ProHoster > Blog > berita internet > Pencarian siber daripada pasukan sokongan teknikal Veeam

Pencarian siber daripada pasukan sokongan teknikal Veeam

Musim sejuk ini, atau lebih tepat, pada salah satu hari antara Krismas Katolik dan Tahun Baru, jurutera sokongan teknikal Veeam sibuk dengan tugas luar biasa: mereka memburu sekumpulan penggodam yang dipanggil "Veeamonymous".

Pencarian siber daripada pasukan sokongan teknikal Veeam

Dia memberitahu bagaimana lelaki itu sendiri datang dan menjalankan pencarian sebenar dalam realiti di tempat kerja mereka, dengan tugas "hampir untuk pertempuran" Kirill Stetsko, Jurutera Eskalasi.

- Kenapa awak mulakan ini?

- Kira-kira cara yang sama orang datang dengan Linux pada satu masa - hanya untuk keseronokan, untuk kesenangan mereka sendiri.

Kami mahukan pergerakan, dan pada masa yang sama kami mahu melakukan sesuatu yang berguna, sesuatu yang menarik. Selain itu, adalah perlu untuk memberikan sedikit kelegaan emosi kepada jurutera daripada kerja harian mereka.

- Siapa yang mencadangkan ini? Idea siapa itu?

β€” Ideanya ialah pengurus kami Katya Egorova, dan kemudian konsep dan semua idea selanjutnya dilahirkan melalui usaha bersama. Pada mulanya kami terfikir untuk melakukan hackathon. Tetapi semasa pembangunan konsep, idea itu berkembang menjadi pencarian; Lagipun, jurutera sokongan teknikal adalah jenis aktiviti yang berbeza daripada pengaturcaraan.

Jadi, kami memanggil rakan, rakan seperjuangan, kenalan, orang yang berbeza membantu kami dengan konsep - satu orang dari T2 (barisan sokongan kedua ialah nota editor), seorang dengan T3, beberapa orang daripada pasukan SWAT (pasukan tindak balas pantas untuk kes yang sangat mendesak - nota editor). Kami semua berkumpul, duduk dan cuba membuat tugasan untuk pencarian kami.

β€” Sangat tidak dijangka untuk mengetahui tentang semua ini, kerana, sejauh yang saya tahu, mekanik pencarian biasanya diusahakan oleh penulis skrip pakar, iaitu, anda bukan sahaja berurusan dengan perkara yang begitu rumit, tetapi juga berkaitan dengan kerja anda , kepada bidang aktiviti profesional anda.

β€” Ya, kami mahu menjadikannya bukan sekadar hiburan, tetapi untuk "mempertingkatkan" kemahiran teknikal jurutera. Salah satu tugas di jabatan kami ialah pertukaran pengetahuan dan latihan, tetapi usaha sedemikian adalah peluang terbaik untuk membiarkan orang ramai "menyentuh" ​​beberapa teknik baharu untuk mereka secara langsung.

β€” Bagaimanakah anda membuat tugasan?

β€” Kami mengadakan sesi sumbangsaran. Kami mempunyai pemahaman bahawa kami perlu melakukan beberapa ujian teknikal, dan supaya ia akan menarik dan pada masa yang sama membawa pengetahuan baharu.
Sebagai contoh, kami berpendapat bahawa orang ramai harus mencuba menghidu trafik, menggunakan editor hex, melakukan sesuatu untuk Linux, beberapa perkara yang lebih mendalam berkaitan produk kami (Veeam Backup & Replication dan lain-lain).

Konsep itu juga merupakan bahagian penting. Kami memutuskan untuk membina tema penggodam, akses tanpa nama dan suasana kerahsiaan. Topeng Guy Fawkes telah dijadikan simbol, dan nama itu datang secara semula jadi - Veeamonymous.

"Pada mulanya adalah perkataan"

Untuk membangkitkan minat, kami memutuskan untuk menganjurkan kempen PR bertemakan pencarian sebelum acara: kami menggantung poster dengan pengumuman di sekitar pejabat kami. Dan beberapa hari kemudian, secara rahsia daripada semua orang, mereka melukisnya dengan tin semburan dan memulakan "itik", mereka mengatakan bahawa beberapa penyerang merosakkan poster, mereka juga melampirkan foto dengan bukti….

- Jadi anda melakukannya sendiri, iaitu pasukan penganjur?!

β€” Ya, pada hari Jumaat, kira-kira jam 9, apabila semua orang sudah pergi, kami pergi dan melukis huruf "V" berwarna hijau dari belon.) Ramai peserta dalam pencarian tidak pernah meneka siapa yang melakukannya - orang datang kepada kami dan bertanya siapa yang merosakkan poster? Seseorang mengambil isu ini dengan sangat serius dan menjalankan keseluruhan penyiasatan mengenai topik ini.

Untuk pencarian itu, kami juga menulis fail audio, bunyi "robek keluar": sebagai contoh, apabila seorang jurutera log masuk ke sistem [CRM pengeluaran] kami, terdapat robot penjawab yang menyebut pelbagai jenis frasa, nombor... Di sini kami daripada kata-kata yang telah dirakamnya, menyusun frasa yang lebih kurang bermakna, baiklah, mungkin sedikit bengkok - contohnya, kami mendapat "Tiada rakan untuk membantu anda" dalam fail audio.

Sebagai contoh, kami mewakili alamat IP dalam kod binari, dan sekali lagi, menggunakan nombor ini [disebut oleh robot], kami menambah pelbagai bunyi yang menakutkan. Kami merakam video itu sendiri: dalam video itu kami mempunyai seorang lelaki yang duduk dalam tudung hitam dan topeng Guy Fawkes, tetapi sebenarnya tidak ada seorang, tetapi tiga, kerana dua orang berdiri di belakangnya dan memegang "latar belakang" yang diperbuat daripada selimut :).

- Nah, anda keliru, secara terang-terangan.

- Ya, kami terbakar. Secara umum, kami mula-mula menghasilkan spesifikasi teknikal kami, dan kemudian mengarang garis besar sastera dan suka bermain mengenai topik perkara yang didakwa berlaku. Mengikut senario itu, para peserta sedang memburu sekumpulan penggodam yang dipanggil "Veeamonymous". Ideanya juga adalah bahawa kami akan, seolah-olah, "memecahkan dinding ke-4," iaitu, kami akan memindahkan peristiwa menjadi realiti - kami melukis dari tin semburan, sebagai contoh.

Salah seorang penutur asli bahasa Inggeris dari jabatan kami membantu kami dengan pemprosesan sastera teks.

- Tunggu, kenapa penutur asli? Adakah anda melakukan semuanya dalam bahasa Inggeris juga?!

β€” Ya, kami melakukannya untuk pejabat St. Petersburg dan Bucharest, jadi semuanya dalam bahasa Inggeris.

Untuk pengalaman pertama kami cuba menjadikan semuanya berfungsi, jadi skripnya adalah linear dan agak mudah. Kami menambah lebih banyak persekitaran: teks rahsia, kod, gambar.

Pencarian siber daripada pasukan sokongan teknikal Veeam

Kami juga menggunakan meme: terdapat banyak gambar mengenai topik penyiasatan, UFO, beberapa cerita seram popular - beberapa pasukan terganggu oleh ini, cuba mencari beberapa mesej tersembunyi di sana, menggunakan pengetahuan mereka tentang steganografi dan perkara lain... tetapi, sudah tentu, tidak ada yang seperti itu.

Tentang duri

Walau bagaimanapun, semasa proses penyediaan, kami juga menghadapi cabaran yang tidak dijangka.

Kami banyak bergelut dengan mereka dan menyelesaikan pelbagai isu yang tidak dijangka, dan kira-kira seminggu sebelum pencarian kami fikir semuanya telah hilang.

Ia mungkin bernilai menceritakan sedikit tentang asas teknikal pencarian.

Semuanya dilakukan di makmal ESXi dalaman kami. Kami mempunyai 6 pasukan, bermakna kami perlu memperuntukkan 6 kumpulan sumber. Jadi, untuk setiap pasukan kami menggunakan kumpulan berasingan dengan mesin maya yang diperlukan (IP yang sama). Tetapi memandangkan semua ini terletak pada pelayan yang berada pada rangkaian yang sama, konfigurasi semasa VLAN kami tidak membenarkan kami mengasingkan mesin dalam kumpulan yang berbeza. Dan, sebagai contoh, semasa ujian dijalankan, kami menerima situasi di mana mesin daripada satu kolam disambungkan kepada mesin daripada yang lain.

β€” Bagaimanakah anda dapat membetulkan keadaan?

β€” Pada mulanya kami berfikir untuk masa yang lama, menguji semua jenis pilihan dengan kebenaran, vLAN berasingan untuk mesin. Akibatnya, mereka melakukan ini - setiap pasukan hanya melihat pelayan Veeam Backup, yang melaluinya semua kerja lanjut berlaku, tetapi tidak melihat subkolam tersembunyi, yang mengandungi:

  • beberapa mesin Windows
  • pelayan teras Windows
  • mesin Linux
  • pasangan VTL (Pustaka Pita Maya)

Semua kumpulan diberikan kumpulan port yang berasingan pada suis vDS dan VLAN Peribadi mereka sendiri. Pengasingan berganda ini adalah apa yang diperlukan untuk menghapuskan sepenuhnya kemungkinan interaksi rangkaian.

Tentang berani

β€” Bolehkah sesiapa mengambil bahagian dalam usaha itu? Bagaimanakah pasukan dibentuk?

β€” Ini adalah pengalaman pertama kami mengadakan acara sedemikian, dan keupayaan makmal kami terhad kepada 6 pasukan.

Pertama, seperti yang telah saya katakan, kami menjalankan kempen PR: menggunakan poster dan mel, kami mengumumkan bahawa pencarian akan diadakan. Kami juga mempunyai beberapa petunjuk - frasa telah disulitkan dalam kod binari pada poster itu sendiri. Dengan cara ini, kami menarik minat orang ramai, dan orang ramai telah mencapai persetujuan sesama mereka, dengan rakan, rakan, dan bekerjasama. Akibatnya, lebih ramai orang bertindak balas daripada kami mempunyai kumpulan, jadi kami terpaksa menjalankan pilihan: kami menghasilkan tugas ujian mudah dan menghantarnya kepada semua orang yang memberi respons. Ia adalah masalah logik yang perlu diselesaikan dengan cepat.

Satu pasukan dibenarkan sehingga 5 orang. Tidak perlu kapten, ideanya adalah kerjasama, komunikasi antara satu sama lain. Seseorang itu kuat, contohnya, dalam Linux, seseorang itu kuat dalam pita (sandaran ke pita), dan semua orang, melihat tugas itu, boleh melaburkan usaha mereka dalam penyelesaian keseluruhan. Semua orang berkomunikasi antara satu sama lain dan mencari penyelesaian.

Pencarian siber daripada pasukan sokongan teknikal Veeam

β€” Pada titik manakah acara ini bermula? Adakah anda mempunyai beberapa jenis "jam X"?

β€” Ya, kami mempunyai hari yang ditetapkan dengan ketat, kami memilihnya supaya kurang beban kerja di jabatan. Sememangnya, ketua pasukan telah dimaklumkan lebih awal bahawa pasukan itu dan itu telah dijemput untuk mengambil bahagian dalam pencarian, dan mereka perlu diberi sedikit kelegaan [mengenai pemuatan] pada hari itu. Nampaknya ia sepatutnya menjadi penghujung tahun, 28 Disember, Jumaat. Kami menjangkakan ia mengambil masa kira-kira 5 jam, tetapi semua pasukan menyelesaikannya dengan lebih cepat.

β€” Adakah semua orang berada pada kedudukan yang sama, adakah semua orang mempunyai tugas yang sama berdasarkan kes sebenar?

β€” Nah, ya, setiap penyusun mengambil beberapa cerita daripada pengalaman peribadi. Kami tahu tentang sesuatu yang perkara ini boleh berlaku dalam realiti, dan ia akan menjadi menarik bagi seseorang untuk "merasakannya", melihat dan memikirkannya. Mereka juga mengambil beberapa perkara yang lebih khusus - contohnya, pemulihan data daripada pita yang rosak. Beberapa dengan petunjuk, tetapi kebanyakan pasukan melakukannya sendiri.

Atau perlu menggunakan keajaiban skrip pantas - sebagai contoh, kami mempunyai cerita bahawa beberapa "bom logik" "mengoyak" arkib berbilang jilid ke dalam folder rawak di sepanjang pokok, dan data itu perlu dikumpulkan. Anda boleh melakukan ini secara manual - cari dan salin [fail] satu demi satu, atau anda boleh menulis skrip menggunakan topeng.

Secara umum, kami cuba mematuhi sudut pandangan bahawa satu masalah boleh diselesaikan dengan cara yang berbeza. Sebagai contoh, jika anda lebih berpengalaman atau ingin keliru, maka anda boleh menyelesaikannya dengan lebih cepat, tetapi ada cara langsung untuk menyelesaikannya secara langsung - tetapi pada masa yang sama anda akan menghabiskan lebih banyak masa untuk masalah itu. Iaitu, hampir setiap tugas mempunyai beberapa penyelesaian, dan ia adalah menarik laluan mana yang akan dipilih oleh pasukan. Jadi ketaklinearan adalah tepat dalam pilihan pilihan penyelesaian.

Ngomong-ngomong, masalah Linux ternyata menjadi yang paling sukar - hanya satu pasukan menyelesaikannya secara bebas, tanpa sebarang petunjuk.

β€” Bolehkah anda mengambil petunjuk? Seperti dalam pencarian sebenar??

β€” Ya, adalah mungkin untuk mengambilnya, kerana kami memahami bahawa orang adalah berbeza, dan mereka yang kurang pengetahuan boleh masuk ke dalam pasukan yang sama, jadi untuk tidak menangguhkan laluan dan tidak kehilangan minat bersaing, kami memutuskan bahawa kami akan tips. Untuk melakukan ini, setiap pasukan diperhatikan oleh seorang daripada penganjur. Baiklah, kami memastikan tiada siapa yang menipu.

Pencarian siber daripada pasukan sokongan teknikal Veeam

Mengenai bintang

β€” Adakah terdapat hadiah untuk pemenang?

β€” Ya, kami cuba membuat hadiah yang paling menyenangkan untuk semua peserta dan pemenang: pemenang menerima baju peluh berjenama dengan logo Veeam dan frasa yang disulitkan dalam kod perenambelasan, hitam). Semua peserta menerima topeng Guy Fawkes dan beg berjenama dengan logo dan kod yang sama.

- Iaitu, semuanya seperti dalam usaha sebenar!

"Nah, kami mahu melakukan perkara yang hebat dan dewasa, dan saya fikir kami berjaya."

- Ini adalah benar! Apakah reaksi terakhir mereka yang mengambil bahagian dalam pencarian ini? Adakah anda telah mencapai matlamat anda?

- Ya, ramai yang datang kemudian dan mengatakan bahawa mereka jelas melihat kelemahan mereka dan ingin memperbaikinya. Seseorang berhenti takut dengan teknologi tertentu - contohnya, membuang blok dari pita dan cuba merebut sesuatu di sana... Seseorang menyedari bahawa dia perlu menambah baik Linux, dan sebagainya. Kami cuba memberikan pelbagai tugasan yang agak luas, tetapi bukan tugas yang remeh sepenuhnya.

Pencarian siber daripada pasukan sokongan teknikal Veeam
Pasukan yang menang

"Siapa yang mahu, akan mencapainya!"

β€” Adakah ia memerlukan banyak usaha daripada mereka yang menyediakan pencarian?

- Sebenarnya ya. Tetapi ini kemungkinan besar disebabkan oleh fakta bahawa kami tidak mempunyai pengalaman dalam menyediakan pencarian seperti ini, infrastruktur seperti ini. (Mari kita membuat tempahan bahawa ini bukan infrastruktur sebenar kita - ia sepatutnya melaksanakan beberapa fungsi permainan.)

Ia adalah pengalaman yang sangat menarik bagi kami. Pada mulanya saya ragu-ragu, kerana idea itu kelihatan terlalu keren kepada saya, saya fikir ia akan menjadi sangat sukar untuk dilaksanakan. Tetapi kami mula melakukannya, kami mula membajak, semuanya mula terbakar, dan akhirnya kami berjaya. Malah hampir tiada tindanan.

Secara keseluruhan kami menghabiskan 3 bulan. Untuk sebahagian besar, kami menghasilkan konsep dan membincangkan perkara yang boleh kami laksanakan. Dalam proses itu, secara semula jadi, beberapa perkara berubah, kerana kami menyedari bahawa kami tidak mempunyai keupayaan teknikal untuk melakukan sesuatu. Kami terpaksa membuat semula sesuatu di sepanjang jalan, tetapi dengan cara yang keseluruhan garis besar, sejarah dan logik tidak pecah. Kami cuba bukan sahaja untuk memberikan senarai tugas teknikal, tetapi untuk menjadikannya sesuai dengan cerita, supaya ia koheren dan logik. Kerja utama sedang dijalankan untuk bulan lepas, iaitu, 3-4 minggu sebelum hari X.

β€” Jadi, sebagai tambahan kepada aktiviti utama anda, anda memperuntukkan masa untuk persediaan?

β€” Kami melakukan ini selari dengan kerja utama kami, ya.

- Adakah anda diminta untuk melakukan ini sekali lagi?

- Ya, kami mempunyai banyak permintaan untuk diulang.

- Dan kamu?

- Kami mempunyai idea baharu, konsep baharu, kami mahu menarik lebih ramai orang dan meluaskannya dari semasa ke semasa - kedua-dua proses pemilihan dan proses permainan itu sendiri. Secara umum, kami diilhamkan oleh projek "Cicada", anda boleh Google - ia adalah topik IT yang sangat keren, orang dari seluruh dunia bersatu di sana, mereka memulakan benang di Reddit, di forum, mereka menggunakan terjemahan kod, menyelesaikan teka-teki , dan semua itu.

β€” Idea itu bagus, cuma hormati idea dan pelaksanaannya, kerana ia sangat bernilai. Saya sangat berharap agar anda tidak kehilangan inspirasi ini dan semua projek baharu anda juga berjaya. Terima kasih!

Pencarian siber daripada pasukan sokongan teknikal Veeam

β€” Ya, bolehkah anda melihat contoh tugasan yang anda pasti tidak akan gunakan semula?

"Saya mengesyaki kita tidak akan menggunakan semula mana-mana daripadanya." Oleh itu, saya boleh memberitahu anda tentang kemajuan keseluruhan pencarian.

Lagu bonusPada mulanya, pemain mempunyai nama mesin maya dan kelayakan daripada vCenter. Setelah log masuk ke dalamnya, mereka melihat mesin ini, tetapi ia tidak bermula. Di sini anda perlu meneka bahawa ada sesuatu yang tidak kena dengan fail .vmx. Sebaik sahaja mereka memuat turunnya, mereka melihat gesaan yang diperlukan untuk langkah kedua. Pada asasnya, ia mengatakan bahawa pangkalan data yang digunakan oleh Veeam Backup & Replication disulitkan.
Selepas mengalih keluar gesaan, memuat turun fail .vmx kembali dan berjaya menghidupkan mesin, mereka melihat bahawa salah satu cakera sebenarnya mengandungi pangkalan data yang disulitkan base64. Sehubungan itu, tugasnya adalah untuk menyahsulitnya dan mendapatkan pelayan Veeam yang berfungsi sepenuhnya.

Sedikit tentang mesin maya di mana semua ini berlaku. Seperti yang kita ingat, mengikut plot, watak utama pencarian adalah seorang yang agak gelap dan melakukan sesuatu yang jelas tidak sah. Oleh itu, komputer kerjanya sepatutnya mempunyai penampilan seperti penggodam sepenuhnya, yang kami terpaksa buat, walaupun pada hakikatnya ia adalah Windows. Perkara pertama yang kami lakukan ialah menambah banyak prop, seperti maklumat tentang penggodaman utama, serangan DDoS, dan sebagainya. Kemudian mereka memasang semua perisian biasa dan meletakkan pelbagai tempat pembuangan, fail dengan cincang, dsb. di mana-mana. Semuanya seperti dalam filem. Antara lain, terdapat folder bernama kes tertutup*** dan kes terbuka***
Untuk maju lebih jauh, pemain perlu memulihkan petunjuk daripada fail sandaran.

Di sini mesti dikatakan bahawa pada mulanya pemain diberi sedikit maklumat, dan mereka menerima kebanyakan data (seperti IP, log masuk dan kata laluan) semasa pencarian, mencari petunjuk dalam sandaran atau fail yang bertaburan pada mesin. . Pada mulanya, fail sandaran terletak pada repositori Linux, tetapi folder itu sendiri pada pelayan dipasang dengan bendera noexec, jadi ejen yang bertanggungjawab untuk pemulihan fail tidak boleh bermula.

Dengan membetulkan repositori, peserta mendapat akses kepada semua kandungan dan akhirnya boleh memulihkan sebarang maklumat. Ia kekal untuk memahami yang mana satu itu. Dan untuk melakukan ini, mereka hanya perlu mengkaji fail yang disimpan pada mesin ini, tentukan yang mana "rosak" dan apa sebenarnya yang perlu dipulihkan.

Pada ketika ini, senario beralih daripada pengetahuan IT am kepada ciri khusus Veeam.

Dalam contoh khusus ini (apabila anda tahu nama fail, tetapi tidak tahu di mana hendak mencarinya), anda perlu menggunakan fungsi carian dalam Pengurus Perusahaan, dan sebagainya. Akibatnya, selepas memulihkan keseluruhan rantaian logik, pemain mempunyai log masuk/kata laluan dan output nmap yang lain. Ini membawa mereka ke pelayan Windows Core, dan melalui RDP (supaya kehidupan tidak kelihatan seperti madu).

Ciri utama pelayan ini: dengan bantuan skrip mudah dan beberapa kamus, struktur folder dan fail yang sama sekali tidak bermakna telah terbentuk. Dan apabila anda log masuk, anda menerima mesej alu-aluan seperti "Bom logik telah meletup di sini, jadi anda perlu mengumpulkan petunjuk untuk langkah selanjutnya."

Petunjuk berikut telah dibahagikan kepada arkib berbilang jilid (40-50 keping) dan diedarkan secara rawak di antara folder ini. Idea kami ialah pemain harus menunjukkan bakat mereka dalam menulis skrip PowerShell mudah untuk menyusun arkib berbilang jilid menggunakan topeng yang terkenal dan mendapatkan data yang diperlukan. (Tetapi ternyata seperti dalam jenaka itu - beberapa subjek ternyata berkembang secara fizikal yang luar biasa.)

Arkib itu mengandungi foto kaset (dengan tulisan "Perjamuan Terakhir - Momen Terbaik"), yang memberikan petunjuk penggunaan perpustakaan pita bersambung, yang mengandungi kaset dengan nama yang serupa. Terdapat hanya satu masalah - ia ternyata sangat tidak boleh digunakan sehingga ia tidak dikatalogkan. Di sinilah mungkin bahagian pencarian yang paling tegar bermula. Kami memadamkan pengepala daripada kaset, jadi untuk memulihkan data daripadanya, anda hanya perlu membuang blok "mentah" dan melihatnya dalam editor hex untuk mencari penanda permulaan fail.
Kami mencari penanda, lihat offset, darabkan blok dengan saiznya, tambah offset dan, menggunakan alat dalaman, cuba pulihkan fail dari blok tertentu. Jika semuanya dilakukan dengan betul dan matematik bersetuju, maka pemain akan mempunyai fail .wav di tangan mereka.

Di dalamnya, menggunakan penjana suara, antara lain, kod binari ditentukan, yang dikembangkan ke IP lain.

Ini, ternyata, adalah pelayan Windows baharu, di mana segala-galanya membayangkan keperluan untuk menggunakan Wireshark, tetapi ia tidak ada di sana. Helah utama ialah terdapat dua sistem yang dipasang pada mesin ini - hanya cakera dari yang kedua diputuskan sambungan melalui pengurus peranti di luar talian, dan rantaian logik membawa kepada keperluan untuk but semula. Kemudian ternyata bahawa secara lalai sistem yang sama sekali berbeza, di mana Wireshark dipasang, harus boot. Dan selama ini kami menggunakan OS sekunder.

Tidak perlu melakukan sesuatu yang istimewa di sini, hanya dayakan tangkapan pada satu antara muka. Pemeriksaan yang agak dekat ke atas tempat pembuangan itu mendedahkan paket kidal yang jelas dihantar dari mesin tambahan pada selang masa yang tetap, yang mengandungi pautan ke video YouTube di mana pemain diminta menghubungi nombor tertentu. Pemanggil pertama akan mendengar ucapan tahniah di tempat pertama, selebihnya akan menerima jemputan untuk HR (lawak)).

By the way, kami buka jawatan kosong untuk jurutera sokongan teknikal dan pelatih. Selamat datang ke pasukan!

Sumber: www.habr.com

Tambah komen