Bu kış, daha doğrusu Katolik Noeli ile Yeni Yıl arasındaki günlerden birinde, Veeam teknik destek mühendisleri alışılmadık görevlerle meşguldü: "Veeamonymous" adlı bir grup bilgisayar korsanının peşindeydiler.
Adamların işlerinde gerçekte gerçek bir arayışı nasıl bulduklarını ve yürüttüklerini, "savaşa yakın" görevlerle anlattı. Kirill Stetsko, Eskalasyon Mühendisi.
- Bunu neden başlattın?
- İnsanların bir zamanlar Linux'u icat etmeleriyle hemen hemen aynı şekilde - sadece eğlence için, kendi zevkleri için.
Hareket istiyorduk ve aynı zamanda yararlı, ilginç bir şey yapmak istiyorduk. Ayrıca mühendislere günlük işlerinden dolayı duygusal bir rahatlama sağlamak da gerekiyordu.
- Bunu kim önerdi? Kimin fikriydi?
— Fikir yöneticimiz Katya Egorova'ydı ve ardından konsept ve diğer tüm fikirler ortak çabalarla doğdu. Başlangıçta bir hackathon yapmayı düşündük. Ancak konseptin geliştirilmesi sırasında fikir bir arayışa dönüştü; sonuçta teknik destek mühendisi programlamadan farklı bir faaliyet türüdür.
Böylece arkadaşlarımızı, yoldaşlarımızı, tanıdıklarımızı aradık, konsept konusunda farklı insanlar bize yardımcı oldu - T2'den bir kişi (ikinci destek hattı) Editörün Notu), T3'lü bir kişi, SWAT ekibinden birkaç kişi (özellikle acil durumlar için hızlı müdahale ekibi - Editörün Notu). Hepimiz bir araya geldik, oturduk ve arayışımız için görevler bulmaya çalıştık.
— Tüm bunları öğrenmek çok beklenmedik bir şeydi, çünkü bildiğim kadarıyla görev mekanikleri genellikle uzman senaristler tarafından çalışılıyor, yani sadece bu kadar karmaşık bir şeyle uğraşmadınız, aynı zamanda işinizle de bağlantılı olarak , profesyonel faaliyet alanınıza.
— Evet, bunu sadece eğlence amaçlı değil aynı zamanda mühendislerin teknik becerilerini "geliştirmek" istedik. Bölümümüzün görevlerinden biri bilgi ve eğitim alışverişidir, ancak böyle bir arayış, insanların kendileri için bazı yeni tekniklere "dokunmalarını" sağlamak için mükemmel bir fırsattır.
— Görevleri nasıl buldunuz?
- Beyin fırtınası yaptık. İlginç olacak ve aynı zamanda yeni bilgiler getirecek bazı teknik testler yapmamız gerektiğine dair bir anlayışımız vardı.
Örneğin, insanların trafiği koklamayı, hex editörlerini kullanmayı, Linux için bir şeyler yapmayı, ürünlerimizle ilgili biraz daha derin şeyleri (Veeam Backup & Replication ve diğerleri) denemeleri gerektiğini düşündük.
Konsept de önemli bir parçaydı. Bilgisayar korsanları, anonim erişim ve gizlilik atmosferi temasını geliştirmeye karar verdik. Guy Fawkes maskesi bir sembol haline getirildi ve adı da doğal olarak geldi: Veeamonymous.
"Başlangıçta kelime vardı"
Etkinlikten önce ilgiyi artırmak için arayış temalı bir PR kampanyası düzenlemeye karar verdik: duyuruyu içeren posterleri ofisimizin çevresine astık. Ve birkaç gün sonra herkesten gizlice sprey kutularıyla boyayıp “ördek” yapmaya başladılar, bazı saldırganların posterleri mahvettiğini söylüyorlar, hatta kanıtı olan bir fotoğraf bile eklemişler….
- Yani bunu kendin mi yaptın, yani organizatörlerden oluşan ekip mi?!
— Evet, Cuma günü saat 9 civarında, herkes gittikten sonra gittik ve balonlardan yeşil "V" harfini çizdik.) Araştırmaya katılanların çoğu bunu kimin yaptığını asla tahmin edemedi - insanlar bize geldi ve posterleri kimin mahvettiğini sordu? Birisi bu konuyu çok ciddiye aldı ve bu konuyla ilgili kapsamlı bir araştırma yaptı.
Bu görev için ayrıca ses dosyaları da yazdık, "kopuk" sesler: örneğin, bir mühendis [üretim CRM] sistemimize giriş yaptığında, her türlü cümleyi, rakamı söyleyen bir cevap veren robot var... İşte buradayız. kaydettiği sözlerden az çok anlamlı ifadeler besteledi, belki biraz çarpık - örneğin, bir ses dosyasında "Sana yardım edecek arkadaşın yok" var.
Örneğin IP adresini ikili kodla temsil ettik ve yine bu sayıları (robot tarafından telaffuz edilir) kullanarak her türlü korkutucu sesi ekledik. Videoyu kendimiz çektik: videoda siyah başlık takmış ve Guy Fawkes maskesi takmış bir adam var, ancak gerçekte bir kişi değil üç kişi var çünkü iki kişi onun arkasında duruyor ve ellerinde metalden yapılmış bir "zemin" tutuyor. battaniye :).
- Açıkça söylemek gerekirse kafan karıştı.
- Evet, alev aldık. Genel olarak önce teknik spesifikasyonlarımızı belirledik, ardından iddia edilen olayla ilgili edebi ve eğlenceli bir taslak hazırladık. Senaryoya göre katılımcılar "Veeamonymous" isimli bir grup hacker'ın peşindeydi. Fikir aynı zamanda "4. duvarı kırmamız", yani olayları gerçeğe aktarmamızdı - örneğin bir sprey kutusundan resim yaptık.
Metnin edebi işlenmesinde bölümümüzden anadili İngilizce olan bir kişi bize yardımcı oldu.
- Dur bir dakika, neden ana dili İngilizce olan biri? Hepsini İngilizce de mi yaptın?
— Evet, bunu St. Petersburg ve Bükreş ofisleri için yaptık, yani her şey İngilizceydi.
İlk deneyimde her şeyin yolunda gitmesini sağlamaya çalıştık, böylece senaryo doğrusal ve oldukça basit oldu. Daha fazla çevre ekledik: gizli metinler, kodlar, resimler.
Ayrıca memler de kullandık: araştırma konuları, UFO'lar, bazı popüler korku hikayeleri hakkında bir sürü resim vardı - bazı ekiplerin dikkati bundan dağılmıştı, orada bazı gizli mesajlar bulmaya, steganografi ve diğer şeylere ilişkin bilgilerini uygulamaya çalışıyorlardı... ama elbette öyle bir şey yoktu.
Dikenler hakkında
Ancak hazırlık sürecinde beklenmedik zorluklarla da karşılaştık.
Onlarla çok uğraştık ve her türlü beklenmedik sorunu çözdük ve arayıştan yaklaşık bir hafta önce her şeyin kaybolduğunu düşünüyorduk.
Muhtemelen arayışın teknik temeli hakkında biraz anlatmaya değer.
Her şey dahili ESXi laboratuvarımızda yapıldı. 6 ekibimiz vardı, bu da 6 kaynak havuzu ayırmamız gerektiği anlamına geliyordu. Bu nedenle, her ekip için gerekli sanal makinelerin (aynı IP) bulunduğu ayrı bir havuz yerleştirdik. Ancak tüm bunlar aynı ağdaki sunucularda bulunduğundan, VLAN'larımızın mevcut yapılandırması farklı havuzlardaki makineleri izole etmemize izin vermiyordu. Ve örneğin, bir test çalıştırması sırasında, bir havuzdaki bir makinenin diğer bir havuzdaki bir makineye bağlandığı durumlar aldık.
— Durumu nasıl düzeltebildiniz?
— İlk başta uzun süre düşündük, izinlerle her türlü seçeneği, makineler için ayrı vLAN'ları test ettik. Sonuç olarak bunu yaptılar; her ekip yalnızca tüm diğer çalışmaların gerçekleştirildiği Veeam Backup sunucusunu görüyor ancak aşağıdakileri içeren gizli alt havuzu görmüyor:
- birkaç Windows makinesi
- Windows çekirdek sunucusu
- Linux makinesi
- çift VTL (Sanal Bant Kitaplığı)
Tüm havuzlara, vDS anahtarında ayrı bir bağlantı noktası grubu ve kendi Özel VLAN'ları atanır. Bu çift izolasyon, ağ etkileşimi olasılığını tamamen ortadan kaldırmak için tam olarak ihtiyaç duyulan şeydir.
Cesur hakkında
— Herkes göreve katılabilir mi? Ekipler nasıl oluşturuldu?
— Böyle bir etkinliği ilk kez gerçekleştirme deneyimimizdi ve laboratuvarımızın kapasitesi 6 ekiple sınırlıydı.
Öncelikle daha önce de söylediğim gibi bir PR kampanyası yürüttük: posterler ve postalar kullanarak bir arayış düzenleneceğini duyurduk. Hatta bazı ipuçlarımız bile vardı; ifadeler posterlerin üzerinde ikili kodla şifrelenmişti. Bu sayede insanların ilgisini çektik ve insanlar kendi aralarında, arkadaşlarıyla, arkadaşlarıyla anlaşmaya vardılar, işbirliği yaptılar. Sonuç olarak, havuzlarımızdan daha fazla kişi yanıt verdi, bu yüzden bir seçim yapmak zorunda kaldık: Basit bir test görevi bulduk ve bunu yanıt veren herkese gönderdik. Bu, hızla çözülmesi gereken bir mantık problemiydi.
En fazla 5 kişilik bir takıma izin verildi. Kaptana gerek yoktu, amaç işbirliğiydi, birbirleriyle iletişimdi. Birisi güçlüdür, örneğin Linux'ta, birisi bantlarda güçlüdür (kasetlere yedekleme) ve görevi gören herkes, çabalarını genel çözüme yatırabilir. Herkes birbiriyle iletişime geçti ve çözüm buldu.
— Bu olay hangi noktada başladı? Bir tür "X saatiniz" var mıydı?
— Evet, kesin olarak belirlenmiş bir günümüz vardı, departmandaki iş yükü daha az olsun diye seçtik. Doğal olarak, ekip liderlerine, şu veya bu ekiplerin göreve katılmaya davet edildiği ve o gün [yükleme konusunda] biraz rahatlatılması gerektiği konusunda önceden bilgi verildi. Yıl sonu 28 Aralık Cuma olacak gibi görünüyordu. Yaklaşık 5 saat sürmesini bekliyorduk ama tüm ekipler daha hızlı tamamladı.
— Herkes eşit şartlarda mıydı, gerçek vakalara göre herkes aynı görevlere mi sahipti?
— Evet, derleyicilerin her biri kişisel deneyimlerden bazı hikayeler aldı. Bunun gerçekte gerçekleşebileceğini biliyorduk ve bir kişinin bunu "hissetmesi", bakması ve anlaması ilginç olurdu. Ayrıca daha spesifik bazı şeyleri de aldılar; örneğin, hasarlı bantlardan veri kurtarma. Bazılarının ipuçları var ama takımların çoğu bunu kendi başlarına yaptı.
Veya hızlı komut dosyalarının büyüsünü kullanmak gerekiyordu - örneğin, bir tür "mantıksal bombanın" çok ciltli bir arşivi ağaç boyunca rastgele klasörlere "yırttığına" ve verileri toplamanın gerekli olduğuna dair bir hikayemiz vardı. Bunu manuel olarak yapabilirsiniz; [dosyaları] tek tek bulup kopyalayabilirsiniz veya maske kullanarak bir komut dosyası yazabilirsiniz.
Genel olarak bir sorunun farklı şekillerde çözülebileceği bakış açısına bağlı kalmaya çalıştık. Örneğin, biraz daha deneyimliyseniz veya kafanızın karışmasını istiyorsanız, sorunu daha hızlı çözebilirsiniz, ancak doğrudan çözmenin doğrudan bir yolu vardır - ancak aynı zamanda sorun üzerinde daha fazla zaman harcarsınız. Yani hemen hemen her görevin çeşitli çözümleri vardı ve ekiplerin hangi yolları seçeceği ilginçti. Yani doğrusal olmama tam olarak çözüm seçeneğinin seçiminde yatıyordu.
Bu arada, Linux sorununun en zor olduğu ortaya çıktı - yalnızca bir ekip bunu herhangi bir ipucu olmadan bağımsız olarak çözdü.
— İpuçları alabilir misin? Gerçek bir arayıştaki gibi mi?
— Evet, kabul etmek mümkündü, çünkü insanların farklı olduğunu ve biraz bilgi sahibi olmayanların aynı takıma girebileceğini anladık, bu yüzden geçişi geciktirmemek ve rekabetçi ilgiyi kaybetmemek için şuna karar verdik: ipuçları olurdu. Bunu yapmak için her takım organizatörlerden bir kişi tarafından gözlemlendi. Kimsenin hile yapmadığından emin olduk.
Yıldızlar hakkında
— Kazananlara ödül var mıydı?
— Evet, hem tüm katılımcılar hem de kazananlar için en hoş ödülleri vermeye çalıştık: Kazananlar, üzerinde Veeam logosu ve onaltılık kodla (siyah) şifrelenmiş bir ifade bulunan tasarım tişörtülerin sahibi oldu. Tüm katılımcılara Guy Fawkes maskesi ve logolu ve aynı kodlu markalı bir çanta verildi.
- Yani her şey gerçek bir arayış gibiydi!
"Evet, havalı, yetişkinlere yönelik bir şey yapmak istedik ve sanırım başardık."
- Bu doğru! Bu arayışa katılanların son tepkisi ne oldu? Hedefinize ulaştınız mı?
- Evet, sonradan birçok kişi geldi ve zayıf noktalarını açıkça gördüklerini ve geliştirmek istediklerini söyledi. Birisi belirli teknolojilerden korkmayı bıraktı - örneğin, bantlardan bloklar atmak ve orada bir şeyler kapmaya çalışmak... Birisi Linux'u iyileştirmesi gerektiğini fark etti vb. Oldukça geniş bir görev yelpazesi vermeye çalıştık, ancak tamamen önemsiz olanları değil.
Kazanan takım
“Kim isterse, başaracaktır!”
— Görevi hazırlayanların çok çaba harcaması gerekti mi?
- Aslında evet. Ama bu büyük olasılıkla bu tür arayışları, bu tür altyapıları hazırlama konusunda hiçbir tecrübemizin olmamasından kaynaklanıyordu. (Bunun bizim gerçek altyapımız olmadığına dair bir rezervasyon yapalım; yalnızca bazı oyun işlevlerini yerine getirmesi gerekiyordu.)
Bizim için çok ilginç bir deneyimdi. İlk başta şüpheciydim, çünkü fikir bana çok havalı geldi, uygulamanın çok zor olacağını düşündüm. Ama biz bunu yapmaya başladık, toprağı sürmeye başladık, her şey alev almaya başladı ve sonunda başardık. Hatta neredeyse hiç kaplama yoktu.
Toplamda 3 ay geçirdik. Çoğunlukla bir konsept belirledik ve neleri uygulayabileceğimizi tartıştık. Bu süreçte doğal olarak bazı şeyler değişti çünkü bir şeyi yapabilecek teknik yeteneğe sahip olmadığımızı anladık. Yol boyunca bir şeyi yeniden yapmak zorunda kaldık ama öyle ki tüm taslak, tarih ve mantık bozulmayacak. Sadece teknik görevlerin bir listesini vermeye değil, aynı zamanda tutarlı ve mantıklı olması için bunu hikayeye uydurmaya da çalıştık. Esas çalışma geçen ay, yani X gününden 3-4 hafta önce devam ediyordu.
— Peki asıl faaliyetinizin yanı sıra hazırlıklara da zaman ayırdınız mı?
— Bunu ana işimize paralel olarak yaptık, evet.
- Bunu tekrar yapman mı istendi?
- Evet, tekrarlamamız gereken birçok isteğimiz var.
- Peki sen?
- Yeni fikirlerimiz, yeni konseptlerimiz var, daha fazla insanı çekmek ve bunu zamana yaymak istiyoruz - hem seçim süreci hem de oyun sürecinin kendisi. Genel olarak "Ağustosböceği" projesinden ilham alıyoruz, Google'da aratabilirsiniz - bu çok harika bir BT konusu, dünyanın her yerinden insanlar orada birleşiyor, Reddit'te, forumlarda konu başlatıyorlar, kod çevirileri kullanıyorlar, bilmeceler çözüyorlar ve tüm bunlar.
— Fikir harikaydı, sadece fikre ve uygulamaya saygı gösterin çünkü gerçekten çok değerli. Bu ilhamınızı kaybetmemenizi ve tüm yeni projelerinizin de başarılı olmasını canı gönülden diliyorum. Teşekkür ederim!
— Evet, kesinlikle tekrar kullanmayacağınız bir görev örneğine bakabilir misiniz?
“Hiçbirini tekrar kullanmayacağımızdan şüpheleniyorum.” Bu nedenle size tüm arayışın ilerleyişini anlatabilirim.
Bonus parçaBaşlangıçta oyuncular sanal makinenin adına ve vCenter'ın kimlik bilgilerine sahiptir. Oturum açtıktan sonra bu makineyi görüyorlar ancak başlamıyor. Burada .vmx dosyasında bir sorun olduğunu tahmin etmeniz gerekiyor. İndirdikten sonra ikinci adım için gereken istemi görürler. Temel olarak Veeam Backup & Replication tarafından kullanılan veritabanının şifrelendiğini söylüyor.
İstemi kaldırdıktan, .vmx dosyasını geri indirdikten ve makineyi başarıyla açtıktan sonra, disklerden birinin aslında base64 şifreli bir veritabanı içerdiğini görürler. Buna göre görev, şifresini çözmek ve tamamen işlevsel bir Veeam sunucusu elde etmektir.
Tüm bunların gerçekleştiği sanal makine hakkında biraz. Hatırladığımız gibi olay örgüsüne göre arayışın ana karakteri oldukça karanlık bir kişi ve açıkça pek yasal olmayan bir şey yapıyor. Bu nedenle iş bilgisayarının Windows olmasına rağmen tamamen hacker benzeri bir görünüme sahip olması gerekiyordu ve bunu bizim oluşturmamız gerekiyordu. Yaptığımız ilk şey, büyük hack'ler, DDoS saldırıları ve benzerleri hakkında bilgiler gibi birçok destek eklemek oldu. Daha sonra tüm tipik yazılımları yüklediler ve her yere çeşitli dökümler, karma dosyalar vb. yerleştirdiler. Her şey filmlerdeki gibidir. Diğer şeylerin yanı sıra, kapalı kasa*** ve açık kasa*** adlı klasörler de vardı
Daha fazla ilerlemek için oyuncuların yedek dosyalardan ipuçlarını geri yüklemesi gerekir.
Burada, başlangıçta oyunculara oldukça fazla bilgi verildiğini ve görev sırasında yedeklerde veya makinelere dağılmış dosyalarda ipuçları bularak verilerin çoğunu (IP, oturum açma bilgileri ve şifreler gibi) aldıklarını söylemek gerekir. . Başlangıçta, yedekleme dosyaları Linux deposunda bulunur, ancak sunucudaki klasörün kendisi bayrakla bağlanır noexecdolayısıyla dosya kurtarmadan sorumlu aracı başlatılamıyor.
Depoyu düzelterek katılımcılar tüm içeriğe erişebilir ve sonunda herhangi bir bilgiyi geri yükleyebilir. Hangisi olduğunu anlamak için kalır. Bunu yapmak için, sadece bu makinede depolanan dosyaları incelemeleri, hangilerinin "bozuk" olduğunu ve tam olarak neyin geri yüklenmesi gerektiğini belirlemeleri gerekiyor.
Bu noktada senaryo genel BT bilgisinden Veeam'e özgü özelliklere doğru kayıyor.
Bu özel örnekte (dosya adını bildiğiniz ancak onu nerede arayacağınızı bilmediğiniz zaman), Enterprise Manager'daki arama işlevini vb. kullanmanız gerekir. Sonuç olarak, mantıksal zincirin tamamını geri yükledikten sonra oyuncular başka bir kullanıcı adı/şifre ve nmap çıktısına sahip olur. Bu onları Windows Core sunucusuna ve RDP aracılığıyla getirir (böylece hayat bal gibi görünmez).
Bu sunucunun ana özelliği: Basit bir komut dosyası ve çeşitli sözlüklerin yardımıyla kesinlikle anlamsız bir klasör ve dosya yapısı oluşturulmuştur. Ve giriş yaptığınızda, "Burada bir mantık bombası patladı, dolayısıyla daha sonraki adımlar için ipuçlarını bir araya getirmeniz gerekecek" gibi bir hoş geldiniz mesajı alıyorsunuz.
Aşağıdaki ipucu çok ciltli bir arşive (40-50 parça) bölündü ve bu klasörler arasında rastgele dağıtıldı. Bizim fikrimiz, oyuncuların iyi bilinen bir maske kullanarak çok ciltli bir arşiv oluşturmak ve gerekli verileri elde etmek için basit PowerShell komut dosyaları yazma yeteneklerini göstermeleri gerektiğiydi. (Fakat bu şakada olduğu gibi ortaya çıktı; bazı konuların fiziksel olarak alışılmadık derecede gelişmiş olduğu ortaya çıktı.)
Arşiv, benzer ada sahip bir kaset içeren bağlı bir bant kitaplığının kullanımına dair ipucu veren bir kasetin ("Son Akşam Yemeği - En İyi Anlar" yazılı) bir fotoğrafını içeriyordu. Tek bir sorun vardı; o kadar çalışamaz durumdaydı ki kataloglanmamıştı bile. Muhtemelen arayışın en zorlu kısmı burada başladı. Başlığı kasetten sildik, bu nedenle verileri kurtarmak için "ham" blokları boşaltmanız ve dosya başlangıç işaretlerini bulmak için bir onaltılık düzenleyicide bunlara bakmanız yeterlidir.
İşaretçiyi buluyoruz, ofsete bakıyoruz, bloğu boyutuyla çarpıyoruz, ofseti ekliyoruz ve dahili aracı kullanarak dosyayı belirli bir bloktan geri yüklemeye çalışıyoruz. Her şey doğru yapılırsa ve matematik uyuşursa oyuncuların elinde bir .wav dosyası olacaktır.
İçinde, bir ses üreteci kullanılarak, diğer şeylerin yanı sıra, başka bir IP'ye genişletilen bir ikili kod belirlenir.
Görünüşe göre bu, her şeyin Wireshark kullanma ihtiyacını ima ettiği yeni bir Windows sunucusu, ancak orada değil. Asıl püf noktası, bu makinede iki sistemin kurulu olmasıdır - yalnızca ikincideki diskin bağlantısı çevrimdışı cihaz yöneticisi aracılığıyla kesilir ve mantıksal zincir yeniden başlatma ihtiyacına yol açar. Daha sonra, Wireshark'ın kurulu olduğu tamamen farklı bir sistemin varsayılan olarak önyükleme yapması gerektiği ortaya çıktı. Ve tüm bu zaman boyunca ikincil işletim sistemindeydik.
Burada özel bir şey yapmanıza gerek yok, tek bir arayüzde yakalamayı etkinleştirmeniz yeterli. Dökümün nispeten yakından incelenmesi, yardımcı makineden düzenli aralıklarla gönderilen, oyuncuların belirli bir numarayı aramasının istendiği bir YouTube videosuna bağlantı içeren, açıkça solak bir paket ortaya çıkarıyor. İlk arayan ilk sırada tebrik duyacak, geri kalanlar İK'ya davet (şaka) alacak.
Bu arada kapımız açık teknik destek mühendisleri ve stajyerler için. Takıma hoşgeldin!
Kaynak: habr.com