх" сайхан боломж юм.

- Даалгавраа яаж гаргасан бэ?

-Бид оюуны довтолгооны хуралдаан хийсэн. Техникийн туршилтыг хийх ёстой гэсэн ойлголттой байсан бөгөөд энэ нь сонирхолтой байхын зэрэгцээ шинэ мэдлэг авчрах болно.
Жишээлбэл, хүмүүс замын хөдөлгөөнийг үнэрлэх, зургаан өнцөгт засварлагч ашиглах, Linux-д зориулж ямар нэгэн зүйл хийхийг оролдох, манай бүтээгдэхүүнтэй холбоотой зарим нэг гүнзгий зүйлийг (Veeam Backup & Replication болон бусад) хийх хэрэгтэй гэж бид бодсон.

Үзэл баримтлал нь бас чухал хэсэг байсан. Бид хакерууд, нэргүй хандалт, нууцлалын уур амьсгалыг бий болгохоор шийдсэн. Гай Фоуксын маск нь бэлгэдэл болж, нэр нь аяндаа гарч ирсэн - Veeamonymous.

"Эхэндээ энэ үг байсан"

Сонирхлыг нэмэгдүүлэхийн тулд бид үйл явдлын өмнө эрэл хайгуулын сэдэвтэй PR кампанит ажил зохион байгуулахаар шийдсэн: бид оффисынхоо эргэн тойронд зарлал бүхий зурагт хуудас өлгөв. Тэгээд хэд хоногийн дараа хүн бүрээс нууцаар шүршигч лаазаар будаж, "нугас" эхлүүлж, зарим халдлага үйлдэгчид зурагт хуудсыг сүйтгэсэн гэж ярьж, нотлох баримттай гэрэл зургийг хүртэл хавсаргасан ...

- Тэгэхээр та өөрөө хийсэн, өөрөөр хэлбэл зохион байгуулагчдын баг?!

- Тийм ээ, баасан гаригийн 9 цагийн үед, бүгд аль хэдийн явчихсан байхад бид очиж, бөмбөлөг дээрээс "V" үсгийг ногооноор зурсан.) Эрэлд оролцсон олон хүмүүс үүнийг хэн хийснийг хэзээ ч тааж байгаагүй - хүмүүс бидэн дээр ирэв. Тэгээд зурагт хуудсыг хэн сүйтгэсэн бэ гэж асуув. Хэн нэгэн энэ асуудалд маш нухацтай хандаж, энэ сэдвээр бүхэл бүтэн мөрдөн байцаалт явуулсан.

Даалгаврын хувьд бид мөн аудио файлуудыг бичсэн, "учирсан" дуу чимээ гаргадаг: жишээлбэл, инженер манай [үйлдвэрлэлийн CRM] системд нэвтрэх үед бүх төрлийн хэллэг, тоо хэлдэг хариулагч робот байдаг ... Энд бид байна. Түүний бичсэн үгсээс, бага зэрэг утга учиртай хэллэг зохиосон, магадгүй бага зэрэг хазайсан байж магадгүй - жишээлбэл, бид аудио файлд "Танд туслах найз алга" гэж авсан.

Жишээлбэл, бид IP хаягийг хоёртын кодоор илэрхийлсэн бөгөөд дахин эдгээр тоонуудыг [роботоор дууддаг] ашиглан бид бүх төрлийн айдас төрүүлэм дуу чимээг нэмсэн. Бид өөрсдөө видео бичлэг хийсэн: видеон дээр хар юүдэнтэй, Гай Фоуксын маск өмссөн хүн сууж байгаа боловч бодит байдал дээр нэг хүн биш, гурван хүн байгаа, учир нь түүний ард хоёр хүн зогсож, "арын дэвсгэр" барьсан байдаг. хөнжил :).

-Яахав, шулуухан хэлэхэд та андуурч байна.

- Тийм ээ, бид галд автсан. Ерөнхийдөө бид эхлээд техникийн үзүүлэлтүүдээ гаргаж ирээд, дараа нь болсон гэх сэдвээр уран зохиолын болон тоглоомын тоймыг зохиосон. Уг хувилбарын дагуу оролцогчид “Veeamonymous” нэртэй хакеруудын бүлэглэлийг агнаж байжээ. Бид "4-р ханыг эвдэх" гэсэн санаа байсан, өөрөөр хэлбэл бид үйл явдлуудыг бодит байдалд шилжүүлэх болно - жишээлбэл, шүршигч савнаас будсан.

Текстийг уран зохиолын аргаар боловсруулахад манай тэнхимийн төрөлх англи хэлтэй нэг хүн тусалсан.

- Хүлээгээрэй, яагаад төрөлх хэлтэй юм бэ? Чи ч бас англиар бүгдийг хийсэн үү?!

— Тийм ээ, бид үүнийг Санкт-Петербург, Бухарест дахь оффисуудад зориулж хийсэн тул бүх зүйл англи хэл дээр байсан.

Эхний туршлагын хувьд бид бүх зүйлийг зүгээр л ажиллуулахыг хичээсэн тул скрипт нь шугаман бөгөөд маш энгийн байсан. Бид илүү олон орчинг нэмсэн: нууц текст, код, зураг.

Veeam техникийн дэмжлэг үзүүлэх багийн кибер эрэл хайгуул

Мөн бид мемүүдийг ашигласан: мөрдөн байцаалтын сэдэвтэй олон зураг, Нисдэг Үл нисдэг биетүүд, алдартай аймшгийн түүхүүд байсан - зарим багууд үүнд анхаарлаа сарниулж, тэндээс нуугдмал мессеж хайж, стеганографийн талаархи мэдлэгээ ашиглахыг оролдсон ... гэхдээ мэдээж тийм зүйл байгаагүй.

Өргөсний тухай

Гэсэн хэдий ч бэлтгэлийн явцад бид гэнэтийн бэрхшээлүүдтэй тулгарсан.

Бид тэдэнтэй маш их тэмцэж, янз бүрийн гэнэтийн асуудлуудыг шийдэж, эрэл хайгуулаас долоо хоногийн өмнө бүх зүйл алдагдсан гэж бодсон.

Даалгаврын техникийн үндэслэлийн талаар бага зэрэг ярих нь зүйтэй болов уу.

Бүх зүйлийг манай дотоод ESXi лабораторид хийсэн. Бид 6 багтай байсан бөгөөд энэ нь бид 6 нөөцийн санг хуваарилах ёстой гэсэн үг юм. Тиймээс баг бүрийн хувьд шаардлагатай виртуал машин (ижил IP) бүхий тусдаа усан санг байрлуулсан. Гэхдээ энэ бүхэн нэг сүлжээнд байгаа серверүүд дээр байрладаг байсан тул манай VLAN-уудын одоогийн тохиргоо нь өөр өөр усан сан дахь машинуудыг тусгаарлах боломжийг бидэнд олгосонгүй. Жишээлбэл, туршилтын явцад бид нэг цөөрмийн машин нөгөөгөөсөө машинтай холбогдсон нөхцөл байдлыг хүлээн авсан.

- Та нөхцөл байдлыг хэрхэн засч залруулж чадсан бэ?

— Эхлээд бид удаан бодож, бүх төрлийн сонголтуудыг зөвшөөрөлтэй, машинд зориулсан тусдаа vLAN-г туршиж үзсэн. Үүний үр дүнд тэд үүнийг хийсэн - баг бүр зөвхөн Veeam Backup серверийг хардаг бөгөөд түүгээр дамжуулан цаашдын бүх ажил хийгдэх боловч дараахь зүйлийг агуулсан далд дэд санг харахгүй байна.

  • хэд хэдэн Windows машин
  • Windows үндсэн сервер
  • Линукс машин
  • VTL хос (Виртуал соронзон хальсны сан)

Бүх усан санд vDS шилжүүлэгч дээр тусдаа бүлэг портууд болон хувийн VLAN-д хуваарилагдсан. Энэхүү давхар тусгаарлалт нь сүлжээний харилцан үйлчлэлийн боломжийг бүрэн арилгахад яг хэрэгтэй зүйл юм.

Зоригтой хүмүүсийн тухай

- Эрэлд хэн нэгэн оролцож болох уу? Багууд хэрхэн бүрдсэн бэ?

— Ийм арга хэмжээг зохион байгуулж байгаа анхны туршлага маань манай лабораторийн хүчин чадал 6 багтай байсан.

Нэгдүгээрт, би аль хэдийн хэлсэнчлэн, бид PR кампанит ажил явуулсан: зурагт хуудас, шуудангаар бид эрэл хайгуул хийх болно гэж мэдэгдсэн. Бидэнд зарим нэг сэжүүр ч байсан - өгүүлбэрүүд нь зурагт хуудас дээр хоёртын кодоор шифрлэгдсэн байв. Энэ мэтчилэн хүмүүсийн сонирхлыг татаж, хүмүүс хоорондоо, найз нөхөдтэйгээ, найз нөхөдтэйгөө тохиролцож, хамтран ажиллаж эхэлсэн. Үүний үр дүнд бид усан сантай байснаас илүү олон хүн хариулсан тул бид сонгон шалгаруулалт явуулах шаардлагатай болсон: бид энгийн тестийн даалгавар гаргаж, хариу өгсөн бүх хүмүүст илгээсэн. Энэ бол хурдан шийдэх ёстой логик асуудал байсан.

Багийг 5 хүртэлх хүнтэй байлгахыг зөвшөөрсөн. Ахмад байх шаардлагагүй, санаа нь хамтын ажиллагаа, бие биетэйгээ харилцах явдал байв. Хэн нэгэн хүчирхэг, жишээлбэл, Линукс дээр, хэн нэгэн соронзон хальсны (соронзон хальсны нөөцлөлт) хүчтэй байдаг бөгөөд хүн бүр даалгавраа хараад ерөнхий шийдэлд хүчин чармайлтаа зориулж чадна. Бүгд хоорондоо харилцаж, шийдлийг нь олсон.

Veeam техникийн дэмжлэг үзүүлэх багийн кибер эрэл хайгуул

-Энэ үйл явдал хэзээнээс эхэлсэн бэ? Танд ямар нэгэн "X цаг" байсан уу?

- Тийм ээ, бид тодорхой өдөртэй байсан тул тэнхимийн ачаалал бага байхын тулд үүнийг сонгосон. Мэдээжийн хэрэг, ийм багийг эрэл хайгуулд оролцохыг урьсан тухай багийн ахлагчдад урьдчилан мэдэгдсэн бөгөөд тэр өдөр тэдэнд [ачааллын талаар] бага зэрэг тусламж үзүүлэх шаардлагатай байв. 28-р сарын 5-ны баасан гаригт он дуусах ёстой юм шиг харагдсан. Бид ойролцоогоор XNUMX цаг зарцуулна гэж тооцоолж байсан ч бүх багууд илүү хурдан дуусгасан.

- Хүн бүр тэгш эрхтэй байсан уу, бодит тохиолдлуудад үндэслэн бүгд ижил үүрэг даалгавартай байсан уу?

- За, тийм ээ, эмхэтгэгчид бүр хувийн туршлагаасаа зарим түүхийг авсан. Бодит байдал дээр ийм зүйл тохиолдож болохыг бид мэддэг байсан бөгөөд үүнийг "мэдэрч", харж, олж мэдэх нь хүнд сонирхолтой байх болно. Тэд бас илүү тодорхой зүйлийг авсан - жишээлбэл, гэмтсэн соронзон хальснаас өгөгдлийг сэргээх. Зарим нь зөвлөмжтэй боловч ихэнх багууд өөрсдөө үүнийг хийсэн.

Эсвэл хурдан скриптүүдийн ид шидийг ашиглах шаардлагатай байсан - жишээлбэл, зарим нэг "логик бөмбөг" олон боть архивыг модны дагуух санамсаргүй хавтас руу "урж хаясан" түүхтэй байсан бөгөөд үүнийг цуглуулах шаардлагатай байв. Та үүнийг гараар хийж болно - [файлуудыг] нэг нэгээр нь олж хуулж эсвэл маск ашиглан скрипт бичиж болно.

Ер нь нэг асуудлыг янз бүрээр шийдэж болно гэсэн байр суурийг баримтлахыг хичээсэн. Жишээлбэл, хэрэв та бага зэрэг туршлагатай эсвэл эргэлзэхийг хүсч байвал үүнийг илүү хурдан шийдэж чадна, гэхдээ шууд шийдэх шууд арга байдаг - гэхдээ тэр үед та асуудалд илүү их цаг зарцуулах болно. Өөрөөр хэлбэл, бараг бүх даалгавар хэд хэдэн шийдэлтэй байсан бөгөөд багууд аль замыг сонгох нь сонирхолтой байв. Тиймээс шугаман бус байдал нь шийдлийн хувилбарыг сонгоход яг тодорхой байсан.

Дашрамд хэлэхэд Линуксийн асуудал хамгийн хэцүү нь болсон - зөвхөн нэг баг үүнийг ямар ч зөвлөгөөгүйгээр бие даан шийдсэн.

-Та зөвлөгөө авч болох уу? Жинхэнэ эрэл хайгуул шиг ??

- Тийм ээ, үүнийг авах боломжтой байсан, учир нь бид хүмүүс өөр өөр байдаг, бага зэрэг мэдлэг дутмаг хүмүүс нэг багт орж болно гэдгийг ойлгосон тул дамжуулалтыг хойшлуулахгүй, өрсөлдөөний сонирхлыг алдахгүйн тулд бид шийдсэн. зөвлөгөө өгөх болно. Үүнийг хийхийн тулд баг бүрийг зохион байгуулагчдын нэг хүн ажиглав. За, бид хэн ч хуурч мэхлэхгүй байхыг баталгаажуулсан.

Veeam техникийн дэмжлэг үзүүлэх багийн кибер эрэл хайгуул

Оддын тухай

-Ялагчдад шагнал байсан уу?

— Тийм ээ, бид бүх оролцогчид болон ялагчдад хамгийн таатай шагналыг өгөхийг хичээсэн: ялагчдад Veeam лого бүхий загвар зохион бүтээгч цамц, 16-тын кодоор шифрлэгдсэн хэллэг, хар өнгөтэй) бэлэглэсэн. Бүх оролцогчид Гай Фоксын маск, лого, ижил кодтой брэндийн цүнх бэлэглэсэн.

- Өөрөөр хэлбэл бүх зүйл жинхэнэ эрэл хайгуул шиг байсан!

"Тийм ээ, бид дажгүй, насанд хүрсэн зүйл хийхийг хүссэн бөгөөд би амжилтанд хүрсэн гэж бодож байна."

- Энэ бол үнэн! Энэ эрэлд оролцсон хүмүүсийн эцсийн хариу үйлдэл юу байсан бэ? Та зорилгодоо хүрсэн үү?

-Тийм ээ, хожим олон хүн гарч ирээд, сул талуудаа илт харж, сайжруулахыг хүсч байгаагаа хэлсэн. Хэн нэгэн тодорхой технологиос айхаа больсон - жишээлбэл, соронзон хальснаас блокуудыг хаях, тэндээс ямар нэгэн зүйл шүүрэх гэж оролдох ... Хэн нэгэн Линуксыг сайжруулах хэрэгтэй гэдгээ ойлгосон гэх мэт. Бид нэлээд өргөн хүрээний даалгавруудыг өгөхийг хичээсэн, гэхдээ тийм ч чухал биш.

Veeam техникийн дэмжлэг үзүүлэх багийн кибер эрэл хайгуул
Ялагч баг

"Хэн хүссэн нь түүндээ хүрэх болно!"

- Даалгаврыг бэлтгэсэн хүмүүсээс маш их хүчин чармайлт шаардсан уу?

-Үнэндээ тийм. Гэхдээ энэ нь бидэнд ийм эрэл хайгуул, ийм дэд бүтэц бэлтгэх туршлагагүй байсантай холбоотой байх. (Энэ бол бидний жинхэнэ дэд бүтэц биш гэдгийг сануулъя - энэ нь зүгээр л тоглоомын зарим функцийг гүйцэтгэх ёстой байсан.)

Энэ нь бидний хувьд маш сонирхолтой туршлага болсон. Анхандаа эргэлзэж байсан, учир нь энэ санаа надад хэтэрхий дажгүй санагдсан тул хэрэгжүүлэхэд маш хэцүү байх гэж бодсон. Гэхдээ бид үүнийг хийж эхэлсэн, газар хагалж эхэлсэн, бүх зүйл шатаж эхэлсэн, эцэст нь амжилтанд хүрсэн. Тэр ч байтугай бараг ямар ч давхардсангүй.

Бид нийтдээ 3 сар зарцуулсан. Ихэнх тохиолдолд бид ямар нэг үзэл баримтлал гаргаж, юу хэрэгжүүлэх вэ гэдгээ ярилцсан. Энэ явцад мэдээжийн хэрэг зарим зүйл өөрчлөгдсөн, учир нь бид ямар нэгэн зүйл хийх техникийн чадваргүй гэдгээ ойлгосон. Бид замдаа ямар нэг зүйлийг дахин хийх ёстой байсан ч бүхэл бүтэн тойм, түүх, логик эвдэрсэнгүй. Бид зөвхөн техникийн даалгаврын жагсаалтыг өгөхийг хичээсэнгүй, харин үүнийг түүхтэй уялдуулан, уялдаатай, логиктой болгохыг хичээсэн. Үндсэн ажил сүүлийн нэг сард буюу X өдрөөс 3-4 долоо хоногийн өмнө явагдсан.

-Тэгэхээр үндсэн үйл ажиллагааныхаа хажуугаар бэлтгэл ажилд цаг зав гаргасан гэсэн үг үү?

— Бид үүнийг үндсэн ажилтайгаа зэрэгцүүлэн хийсэн, тийм ээ.

-Таныг дахин ийм зүйл хийхийг шаардаж байна уу?

-Тийм ээ, бидэнд давтан хэлэх хүсэлт олон байна.

- Тэгээд чи?

- Бидэнд шинэ санаа, шинэ үзэл баримтлал бий, бид илүү олон хүмүүсийг татаж, цаг хугацааны явцад үүнийг сунгахыг хүсч байна - сонгон шалгаруулах үйл явц, тоглоомын үйл явц хоёулаа. Ерөнхийдөө бид "Cicada" төслөөс урам зориг авсан, та үүнийг Google-ээс үзэх боломжтой - энэ бол маш сайхан мэдээллийн технологийн сэдэв юм, дэлхийн өнцөг булан бүрээс хүмүүс тэнд нэгдэж, Reddit, форум дээр сэдэв үүсгэж, кодын орчуулга ашигладаг, оньсого тааварладаг. , мөн энэ бүхэн.

- Санаа нь гайхалтай байсан, зүгээр л санаа, хэрэгжилтийг хүндэтгэсэн, учир нь энэ нь үнэхээр үнэ цэнэтэй юм. Та бүхний энэ урам зоригоо бүү алдаарай, шинэ төслүүд тань амжилтад хүрэхийг чин сэтгэлээсээ хүсч байна. Баярлалаа!

Veeam техникийн дэмжлэг үзүүлэх багийн кибер эрэл хайгуул

- Тийм ээ, та дахин ашиглахгүй байх ажлын жишээг харж болох уу?

"Бид тэдгээрийн алийг нь ч дахин ашиглахгүй гэж би бодож байна." Тиймээс би бүхэл бүтэн эрэл хайгуулын явцын талаар хэлж чадна.

Бонус замХамгийн эхэнд тоглогчид виртуал машины нэр, vCenter-ийн итгэмжлэлүүдтэй байдаг. Түүнд нэвтэрсний дараа тэд энэ машиныг харж байгаа боловч энэ нь эхлэхгүй байна. Энд та .vmx файлд ямар нэг зүйл буруу байгааг таах хэрэгтэй. Татаж авсны дараа тэд хоёр дахь алхамд шаардлагатай сануулгыг харна. Үндсэндээ, Veeam Backup & Replication-ийн ашигладаг мэдээллийн баазыг шифрлэсэн гэж хэлдэг.
Сануулгыг устгасны дараа .vmx файлыг буцааж татаж аваад машиныг амжилттай асаасны дараа дискнүүдийн аль нэг нь үнэндээ base64 шифрлэгдсэн мэдээллийн сан агуулж байгааг харна. Үүний дагуу даалгавар бол үүнийг тайлж, бүрэн ажиллагаатай Veeam сервер авах явдал юм.

Энэ бүхэн тохиолддог виртуал машины талаар бага зэрэг. Бидний санаж байгаагаар үйл явдлын дагуу эрэл хайгуулын гол дүр нь нэлээд харанхуй хүн бөгөөд хууль ёсны бус зүйл хийж байгаа нь тодорхой юм. Тиймээс түүний ажлын компьютер нь Windows байсан ч бид бүтээх ёстой байсан бүрэн хакертай төстэй дүр төрхтэй байх ёстой. Бидний хийсэн хамгийн эхний зүйл бол томоохон хакеруудын талаарх мэдээлэл, DDoS халдлага гэх мэт олон тулгууруудыг нэмж оруулсан. Дараа нь тэд бүх ердийн програм хангамжийг суулгаж, хаа сайгүй төрөл бүрийн овоолго, хэштэй файлуудыг байрлуулав. Бүх зүйл кинон дээр гардаг шиг. Бусад зүйлсийн дотор хаалттай-case***, open-case*** нэртэй хавтаснууд байсан.
Цаашид ахиц дэвшил гаргахын тулд тоглогчид нөөц файлуудаас зөвлөмжийг сэргээх хэрэгтэй.

Эхэндээ тоглогчдод бага зэрэг мэдээлэл өгсөн бөгөөд эрэл хайгуулын явцад ихэнх өгөгдлийг (IP, нэвтрэх, нууц үг гэх мэт) хүлээн авч, нөөц хуулбар эсвэл машин дээр тархсан файлуудаас сэжүүр хайж байсныг энд хэлэх ёстой. . Эхэндээ нөөц файлууд нь Линуксийн репозитор дээр байрладаг боловч сервер дээрх хавтас нь өөрөө тугтай холбогдсон байдаг. noexec, тиймээс файл сэргээх үүрэгтэй агент эхлэх боломжгүй.

Хадгалах газрыг зассанаар оролцогчид бүх агуулгад хандах эрх олж авах ба эцэст нь аливаа мэдээллийг сэргээх боломжтой. Энэ нь аль нь болохыг ойлгоход л үлддэг. Үүнийг хийхийн тулд тэд энэ машин дээр хадгалагдсан файлуудыг судалж, аль нь "эвдэрсэн", яг юуг нь сэргээх шаардлагатайг тодорхойлох хэрэгтэй.

Энэ үед хувилбар нь мэдээллийн технологийн ерөнхий мэдлэгээс Veeam-ын онцлог шинж чанарууд руу шилждэг.

Энэ жишээнд (файлын нэрийг мэдэж байгаа ч хаанаас хайхаа мэдэхгүй байгаа бол) Enterprise Manager дээрх хайлтын функцийг ашиглах гэх мэт. Үүний үр дүнд логик гинжийг бүхэлд нь сэргээсний дараа тоглогчид өөр нэвтрэх / нууц үг болон nmap гаралттай болно. Энэ нь тэдгээрийг Windows Core сервер болон RDP-ээр дамжуулан авчирдаг (ингэснээр амьдрал зөгийн бал шиг санагдахгүй).

Энэ серверийн гол онцлог нь: энгийн скрипт болон хэд хэдэн толь бичгийн тусламжтайгаар хавтас, файлуудын туйлын утгагүй бүтэц бий болсон. Нэвтрэх үед та "Энд логик бөмбөг дэлбэрсэн тул та цаашдын алхмуудыг хийх сэжүүрүүдийг нэгтгэх хэрэгтэй болно" гэх мэт мэндчилгээний мессеж хүлээн авна.

Дараах сэжүүрийг олон боть архивт (40-50 ширхэг) хувааж, эдгээр хавтсанд санамсаргүй байдлаар тараав. Бидний санаа бол тоглогчид сайн мэддэг маск ашиглан олон боть архив цуглуулж, шаардлагатай өгөгдлийг авахын тулд энгийн PowerShell скрипт бичих авьяас чадвараа харуулах ёстой байв. (Гэхдээ энэ нь тэр хошигнол шиг болсон - зарим хичээлүүд бие бялдрын хувьд ер бусын хөгжсөн байсан.)

Архив нь хуурцагны гэрэл зургийг ("Сүүлийн зоог - Шилдэг мөчүүд" гэсэн бичээстэй) агуулж байсан бөгөөд энэ нь ижил төстэй нэртэй кассет агуулсан холбогдсон соронзон хальсны санг ашиглахыг харуулсан. Ганц л асуудал байсан - энэ нь ажиллах боломжгүй болсон тул каталогжуулаагүй байна. Эндээс л эрэл хайгуулын хамгийн хэцүү хэсэг эхэлсэн байх. Бид кассетаас толгой хэсгийг устгасан тул үүнээс өгөгдлийг сэргээхийн тулд та "түүхий" блокуудыг хаяж, файлын эхлэлийн тэмдэглэгээг олохын тулд тэдгээрийг зургаан өнцөгт засварлагчаар үзэх хэрэгтэй.
Бид тэмдэглэгээг олж, офсетийг харж, блокыг хэмжээгээр нь үржүүлж, офсетийг нэмж, дотоод хэрэгслийг ашиглан тодорхой блокоос файлыг сэргээхийг оролдоно. Хэрэв бүх зүйл зөв хийгдсэн бөгөөд математик зөвшөөрвөл тоглогчид гартаа .wav файлтай байх болно.

Үүн дээр дуу хоолой үүсгэгчийг ашиглан хоёртын кодыг зааж өгсөн бөгөөд үүнийг өөр IP болгон өргөжүүлдэг.

Энэ нь Windows-ийн шинэ сервер бөгөөд Wireshark-ийг ашиглах шаардлагатай байгааг харуулж байгаа боловч тэнд байхгүй байна. Гол заль мэх бол энэ машин дээр суулгасан хоёр систем байдаг - зөвхөн хоёр дахь диск нь төхөөрөмжийн менежерээр офлайнаар салгагддаг бөгөөд логик хэлхээ нь дахин ачаалах шаардлагатай болдог. Дараа нь анхдагчаар Wireshark суулгасан огт өөр систем ачаалах ёстой болох нь харагдаж байна. Энэ бүх хугацаанд бид хоёрдогч үйлдлийн систем дээр байсан.

Энд онцгой зүйл хийх шаардлагагүй, зөвхөн нэг интерфейс дээр зураг авалтыг идэвхжүүлнэ үү. Хогийн цэгийг харьцангуй нягт шалгаж үзэхэд туслах машинаас тодорхой давтамжтайгаар илгээсэн зүүн гартай багц гарч ирдэг бөгөөд энэ нь тоглогчид тодорхой дугаар руу залгахыг хүссэн YouTube видеоны холбоосыг агуулдаг. Эхний залгасан хүн нэгдүгээр байранд баяр хүргэж, бусад нь хүний ​​нөөцийн урилга хүлээн авах болно (онигоо).

Дашрамд хэлэхэд бид нээлттэй байна сул орон тоо техникийн дэмжлэг үзүүлэх инженер, дадлагажигчдад зориулсан. Багтаа тавтай морил!

Эх сурвалж: www.habr.com

сэтгэгдэл нэмэх