Denne vinteren, eller rettere sagt, på en av dagene mellom katolsk jul og nyttår, var Veeams tekniske støtteingeniører opptatt med uvanlige oppgaver: de jaktet på en gruppe hackere kalt «Veeamonymous».
Han fortalte hvordan gutta selv fant på og utførte et virkelig virkelighetsoppdrag på jobben deres, med oppgaver "nær kamp" Kirill Stetsko, Eskaleringsingeniør.
– Hvorfor startet du i det hele tatt dette?
– Omtrent på samme måte som folk kom opp med Linux på en gang – bare for moro skyld, for deres egen fornøyelse.
Vi ville ha bevegelse, og samtidig ville vi gjøre noe nyttig, noe interessant. I tillegg var det nødvendig å gi litt følelsesmessig lettelse til ingeniørene fra deres daglige arbeid.
– Hvem foreslo dette? Hvem sin idé var det?
— Ideen var vår manager Katya Egorova, og så ble konseptet og alle videre ideer født gjennom felles innsats. I utgangspunktet tenkte vi å gjøre et hackathon. Men under utviklingen av konseptet vokste ideen til en søken; tross alt er en teknisk støtteingeniør en annen type aktivitet enn programmering.
Så vi ringte venner, kamerater, bekjente, forskjellige mennesker hjalp oss med konseptet - en person fra T2 (den andre støttelinjen er redaktørens notat), en person med T3, et par personer fra SWAT-teamet (hurtigreaksjonsteam for spesielt hastesaker - redaktørens notat). Vi kom alle sammen, satte oss ned og prøvde å finne på oppgaver for vår søken.
— Det var veldig uventet å lære om alt dette, for så vidt jeg vet, blir oppdragsmekanikk vanligvis utarbeidet av spesialiserte manusforfattere, det vil si at du ikke bare taklet en så kompleks ting, men også i forhold til arbeidet ditt. , til ditt faglige aktivitetsområde.
— Ja, vi ønsket å gjøre det til ikke bare underholdning, men å «pumpe opp» de tekniske ferdighetene til ingeniører. En av oppgavene i vår avdeling er utveksling av kunnskap og opplæring, men et slikt oppdrag er en utmerket mulighet til å la folk "røre" noen nye teknikker for dem live.
– Hvordan kom du på oppgaver?
— Vi hadde en idédugnad. Vi hadde forståelse for at vi måtte gjøre noen tekniske tester, og slik at de ville være interessante og samtidig bringe ny kunnskap.
For eksempel tenkte vi at folk burde prøve å snuse trafikk, bruke hex-editorer, gjøre noe for Linux, noen litt dypere ting relatert til produktene våre (Veeam Backup & Replication og andre).
Konseptet var også en viktig del. Vi bestemte oss for å bygge på temaet hackere, anonym tilgang og en atmosfære av hemmelighold. Guy Fawkes-masken ble gjort til et symbol, og navnet kom naturlig - Veeamonymous.
"I begynnelsen var ordet"
For å vekke interesse bestemte vi oss for å organisere en PR-kampanje med oppdragstema før arrangementet: vi hang opp plakater med kunngjøringen rundt kontoret vårt. Og noen dager senere, i hemmelighet fra alle, malte de dem med spraybokser og startet en "and", de sier at noen angripere ødela plakatene, de la til og med ved et bilde med et bevis ....
– Så du gjorde det selv, altså arrangørteamet?!
— Ja, på fredag, rundt klokken 9, da alle allerede hadde dratt, gikk vi og tegnet bokstaven «V» i grønt fra ballonger.) Mange deltakere i oppdraget gjettet aldri hvem som gjorde det - folk kom bort til oss og spurte hvem som ødela plakatene? Noen tok dette problemet veldig alvorlig og gjennomførte en hel undersøkelse om dette emnet.
For oppdraget skrev vi også lydfiler, "rippet ut" lyder: for eksempel når en ingeniør logger på vårt [produksjons-CRM]-system, er det en svarrobot som sier alle slags setninger, tall... Her er vi fra de ordene han har spilt inn, komponert mer eller mindre meningsfulle fraser, vel, kanskje litt skjeve - for eksempel fikk vi "Ingen venner som hjelper deg" i en lydfil.
For eksempel representerte vi IP-adressen i binær kode, og igjen, ved å bruke disse tallene [uttales av roboten], la vi til alle slags skremmende lyder. Vi filmet videoen selv: i videoen har vi en mann som sitter i en svart hette og en Guy Fawkes-maske, men i virkeligheten er det ikke én person, men tre, fordi to står bak ham og holder et "bakteppe" laget av et teppe :).
– Vel, du er forvirret, for å si det rett ut.
– Ja, vi tok fyr. Generelt kom vi først med våre tekniske spesifikasjoner, og komponerte deretter en litterær og leken oversikt over temaet hva som angivelig skjedde. I følge scenariet jaktet deltakerne på en gruppe hackere kalt "Veeamonymous". Tanken var også at vi så å si skulle "bryte den 4. veggen", det vil si at vi skulle overføre hendelser til virkelighet - vi malte for eksempel fra en sprayboks.
En av de engelsktalende fra avdelingen vår hjalp oss med den litterære behandlingen av teksten.
– Vent, hvorfor en morsmål? Gjorde du alt på engelsk også?!
— Ja, vi gjorde det for kontorene i St. Petersburg og Bucuresti, så alt var på engelsk.
For den første opplevelsen prøvde vi å få alt til å fungere, så manuset var lineært og ganske enkelt. Vi la til flere omgivelser: hemmelige tekster, koder, bilder.
Vi brukte også memer: det var en haug med bilder om undersøkelser, UFOer, noen populære skrekkhistorier - noen lag ble distrahert av dette, prøvde å finne noen skjulte meldinger der, bruke kunnskapen deres om steganografi og andre ting ... men det var selvfølgelig ikke noe slikt.
Om torner
Men under forberedelsesprosessen møtte vi også uventede utfordringer.
Vi slet mye med dem og løste alle slags uventede problemer, og omtrent en uke før oppdraget trodde vi at alt var tapt.
Det er nok verdt å fortelle litt om det tekniske grunnlaget for oppdraget.
Alt ble gjort i vårt interne ESXi-laboratorium. Vi hadde 6 lag, noe som betyr at vi måtte tildele 6 ressurspuljer. Så for hvert lag distribuerte vi et eget basseng med de nødvendige virtuelle maskinene (samme IP). Men siden alt dette var plassert på servere som er på samme nettverk, tillot den nåværende konfigurasjonen av våre VLAN oss ikke å isolere maskiner i forskjellige bassenger. Og for eksempel under en testkjøring fikk vi situasjoner der en maskin fra ett basseng koblet til en maskin fra et annet.
– Hvordan klarte du å rette opp situasjonen?
— Først tenkte vi lenge, testet alle slags alternativer med tillatelser, separate vLAN-er for maskiner. Som et resultat gjorde de dette - hvert lag ser bare Veeam Backup-serveren, som alt videre arbeid foregår gjennom, men ser ikke den skjulte undergruppen, som inneholder:
- flere Windows-maskiner
- Windows kjerneserver
- Linux-maskin
- par VTL (Virtual Tape Library)
Alle bassenger er tildelt en egen gruppe med porter på vDS-svitsjen og sitt eget private VLAN. Denne doble isolasjonen er akkurat det som trengs for å fullstendig eliminere muligheten for nettverksinteraksjon.
Om de modige
— Kan noen ta del i oppdraget? Hvordan ble lagene dannet?
— Dette var vår første erfaring med å holde et slikt arrangement, og kapasiteten til laboratoriet vårt var begrenset til 6 team.
Først, som jeg allerede sa, gjennomførte vi en PR-kampanje: ved hjelp av plakater og utsendelser annonserte vi at et oppdrag ville bli holdt. Vi hadde til og med noen ledetråder - setninger ble kryptert i binær kode på selve plakatene. På denne måten fikk vi folk interessert, og folk kom allerede til avtaler seg imellom, med venner, med venner og samarbeidet. Det førte til at flere svarte enn vi hadde puljer, så vi måtte gjennomføre et utvalg: vi kom opp med en enkel testoppgave og sendte den til alle som svarte. Det var et logisk problem som måtte løses raskt.
Et lag fikk inntil 5 personer. Det var ikke behov for en kaptein, ideen var samarbeid, kommunikasjon med hverandre. Noen er sterke, for eksempel i Linux, noen er sterke i kassetter (sikkerhetskopier til kassetter), og alle som ser oppgaven, kan investere sin innsats i den samlede løsningen. Alle kommuniserte med hverandre og fant en løsning.
– På hvilket tidspunkt startet denne hendelsen? Hadde du en slags "time X"?
— Ja, vi hadde en strengt fastsatt dag, vi valgte den slik at det ble mindre arbeidsbelastning på avdelingen. Naturligvis ble teamlederne varslet på forhånd om at slike og slike lag ble invitert til å delta i oppdraget, og de måtte få litt lettelse [angående lasting] den dagen. Det så ut som det skulle være slutten av året, 28. desember, fredag. Vi forventet at det skulle ta rundt 5 timer, men alle lag fullførte det raskere.
— Var alle likestilt, hadde alle de samme oppgavene ut fra reelle saker?
— Vel, ja, hver av kompilatorene tok noen historier fra personlig erfaring. Vi visste om noe at dette kunne skje i virkeligheten, og det ville være interessant for en person å "føle" det, se og finne ut av det. De tok også noen mer spesifikke ting - for eksempel datagjenoppretting fra skadede bånd. Noen med hint, men de fleste av lagene klarte det på egenhånd.
Eller det var nødvendig å bruke magien til raske skript - for eksempel hadde vi en historie om at en "logisk bombe" "revet" et arkiv med flere volum i tilfeldige mapper langs treet, og det var nødvendig å samle inn dataene. Du kan gjøre dette manuelt - finn og kopier [filer] en etter en, eller du kan skrive et skript med en maske.
Generelt prøvde vi å holde oss til synspunktet om at ett problem kan løses på forskjellige måter. Hvis du for eksempel er litt mer erfaren eller ønsker å bli forvirret, så kan du løse det raskere, men det er en direkte måte å løse det på – men samtidig vil du bruke mer tid på problemet. Det vil si at nesten hver oppgave hadde flere løsninger, og det var interessant hvilke veier lagene ville velge. Så ulineariteten lå nettopp i valg av løsningsalternativ.
Forresten, Linux-problemet viste seg å være det vanskeligste - bare ett team løste det uavhengig, uten noen hint.
– Kan du ta hint? Som i en ekte søken??
— Ja, det var mulig å ta det, for vi skjønte at folk er forskjellige, og de som mangler litt kunnskap kunne komme inn i samme lag, så for ikke å forsinke passasjen og ikke miste konkurranseinteressen, bestemte vi oss for at vi ville tips. For å gjøre dette ble hvert lag observert av en person fra arrangørene. Vel, vi sørget for at ingen jukset.
Om stjernene
— Ble det premier til vinnerne?
— Ja, vi prøvde å lage de hyggeligste premiene for både alle deltakere og vinnerne: Vinnerne fikk designergensere med Veeam-logoen og en frase kryptert i heksadesimal kode, svart). Alle deltakerne fikk en Guy Fawkes maske og en merkeveske med logo og samme kode.
– Det vil si at alt var som i en skikkelig søken!
"Vel, vi ønsket å gjøre en kul, voksen ting, og jeg tror vi lyktes."
- Dette er sant! Hva var den endelige reaksjonen til de som deltok i dette oppdraget? Har du nådd målet ditt?
– Ja, mange kom opp senere og sa at de tydelig så sine svake sider og ønsket å forbedre dem. Noen sluttet å være redd for visse teknologier - for eksempel å dumpe blokker fra bånd og prøve å ta noe der... Noen skjønte at han trengte å forbedre Linux, og så videre. Vi prøvde å gi et ganske bredt spekter av oppgaver, men ikke helt trivielle.
Vinnerlaget
"Den som vil, vil oppnå det!"
— Krevde det mye innsats fra de som forberedte oppdraget?
– Faktisk ja. Men dette var mest sannsynlig på grunn av det faktum at vi ikke hadde noen erfaring med å forberede slike oppdrag, denne typen infrastruktur. (La oss ta forbehold om at dette ikke er vår virkelige infrastruktur – den skulle rett og slett utføre noen spillfunksjoner.)
Det var en veldig interessant opplevelse for oss. Først var jeg skeptisk, fordi ideen virket for kul for meg, jeg trodde den ville være veldig vanskelig å gjennomføre. Men vi begynte å gjøre det, vi begynte å pløye, alt begynte å ta fyr, og til slutt lyktes vi. Og det var til og med praktisk talt ingen overlegg.
Totalt brukte vi 3 måneder. For det meste kom vi opp med et konsept og diskuterte hva vi kunne implementere. I prosessen endret naturligvis enkelte ting seg, fordi vi innså at vi ikke hadde den tekniske evnen til å gjøre noe. Vi måtte gjøre om noe underveis, men på en slik måte at hele omrisset, historien og logikken ikke gikk i stykker. Vi prøvde ikke bare å gi en liste over tekniske oppgaver, men å få den til å passe inn i historien, slik at den ble sammenhengende og logisk. Hovedarbeidet pågikk den siste måneden, det vil si 3-4 uker før dag X.
— Så, i tillegg til hovedaktiviteten din, avsatte du tid til forberedelser?
— Vi gjorde dette parallelt med hovedarbeidet vårt, ja.
– Blir du bedt om å gjøre dette igjen?
– Ja, vi har mange forespørsler om å gjenta.
- Og du?
– Vi har nye ideer, nye konsepter, vi ønsker å tiltrekke oss flere og strekke det ut over tid – både utvelgelsesprosessen og selve spillprosessen. Generelt er vi inspirert av "Cicada"-prosjektet, du kan Google det - det er et veldig kult IT-emne, folk fra hele verden forenes der, de starter tråder på Reddit, på fora, de bruker kodeoversettelser, løser gåter , og alt det der.
— Ideen var flott, bare respekt for ideen og gjennomføringen, for den er virkelig verdt mye. Jeg ønsker inderlig at du ikke mister denne inspirasjonen og at alle dine nye prosjekter også blir vellykkede. Takk skal du ha!
— Ja, kan du se på et eksempel på en oppgave som du definitivt ikke vil gjenbruke?
"Jeg mistenker at vi ikke vil gjenbruke noen av dem." Derfor kan jeg fortelle deg om fremdriften til hele oppdraget.
BonussporHelt i begynnelsen har spillere navnet på den virtuelle maskinen og legitimasjon fra vCenter. Etter å ha logget på den ser de denne maskinen, men den starter ikke. Her må du gjette at noe er galt med .vmx-filen. Når de har lastet det ned, ser de forespørselen som trengs for det andre trinnet. I hovedsak står det at databasen som brukes av Veeam Backup & Replication er kryptert.
Etter å ha fjernet ledeteksten, lastet ned .vmx-filen tilbake og slått på maskinen, ser de at en av diskene faktisk inneholder en base64-kryptert database. Følgelig er oppgaven å dekryptere den og få en fullt funksjonell Veeam-server.
Litt om den virtuelle maskinen som alt dette skjer på. Som vi husker, ifølge plottet, er hovedpersonen i oppdraget en ganske mørk person og gjør noe som tydeligvis ikke er veldig lovlig. Derfor skulle arbeidsdatamaskinen hans ha et helt hacker-aktig utseende, som vi måtte lage, til tross for at det er Windows. Det første vi gjorde var å legge til mange rekvisitter, for eksempel informasjon om store hacks, DDoS-angrep og lignende. Deretter installerte de all den typiske programvaren og plasserte diverse dumps, filer med hashes osv. overalt. Alt er som i filmene. Blant annet var det mapper kalt lukket sak*** og åpen sak***
For å komme videre, må spillere gjenopprette hint fra sikkerhetskopifiler.
Her må det sies at spillerne i begynnelsen ble gitt ganske mye informasjon, og de mottok det meste av data (som IP, pålogginger og passord) i løpet av oppdraget, og fant ledetråder i sikkerhetskopier eller filer spredt på maskiner . Til å begynne med er backupfilene plassert på Linux-depotet, men selve mappen på serveren er montert med flagget noexec, så agenten som er ansvarlig for filgjenoppretting kan ikke starte.
Ved å fikse depotet får deltakerne tilgang til alt innhold og kan til slutt gjenopprette all informasjon. Det gjenstår å forstå hvilken det er. Og for å gjøre dette trenger de bare å studere filene som er lagret på denne maskinen, finne ut hvilke av dem som er "ødelagt" og hva som skal gjenopprettes.
På dette tidspunktet skifter scenariet fra generell IT-kunnskap til Veeam-spesifikke funksjoner.
I dette spesielle eksemplet (når du kjenner filnavnet, men ikke vet hvor du skal lete etter det), må du bruke søkefunksjonen i Enterprise Manager, og så videre. Som et resultat, etter å ha gjenopprettet hele den logiske kjeden, har spillerne en annen pålogging/passord og nmap-utgang. Dette bringer dem til Windows Core-serveren, og via RDP (slik at livet ikke ser ut som honning).
Hovedtrekket til denne serveren: ved hjelp av et enkelt skript og flere ordbøker ble en absolutt meningsløs struktur av mapper og filer dannet. Og når du logger på, mottar du en velkomstmelding som "En logisk bombe har eksplodert her, så du må sette sammen ledetrådene for videre trinn."
Følgende ledetråd ble delt inn i et arkiv med flere bind (40-50 stykker) og tilfeldig fordelt mellom disse mappene. Tanken vår var at spillere skulle vise sine talenter i å skrive enkle PowerShell-skript for å sette sammen et arkiv med flere volum ved å bruke en velkjent maske og få de nødvendige dataene. (Men det ble som i den spøken - noen av fagene viste seg å være uvanlig fysisk utviklet.)
Arkivet inneholdt et bilde av en kassett (med inskripsjonen "Last Supper - Best Moments"), som ga et hint om bruken av et tilkoblet båndbibliotek, som inneholdt en kassett med lignende navn. Det var bare ett problem - det viste seg å være så ubrukelig at det ikke en gang ble katalogisert. Det var her sannsynligvis den mest hardcore delen av oppdraget begynte. Vi slettet overskriften fra kassetten, så for å gjenopprette data fra den, trenger du bare å dumpe de "rå" blokkene og se gjennom dem i en hex-editor for å finne filstartmarkører.
Vi finner markøren, ser på forskyvningen, multipliserer blokken med størrelsen, legger til forskyvningen og prøver å gjenopprette filen fra en bestemt blokk ved hjelp av det interne verktøyet. Hvis alt er gjort riktig og matematikken stemmer, vil spillerne ha en .wav-fil i hendene.
I den, ved hjelp av en stemmegenerator, dikteres blant annet en binær kode, som utvides til en annen IP.
Dette, viser det seg, er en ny Windows-server, der alt tyder på behovet for å bruke Wireshark, men det er ikke der. Hovedtrikset er at det er to systemer installert på denne maskinen - bare disken fra den andre kobles fra via enhetsbehandlingen offline, og den logiske kjeden fører til behovet for å starte på nytt. Så viser det seg at som standard bør et helt annet system, der Wireshark er installert, starte opp. Og hele denne tiden var vi på det sekundære OS.
Det er ikke nødvendig å gjøre noe spesielt her, bare aktiver fangst på ett enkelt grensesnitt. En relativt nøye undersøkelse av dumpen avslører en tydelig venstrehendt pakke sendt fra hjelpemaskinen med jevne mellomrom, som inneholder en lenke til en YouTube-video hvor spillere blir bedt om å ringe et bestemt nummer. Den første som ringer vil høre gratulasjoner med førsteplassen, resten vil motta en invitasjon til HR (spøk)).
Vi har forresten åpent for teknisk støtteingeniører og traineer. Velkommen til laget!
Kilde: www.habr.com