Geekly articles weekly

Cyber-Quest vom technischen Support-Team von Veeam

In diesem Winter, oder besser gesagt an einem der Tage zwischen katholischem Weihnachten und Neujahr, waren die technischen Support-Ingenieure von Veeam mit ungewöhnlichen Aufgaben beschäftigt: Sie suchten nach einer Gruppe von Hackern namens Veeamonymous.



Cyril Stetsko , Eskalationsingenieur , sagte, wie die Jungs selbst auf die Idee gekommen sind und eine echte Arbeitssuche mit Aufgaben durchgeführt haben, die " kampfnah" sind.

"Warum machst du das?"

- Ähnlich wie die Leute sich Linux ausgedacht haben - nur zum Spaß, zu ihrem eigenen Vergnügen.

Wir wollten umziehen und gleichzeitig etwas Nützliches, Interessantes tun. Außerdem war es notwendig, den Ingenieuren eine emotionale Erleichterung von ihrer täglichen Arbeit zu geben.

"Wer hat das vorgeschlagen?" Wessen Idee war es?

- Die Idee war unsere Managerin Katya Egorova, und dann wurden das Konzept und alle weiteren Ideen zusammen geboren. Ursprünglich gedacht, um einen Hackathon zu machen. Während der Entwicklung des Konzepts wurde die Idee jedoch zu einer Aufgabe, schließlich ist ein technischer Supportingenieur eine andere Art von Aktivität als die Programmierung.

Also haben wir Freunde, Bekannte, Bekannte, verschiedene Personen angerufen, die uns bei dem Konzept geholfen haben - eine Person mit T2 (zweite Unterstützungslinie), eine Person mit T3, ein paar Personen aus dem SWAT-Team (schnelles Reaktionsteam für besonders dringende Fälle) - Ed. ). Sie alle kamen zusammen, setzten sich und versuchten, Aufgaben für unsere Suche zu finden.

- Es war sehr unerwartet, alles darüber herauszufinden, denn soweit ich weiß, arbeiten die Skriptmechaniker normalerweise die Questmechaniken aus, das heißt, Sie haben nicht nur eine so schwierige Sache gemacht, sondern auch in Bezug auf Ihre Arbeit, Ihr berufliches Tätigkeitsfeld.

- Ja, wir wollten nicht nur Unterhaltung, sondern auch die technischen Fähigkeiten der Ingenieure „aufpumpen“. Eine der Aufgaben in unserer Abteilung ist der Austausch von Wissen und Schulungen, aber eine solche Suche ist eine großartige Gelegenheit, um Menschen einige neue Live-Techniken „berühren“ zu lassen.

- Wie sind Sie auf Aufgaben gekommen?

- Machen Sie ein Brainstorming. Wir hatten das Verständnis, dass wir einige technische Tests durchführen sollten, so dass sie interessant waren und gleichzeitig neues Wissen mit sich brachten.
Wir waren beispielsweise der Meinung, dass die Benutzer die Möglichkeit erhalten sollten, den Datenverkehr zu überwachen, Hex-Editoren zu verwenden, etwas für Linux zu tun und einige etwas tiefere Dinge im Zusammenhang mit unseren Produkten (Veeam Backup & Replication und andere).

Ein wichtiger Teil war auch das Konzept. Wir haben uns entschlossen, auf dem Thema Hacker, anonymen Zugriff und einer Atmosphäre der Geheimhaltung aufzubauen. Guy Fawkes Maske wurde zum Symbol gemacht, und der Name kam von selbst - Veeamonymous.

"Am Anfang war das Wort"


Um das Interesse zu wecken, haben wir uns vor Beginn der Veranstaltung entschlossen, eine PR-Firma zum Thema der Quest zu organisieren: Sie hängten Plakate mit einer Ankündigung in unser Büro. Und ein paar Tage später, heimlich von allen, bemalten sie sie mit Sprühdosen und starteten eine „Ente“, sagen sie, einige Angreifer hätten die Plakate ruiniert und sogar ein Foto mit einem Beweis beigefügt ...

- Also hast du es selbst gemacht, also das Team der Organisatoren ?!

- Ja, am Freitag, um 9 Uhr, als alle schon gegangen waren, haben wir einen grünen "V" -Brief aus den Luftballons gezogen.) Viele Teilnehmer der Quest haben nicht erraten, wer es getan hat - Leute kamen auf uns zu und fragten, wer die Plakate ruiniert hat ? Jemand nahm dieses Problem sehr ernst und leitete eine vollständige Untersuchung zu diesem Thema ein.

Für die Suche haben wir Audiodateien geschrieben und Audiodateien „zerreißen“: Wenn sich beispielsweise ein Ingenieur in unser [Produktions-CRM] -System einloggt, gibt es einen Roboter-Anrufbeantworter, der alle Arten von Phrasen und Zahlen sagt ... Hier sind wir von den Wörtern, die er hat aufgenommene, mehr oder weniger aussagekräftige Phrasen, na ja, vielleicht ein paar Kurven - zum Beispiel haben wir in einer Audiodatei „Keine Freunde, die Ihnen helfen“.

Zum Beispiel haben wir die IP-Adresse im Binärcode dargestellt. Mit Hilfe dieser Zahlen [vom Roboter ausgesprochen] wurden alle möglichen erschreckenden Geräusche hinzugefügt. Sie haben das Video selbst gedreht: In dem Video haben wir einen Mann, der in einer schwarzen Kapuze sitzt und eine Guy Fawkes-Maske trägt, aber tatsächlich gibt es nicht eine Person, sondern drei, weil zwei hinter ihm stehen und den „Hintergrund“ von der Decke halten :).

- Um ehrlich zu sein, waren Sie verwirrt.

- Ja, wir haben Feuer gefangen. Im Allgemeinen haben wir zuerst unsere technischen Spezifikationen erstellt und dann eine literarische und spielerische Leinwand zum Thema des angeblich Geschehenen verfasst. Laut Drehbuch suchten die Teilnehmer nach einer Gruppe von Hackern namens „Veeamonymous“. Die Idee war auch, dass wir „die 4. Wand brechen“, das heißt, wir übertragen Ereignisse in die Realität - zum Beispiel haben wir aus einer Sprühdose gemalt.

Bei der literarischen Textverarbeitung wurde uns von einem der englischen Muttersprachler aus unserer Abteilung geholfen.

"Warten Sie, warum der Muttersprachler?" Du hast auch alles auf Englisch gemacht ?!

- Ja, wir haben es für die Büros in St. Petersburg und Bukarest gemacht, also war alles auf Englisch.

Beim ersten Experiment haben wir versucht, alles zum Laufen zu bringen, daher war das Skript linear und ziemlich einfach. Weitere Umgebung hinzugefügt: geheime Texte, Chiffren, Bilder.



Wir haben auch Memes verwendet: Es gab viele Bilder zu den Themen Ermittlungen, UFOs, einige beliebte Horrorgeschichten - einige Teams waren davon abgelenkt, versuchten, versteckte Botschaften zu finden, ihr Wissen über Steganographie und andere Dinge anzuwenden ... aber natürlich gibt es nichts Vergleichbares war.

Über Dornen


Während der Vorbereitung standen wir jedoch vor unerwarteten Aufgaben für uns.

Sie stritten sich viel um sie und lösten alle möglichen plötzlich auftretenden Fragen, aber ungefähr eine Woche vor der Suche dachten sie im Allgemeinen, dass alles weg war.

Wahrscheinlich ein kleines Gespräch über die technischen Grundlagen der Suche wert.

Alles wurde in unserem internen ESXi-Labor durchgeführt. Wir hatten 6 Teams, was bedeutet, dass wir 6 Ressourcenpools zuweisen mussten. Daher haben wir für jedes Team einen separaten Pool mit den erforderlichen virtuellen Maschinen (dieselbe IP) bereitgestellt. Da dies alles auf Servern im selben Netzwerk war, erlaubte die aktuelle Konfiguration unserer VLANs nicht, Maschinen in verschiedenen Pools zu isolieren. Während eines Testlaufs haben wir beispielsweise Situationen erhalten, in denen eine Maschine aus einem Pool mit einer Maschine aus einem anderen verbunden war.

- Wie können Sie die Situation beheben?

- Zuerst haben wir lange nachgedacht, alle möglichen Optionen mit Berechtigungen getestet, separate vLANs für Maschinen. Infolgedessen haben wir dies getan - jedes Team sieht nur den Veeam Backup-Server, über den alle weiteren Arbeiten ausgeführt werden, nicht jedoch den versteckten Unterpool, in dem sich Folgendes befindet:

  • mehrere Windows-Maschinen
  • Windows Core Server
  • Linux-Maschine
  • VTL-Paar (Virtual Tape Library)

Allen Pools wird eine separate Gruppe von Ports auf dem vDS-Switch und ihrem privaten VLAN zugewiesen. Eine solche doppelte Isolation ist nur erforderlich, um die Möglichkeit einer Netzwerkinteraktion vollständig auszuschließen.

Über die Mutigen


- Könnte jemand an der Quest teilnehmen? Wie wurden Teams gebildet?

- Dies war unsere erste Erfahrung mit der Durchführung einer solchen Veranstaltung, und die Fähigkeiten unseres Labors waren auf 6 Teams beschränkt.

Zunächst hatten wir, wie gesagt, eine PR-Firma: Mithilfe von Postern und Newslettern teilten wir mit, dass die Suche durchgeführt werden würde. Wir hatten sogar einige Hinweise - Sätze im Binärcode wurden auf den Postern selbst verschlüsselt. So haben wir Menschen interessiert, und Menschen haben sich bereits mit Freunden, mit Freunden geeinigt und zusammengearbeitet. Infolgedessen antworteten mehr Freiwillige als wir Pools hatten, daher mussten wir eine Auswahl treffen: Wir hatten eine einfache Testaufgabe und schickten sie an alle, die geantwortet hatten. Es war eine logische Aufgabe, sie musste aus Gründen der Geschwindigkeit gelöst werden.

Das Team erlaubte bis zu 5 Personen. Der Kapitän wurde dort nicht gebraucht, die Idee war in Zusammenarbeit, in Kommunikation miteinander. Jemand ist stark, zum Beispiel unter Linux, jemand ist stark in Teips (Backups auf Bändern), und jeder, der die Aufgabe sieht, könnte seine Bemühungen in die allgemeine Lösung stecken. Alle sprachen miteinander, fanden eine Lösung.



- Und zu welchem ​​Zeitpunkt begann diese Veranstaltung? Hattest du eine Art "Stunde X"?

- Ja, wir hatten einen streng geplanten Tag, wir haben ihn so gewählt, dass die Abteilung weniger belastet ist. Natürlich wurden die Teamleiter im Voraus darüber informiert, dass solche und solche Teams zur Teilnahme an der Quest eingeladen wurden, und sie mussten an diesem Tag eine gewisse Erleichterung [in Bezug auf die Belastung] erhalten. Es schien, dass es das Ende des Jahres sein sollte, der 28. Dezember, Freitag. Voraussichtlich ungefähr 5 Stunden, aber alle Teams kamen schneller zurecht.

- Alle waren gleichberechtigt, hatten alle die gleichen Aufgaben, basierend auf realen Fällen?

- Nun ja, jeder der Compiler hat einige persönliche Geschichten aus persönlicher Erfahrung genommen. Wir wussten von etwas, das dies in der Realität sein könnte, und es wäre interessant für eine Person, es zu „fühlen“, zu schauen, es herauszufinden. Sie nahmen einige spezifischere Dinge, zum Beispiel die Datenwiederherstellung von beschädigten Bändern. Jemand mit Tipps, aber die meisten Teams kamen alleine zurecht.

Oder es war notwendig, die Magie schneller Skripte anzuwenden - zum Beispiel hatten wir die Geschichte, dass eine bestimmte „logische Bombe“ ein mehrbändiges Archiv in zufällige Ordner auf einem Baum „zerrissen“ hat und es notwendig war, Daten zu sammeln. Sie können dies manuell tun - suchen und kopieren Sie [Dateien] nacheinander, oder Sie können ein Skript per Maske schreiben.

Im Allgemeinen haben wir versucht, an dem Standpunkt festzuhalten, dass ein Problem auf unterschiedliche Weise gelöst werden kann. Wenn Sie zum Beispiel etwas erfahrener sind oder „verwirrt“ werden möchten, können Sie es schneller lösen, aber es gibt einen direkten Weg, es „Stirn“ zu lösen - aber gleichzeitig verbringen Sie mehr Zeit mit der Aufgabe. Das heißt, fast jede Aufgabe hatte mehrere Lösungen, und es war interessant, welche Wege die Teams wählen würden. Die Nichtlinearität lag also genau in der Wahl der Lösungsoption.

Das Linux-Problem stellte sich übrigens als das schwierigste heraus - nur ein Team löste es unabhängig und ohne Aufforderung.

"Könnten Sie die Hinweise nehmen?" Wie ist diese Quest?

- Ja, es war möglich zu nehmen, weil wir verstanden haben, dass Menschen unterschiedlich sind und diejenigen, denen etwas Wissen fehlte, in dasselbe Team fallen könnten, damit wir nicht die Passage und das Wettbewerbsinteresse verlieren. Wir haben uns dazu entschlossen Hinweise. Zu diesem Zweck wurde jedes Team von einer Person der Organisatoren beobachtet. Nun, wir haben dafür gesorgt, dass niemand betrogen hat.



Über die Sterne


- Und es gab Preise für die Gewinner?

- Ja, wir haben versucht, die angenehmsten Preise sowohl für alle Teilnehmer als auch für die Gewinner zu erzielen: Die Gewinner erhielten Designer-Sweatshirts mit dem Veeam-Logo und einer in einem Hexadezimalcode verschlüsselten Phrase (schwarz). Alle Teilnehmer erhielten eine Guy Fawkes-Maske und eine Firmentasche mit Logo und gleichem Code.

- Das heißt, du hattest alles wie bei einer echten Suche!

- Nun, wir wollten eine coole, erwachsene Sache machen, und es scheint mir, dass wir es getan haben.

- So ist es! Und wie haben diejenigen reagiert, die an dieser Suche teilgenommen haben? Hast du die Ziele erreicht?

- Ja, viele kamen später, sagten, dass sie ihre Schwächen deutlich sahen und sie hochziehen wollten. Jemand hat aufgehört, Angst vor bestimmten Technologien zu haben - zum Beispiel Blöcke von Teips zu werfen und zu versuchen, etwas herauszubekommen ... Jemand erkannte, dass er Linux straffen musste und so weiter. Wir haben versucht, ein ziemlich breites Spektrum an Aufgaben zu erledigen, aber nicht ganz trivial.


Gewinnerteam

"Wer will, wird Erfolg haben!"


- Haben sich diejenigen, die die Quest vorbereitet haben, viel Mühe gegeben?

- Im Allgemeinen ja. Dies war jedoch höchstwahrscheinlich darauf zurückzuführen, dass wir keine Erfahrung mit der Vorbereitung solcher Aufgaben, solcher Infrastrukturen hatten. (Wir werden reservieren, dass dies nicht unsere eigentliche Infrastruktur ist - es mussten nur einige Spielfunktionen ausgeführt werden.)

Es war eine sehr interessante Erfahrung für uns. Anfangs war ich skeptisch, weil mir die Idee sogar zu cool erschien. Ich fand es sehr schwierig, sie umzusetzen. Aber sie fingen an zu tun, sie begannen zu pflügen, sie fingen alle an Feuer zu fangen und am Ende haben wir es getan. Und es gab sogar fast keine Überlagerungen.

Im Allgemeinen haben wir 3 Monate verbracht. Zum größten Teil haben wir ein Konzept entwickelt und besprochen, was wir implementieren können. Dabei hat sich natürlich etwas geändert, weil wir verstanden haben, dass wir aus irgendeinem Grund nicht die technische Fähigkeit hatten, dies zu tun. Unterwegs musste ich etwas wiederholen, aber damit die gesamte Leinwand, Geschichte und Logik nicht kaputt ging. Wir haben versucht, nicht nur eine Liste technischer Aufgaben zu erstellen, sondern sie in die Geschichte einzufügen, kohärent und logisch zu sein. Der größte Teil der Arbeit im letzten Monat, dh 3-4 Wochen vor Tag X.

- Haben Sie sich also zusätzlich zu Ihrer Haupttätigkeit die Zeit genommen, sich vorzubereiten?

- Das haben wir parallel zur Hauptarbeit gemacht, ja.

"Werden Sie gebeten, dies noch einmal zu tun?"

- Ja, wir haben viele Anfragen zu wiederholen.

- Was bist du?

- Wir haben neue Ideen, neue Konzepte, wir wollen mehr Menschen anziehen und sie rechtzeitig verlängern - sowohl den Auswahlprozess als auch den Spielprozess selbst. Im Allgemeinen sind wir vom Cicada-Projekt inspiriert, es kann Google sein - dies ist ein sehr cooles IT-Thema, dort kommen Leute aus der ganzen Welt zusammen, gründen Zweige in reddit-Foren, sie verwenden Chiffrierübersetzungen und lösen Rätsel und all das.

- Die Idee war großartig, nur Respekt für die Idee und Umsetzung, weil es wirklich viel wert ist. Ich wünsche Ihnen von Herzen, dass Sie diese Inspiration nicht verlieren, damit auch alle Ihre neuen Projekte erfolgreich sind. Vielen Dank!



- Ja, aber können Sie sich ein Beispiel für eine Aufgabe ansehen, die Sie definitiv nicht wiederverwenden werden?

- Ich vermute, dass wir keinen wiederverwenden werden. Daher kann ich Ihnen über den Verlauf der gesamten Suche erzählen.

Bonustrack
Zu Beginn haben die Spieler den Namen der virtuellen Maschine und die Anmeldeinformationen von vCenter. Eingeloggt sehen sie dieses Auto, aber es startet nicht. Hier muss man raten, dass etwas mit der .vmx-Datei nicht stimmt. Nach dem Herunterladen wird die für den zweiten Schritt erforderliche Eingabeaufforderung angezeigt. Tatsächlich heißt es, dass die von Veeam Backup & Replication verwendete Datenbank verschlüsselt ist.
Nachdem sie den Hinweis entfernt, die .vmx-Datei wieder heruntergeladen und den Computer erfolgreich eingeschaltet haben, sehen sie, dass sich auf einer der Festplatten tatsächlich eine base64-verschlüsselte base64 befindet. Dementsprechend besteht die Aufgabe darin, es zu entschlüsseln und einen voll funktionsfähigen Veeam-Server zu erhalten.

Ein bisschen über die virtuelle Maschine, auf der dies alles passiert. Wie wir uns erinnern, ist die Hauptfigur der Suche in der Geschichte eine eher dunkle Person und beschäftigt sich mit etwas, das eindeutig nicht zu legal ist. Daher sollte sein funktionierender Computer ein ziemliches Hacker-Erscheinungsbild haben, das wir erstellen mussten, obwohl es sich um Windows handelt. Als erstes wurden viele Requisiten wie Informationen zu wichtigen Hacks, DDoS-Angriffen und dergleichen hinzugefügt. Dann installierten sie die typische Software und legten überall verschiedene Dumps, Dateien mit Hashes usw. an. Alles ist wie in einem Film. Unter anderem gab es Ordner, die nach dem Prinzip des geschlossenen und des offenen Falles benannt wurden
Um weiter zu gehen, müssen Spieler Tooltips aus Dateien in Backups wiederherstellen.

Hier muss gesagt werden, dass die Spieler am Anfang ziemlich viele Informationen erhalten haben und die meisten Daten (wie IP, Logins und Passwörter) während der Quest erhalten, um Hinweise in Backups oder Dateien zu finden, die auf den Maschinen verstreut sind. Anfänglich befinden sich Sicherungsdateien im Linux-Repository, aber der Ordner auf dem Server selbst wird mit dem Flag noexec bereitgestellt , sodass der für die Wiederherstellung von Dateien verantwortliche Agent nicht starten kann.

Nach der Reparatur des Repositorys erhalten die Teilnehmer Zugriff auf alle Inhalte und können schließlich alle Informationen wiederherstellen. Es bleibt zu verstehen, welche. Dazu müssen sie nur die auf diesem Computer gespeicherten Dateien untersuchen, feststellen, welche von ihnen „defekt“ sind und was genau wiederhergestellt werden muss.

Zu diesem Zeitpunkt wechselt das Skript vom allgemeinen IT-Wissen zu bestimmten Veeam-Funktionen.

In diesem Beispiel (wenn Sie den Dateinamen kennen, aber nicht wissen, wo Sie danach suchen sollen) müssen Sie die Suchfunktion in Enterprise Manager usw. verwenden. Infolgedessen haben die Spieler nach dem Wiederherstellen der gesamten logischen Kette einen weiteren Login / Passwort- und nmap-Ausgang. Dies führt sie zum Windows Core-Server und per RDP (damit das Leben nicht süß zu sein scheint).

Das Hauptmerkmal dieses Servers: Mit Hilfe eines einfachen Skripts und mehrerer Wörterbücher wurde dort eine absolut bedeutungslose Struktur von Ordnern und Dateien gebildet. Und wenn Sie sich anmelden, erhalten Sie eine Begrüßungsnachricht mit dem Formular "Eine logische Bombe ist hier explodiert, sodass Sie die Tipps für die nächsten Schritte in Teilen sammeln müssen."

Der folgende Hinweis wurde in ein mehrbändiges Archiv (Teile 40-50) unterteilt und zufällig in diesen Ordnern angeordnet. Unsere Idee war, dass Spieler ihre Talente beim Schreiben einfacher PowerShell-Skripte unter Beweis stellen sollten, um ein mehrbändiges Archiv zu sammeln und die erforderlichen Daten mithilfe einer bekannten Maske abzurufen. (Aber es stellte sich heraus wie in diesem Witz - einige der Themen waren ungewöhnlich körperlich entwickelt.)

Das Archiv enthielt ein Foto der Kassette (mit der Aufschrift „Last Supper - Best Moments“), das auf die Verwendung der angeschlossenen Bandbibliothek hinwies, in der sich eine Kassette mit einem ähnlichen Namen befand. Hier ist nur ein Problem: Es stellte sich heraus, dass es so wenig funktionsfähig war, dass es nicht einmal katalogisiert wurde. Hier begann der wahrscheinlich härteste Teil der Suche. Wir haben den Titel der Kassette gelöscht. Um Daten daraus wiederherzustellen, müssen Sie nur die „rohen“ Blöcke sichern und im Hex-Editor anzeigen, um die Markierungen am Anfang der Dateien zu finden.
Wir finden die Markierung, sehen uns den Versatz an, multiplizieren den Block mit seiner Größe, addieren den Versatz und versuchen mit dem internen Tool, die Datei aus einem bestimmten Block wiederherzustellen. Wenn alles richtig gemacht ist und die Mathematik zusammengekommen ist, haben die Spieler eine WAV-Datei in der Hand.

Darin wird unter anderem mit einem Sprachgenerator ein Binärcode diktiert, der in einer anderen IP offenbart wird.

Es stellt sich heraus, dass dies ein neuer Windows-Server ist, auf dem alles auf die Notwendigkeit hinweist, Wireshark zu verwenden, der jedoch nicht vorhanden ist. Das Hauptaugenmerk liegt darauf, dass auf diesem Computer zwei Systeme installiert sind - nur die Festplatte der zweiten wird offline über den Geräte-Manager getrennt, und die logische Kette führt zu einem Neustart. Danach stellt sich heraus, dass standardmäßig ein völlig anderes System geladen werden sollte, auf dem Wireshark installiert ist. Und die ganze Zeit waren wir auf dem sekundären Betriebssystem.

Hier gibt es nichts Besonderes zu tun. Aktivieren Sie einfach die Erfassung auf einer einzigen Schnittstelle. Bei relativ sorgfältiger Betrachtung des Speicherauszugs wird in regelmäßigen Abständen ein deutlich linkes Paket von der Hilfsmaschine gesendet, in dem ein Link zum Youtube-Video vorhanden ist, in dem die Spieler aufgefordert werden, eine bestimmte Nummer anzurufen. Der erste Anrufer hört sich die Glückwünsche zum ersten Platz an, der Rest - eine Einladung an die Personalabteilung (Witz).

Übrigens haben wir offene Stellen für Ingenieure des technischen Supports und für Praktikanten. Willkommen im Team!

Source: https://habr.com/ru/post/de445548/

More articles:


All Articles