在这个冬天,或者更确切地说,是天主教圣诞节和新年之间的日子,Veeam技术支持工程师忙于完成不寻常的任务:他们搜寻了一群名为Veeamonymous的黑客。
升级工程师 Cyril Stetsko说,关于这些家伙自己是如何提出来的,并在工作中进行真正的任务,实际上是“接近战斗”的任务。
“你为什么要这样做?”-人们想出Linux的方式几乎与Linux一样-只是为了娱乐,为了他们自己的乐趣。
我们想要移动,同时我们想做一些有用的事情,一些有趣的事情。 另外,有必要使工程师从日常工作中获得一些情感上的缓解。
“谁建议的?” 那是谁的主意?-这个想法是我们的经理Katya Egorova,然后这个想法和所有其他想法一起诞生了。 最初被认为是举办黑客马拉松。 但是在概念的发展过程中,这个想法变成了一个探索,毕竟,技术支持工程师的活动与编程不同。
因此,我们打电话给朋友,熟人,熟人,不同的人帮助我们实现了这一概念-一个T2人(第二个支持
热线-ed。 ),一个T3人,SWAT团队中的几个人(对于紧急情况特别迅速的团队)
-Ed。 )。 他们都聚在一起,坐下来尝试为我们的任务提出任务。
-找出有关它的一切是非常出乎意料的,因为据我所知,通常脚本机制会制定出查询机制,也就是说,您不仅做了如此困难的事情,而且还涉及到您的工作以及您的专业活动领域。-是的,我们不仅要娱乐,而且要“提高”工程师的技术水平。 我们部门的任务之一是交流知识和培训,但是这样的追求是让人们“接触”一些新的现场技术的绝好机会。
-您是如何提出任务的?-进行头脑风暴会议。 我们了解到,我们应该进行一些技术测试,以使它们有趣并且同时具有新知识。
例如,我们认为应该给人们机会去嗅探流量,使用十六进制编辑器,为Linux做一些事情以及一些与我们产品相关的更深层次的事情(Veeam Backup&Replication等)。
这个概念也很重要。 我们决定以黑客,匿名访问和保密气氛为主题。 盖伊·福克斯(Guy Fawkes)的面具被做了一个象征,这个名字本身就来了-Veeamonymous。
“一开始就是这个词”
为了引起人们的兴趣,我们决定在活动开始之前安排一个以追求为主题的公关公司:他们在我们的办公室挂着海报并发布了公告。 几天后,他们秘密地从所有人那里用喷壶涂了油漆,并发射了一只“鸭子”,他们说,一些攻击者破坏了海报,甚至还附有带有证明的照片……
-因此,您是自己组织的,即组织者团队?!-是的,星期五,晚上9点,当所有人都已经离开时,我们去了,从气球上画了绿色的“ V”字母。)许多参与者不知道是谁做的-人们来到我们身边,问谁毁了海报? 有人非常认真地对待这个问题,并就此问题展开了整个调查。
对于此任务,我们编写了音频文件,并发出“撕扯”的声音:例如,当工程师登录到我们的[生产CRM]系统时,有一台机器人答录机会说出各种短语,数字……这就是他说的那些话。记录下来,或多或少地包含有意义的短语,也许还有一些曲线-例如,我们在音频文件中得到“没有朋友可以帮助您”。
例如,我们用二进制代码表示IP地址,同样,在这些数字(由机器人发音)的帮助下,添加了各种令人恐惧的声音。 他们自己拍摄了视频:在视频中,我们有一个男人坐在黑头上,戴着盖伊·福克斯的面具,但实际上不是一个人,而是三个人,因为两个人站在他身后,拿着毯子的“背景” :)。
-老实说,您很困惑。-是的,我们着火了。 总的来说,我们首先提出了技术规范,然后就所谓发生的事情撰写了文学和游戏画布。 根据脚本,参与者搜寻了一组名为“ Veamonymous”的黑客。 当时的想法还在于,我们正在“打破第四壁”,也就是说,我们正在将事件转移到现实中,例如,我们是用喷壶绘画的。
通过文学文本处理,我们部门的一位英语为母语的人为我们提供了帮助。
“等等,为什么要讲母语?” 您还用英语做了一切吗?-是的,我们是在圣彼得堡和布加勒斯特办事处这样做的,所以所有内容都是英文的。
对于第一个实验,我们试图使所有东西都正常工作,因此脚本是线性的并且相当简单。 添加了更多环境:秘密文本,密码,图片。
我们还使用了模因:关于调查,不明飞行物,一些受欢迎的恐怖故事的图片很多-一些团队被它分散了注意力,试图在那儿找到一些隐藏的信息,运用他们的隐写术知识和其他东西……但是,当然没有那样的东西了是。
关于荆棘
但是,在准备过程中,我们自己面临着意想不到的任务。
他们为他们奋斗了很多,解决了各种突然出现的问题,但是在寻求任务之前大约一周的时间里,他们通常认为一切都消失了。
大概值得探讨一下该任务的技术基础。
一切都在我们内部的ESXi实验室中完成。 我们有6个团队,这意味着我们必须分配6个资源池。 因此,对于每个团队,我们都部署了带有必要虚拟机(相同IP)的单独池。 但是由于所有这些都位于同一网络上的服务器上,因此我们当前VLAN的配置不允许隔离不同池中的计算机。 并且,例如,在测试运行期间,我们收到了一个池中的计算机连接到另一个池中的计算机的情况。
-您如何解决这种情况?-最初,我们考虑了很长时间,测试了各种具有权限的选项,以及用于计算机的单独vLAN。 结果,我们做到了–每个团队仅看到通过其进行所有进一步工作的Veeam Backup服务器,但是没有看到隐藏的子池,其中包含:
- 几台Windows机器
- Windows核心服务器
- Linux机器
- VTL对(虚拟磁带库)
在vDS交换机及其专用VLAN上,为所有池分配了单独的端口组。 仅需要这种双重隔离来完全消除网络交互的可能性。
关于勇者
-任何人都可以参加任务吗? 团队是如何组成的?-这是我们举办此类活动的第一次经验,而我们实验室的能力仅限于6个团队。
首先,正如我所说,我们开设了一家公关公司:我们通过张贴海报和新闻通讯告知我们将进行调查。 我们甚至有一些提示-二进制代码的短语在海报本身上已加密。 因此,我们对人们很感兴趣,人们之间已经与朋友达成共识,也与朋友达成了合作。 结果,更多的志愿者比我们拥有的池多了,因此我们必须进行选择:我们提出了一个简单的测试任务,并将其发送给所有响应的人。 这是一个逻辑任务,必须为速度而解决。
该团队最多可容纳5人。 在那里不需要机长,想法是合作,彼此沟通。 例如,在Linux中,某人很强壮,在teip(磁带备份)方面某人也很强大,每个看到此任务的人都可以将其精力投入通用解决方案中。 大家互相交谈,找到了解决方案。
-这个活动什么时候开始的? 您是否有某种“小时X”?-是的,我们有一个严格计划的工作日,我们选择了这一天,以减少部门的工作量。 自然,事先会通知团队负责人,此类团队已被邀请参加任务,并且当天需要减轻他们的负担。 看来应该在今年12月28日星期五结束。 预计需要大约5个小时,但所有团队的应对速度都更快。
-每个人都处于平等地位,根据实际案例,每个人都有相同的任务吗?-是的,每个编译器都从个人经验中提取了一些个人故事。 我们知道这可能是现实的事情,对于一个人来说,“感觉”它,看一下,弄清楚它会很有趣。 他们采取了一些更具体的措施,例如,从损坏的磁带中恢复数据。 有技巧的人,但是大多数团队都自己应对。
还是有必要运用快速脚本的魔力-例如,我们有一个故事,说某个“逻辑炸弹”将多卷档案“撕毁”到树上的随机文件夹中,并且有必要收集数据。 您可以手动执行此操作-逐一查找和复制[文件],也可以按掩码编写脚本。
总的来说,我们试图坚持这样的观点:一个问题可以用不同的方式解决。 例如,如果您更有经验或想“困惑”,则可以更快地解决它,但是有一种直接解决“前额”的方法-但同时您将花更多的时间在任务上。 就是说,几乎每个任务都有几种解决方案,而有趣的是团队会选择哪种方式。 因此,非线性恰好在解决方案选项的选择中。
顺便说一下,Linux问题原来是最困难的-只有一个团队独立地解决它,没有提示。
“你能接受提示吗?” 这个任务怎么样?-是的,这是有可能的,因为我们了解人与人不同,而那些缺乏知识的人可以加入同一支团队,这样我们就不会失去传球和竞争兴趣,因此我们决定提示。 为此,组织者请来了每个团队。 好吧,我们确保没有人被骗。
关于星星
-优胜者有奖品吗?-是的,我们试图为所有参与者和获奖者提供最愉快的奖品:获奖者收到了带有Veeam徽标和以十六进制代码加密的短语(黑色)的运动衫。 所有参与者都收到了盖伊·福克斯(Guy Fawkes)面具和一个带有徽标和相同代码的公司包。
-也就是说,您拥有了真正的任务!-恩,我们想做一件很酷的成人事,在我看来,我们做到了。
-是的! 那些参加此任务的人的反应是什么? 您达成目标了吗?-是的,许多人后来都说,他们清楚地看到了自己的弱点,并希望将其拉起。 某人不再害怕某些技术,例如,从teips中丢弃块并试图从中获得一些东西……某人意识到他需要收紧Linux,等等。 我们尝试提供相当广泛的任务,但并非完全无关紧要。
优胜队伍“想要的人会成功!”
-准备任务的人是否付出了很多努力?-一般。 但这很可能是由于我们没有准备此类任务,此类基础设施的经验。 (我们将保留这不是我们真正的基础结构,它只需要执行某种游戏功能即可。)
对我们来说,这是一次非常有趣的经历。 一开始我对此表示怀疑,因为这个想法对我来说似乎太酷了,我认为这很难实施。 但是他们开始这样做,开始耕作,都开始着火,最后我们做到了。 而且几乎没有覆盖。
一般来说,我们花了3个月的时间。 在大多数情况下,我们提出了一个概念,讨论了可以实现的目标。 当然,在此过程中发生了一些变化,因为我们了解由于某种原因,我们没有做到这一点的技术能力。 在旅途中,我不得不重做一些事情,但要确保整个画布,历史和逻辑不会中断。 我们不仅试图列出技术任务,而且要使其与历史保持一致,连贯和合乎逻辑。 上个月的大部分工作是在X天之前的3-4周。
-因此,除了您的主要活动之外,您是否还花时间进行准备?-是的,我们与主要工作同时进行。
“您是否被要求再次这样做?”-是的,我们有很多要求重复。
-你呢?-我们有新的想法,新的概念,我们希望吸引更多的人并及时进行选择-包括选择过程和游戏过程本身。 总的来说,我们受到Cicada项目的启发,它可能是谷歌-这是一个非常酷的IT主题,来自世界各地的人们聚集在一起,在reddit论坛上开设分支机构,在那使用密码翻译,解决谜语等等。
-这个主意很棒,只要尊重这个主意和实施,因为它确实很有价值。 我衷心希望您不要失去这个灵感,以便您所有的新项目也能成功。 谢谢你
-是的,但是有可能看一个您肯定不会重复使用的任务的例子吗?-我怀疑我们不会重复使用一个。 因此,我可以告诉您整个任务的过程。
奖金轨道从一开始,播放器就具有虚拟机的名称和来自vCenter的凭据。 登录后,他们看到了这辆车,但没有启动。 在这里,您必须猜测.vmx文件有问题。 下载后,他们会看到第二步所需的提示。 实际上,它表示Veeam Backup&Replication使用的数据库是加密的。
在删除了提示,下载了.vmx文件并成功打开计算机后,他们发现在其中一个磁盘上确实存在一个base64加密的base64。 因此,任务是解密它并获得功能齐全的Veeam服务器。
有关虚拟机的所有信息。 我们记得,在故事中,任务的主要人物是一个非常黑暗的人,从事的事情显然不太合法。 因此,尽管它是Windows,但他的工作计算机应该具有相当黑客的外观,我们必须创建该外观。 首先,添加了许多道具,例如有关主要黑客,DDoS攻击等的信息。 然后,他们安装了所有典型的软件,并在各处布置了不同的转储,带有哈希的文件等。 一切都像一部电影。 除其他事项外,还有一些文件夹以闭写***和开写***的原理命名
为了更进一步,玩家需要从备份文件中恢复工具提示。
在这里我必须说,一开始给玩家提供了很多信息,他们在任务过程中收到了大部分数据(例如IP,登录名和密码),从而找到了备份的线索或分散在计算机上的文件。 最初,备份文件位于Linux系统信息库中,但是服务器本身的文件夹已使用noexec标志挂载,因此负责还原文件的代理无法启动。
修复存储库后,参与者可以访问所有内容,并且最终可以恢复任何信息。 有待了解哪个。 为此,他们只需要研究存储在此计算机上的文件,确定其中哪些文件已“损坏”,以及究竟需要恢复哪些文件。
此时,脚本将从一般的IT知识转移到特定的Veeam功能。
在这个特定的示例中(当您知道文件名但不知道在哪里查找时),您需要使用企业管理器中的搜索功能,依此类推。 结果,在恢复了整个逻辑链之后,播放器又有了一个登录名/密码和nmap输出。 这将它们引导到Windows Core服务器,并通过RDP引导(这样,生活似乎就不再那么美好了)。
该服务器的主要功能:在一个简单的脚本和几个字典的帮助下,在那里形成了一个绝对没有意义的文件夹和文件结构。 并且,当您登录时,您会收到以下形式的欢迎消息:“逻辑炸弹在这里爆炸了,因此您将必须收集后续步骤的提示。”
以下线索被分为多卷档案(40-50件),并随机排列在这些文件夹中。 我们的想法是,玩家应该在编写简单的PowerShell脚本时表现出才能,以收集多卷存档并使用众所周知的掩码获得所需数据。 (但事实证明那是在开玩笑-有些受试者身体异常发育。)
档案中包含一张盒式磁带的照片(标有“ Last Supper-Best Moments”),暗示了所使用的磁带库的使用,那里有一个类似名称的盒式磁带。 这只是一个麻烦-事实证明,它是如此无法操作,以至于甚至没有被分类。 这可能是任务中最核心的部分开始了。 我们删除了卡带的标题,因此为了从卡带中恢复数据,您只需要转储“原始”块,然后在十六进制编辑器中浏览它们,以查找文件开头的标记。
我们找到标记,查看偏移量,将块乘以其大小,添加偏移量,然后使用内部工具尝试从特定块恢复文件。 如果所有步骤都正确完成并且数学运算正确,则播放器中将拥有一个.wav文件。
其中,使用语音生成器规定了二进制代码,该代码在另一个IP中显示。
事实证明,这是一台新的Windows服务器,其中所有内容都暗示需要使用Wireshark,但事实并非如此。 主要焦点是这台计算机上安装了两个系统-仅第二个磁盘通过设备管理器脱机断开连接,并且逻辑链导致需要重新引导。 之后,事实证明,默认情况下,应在安装Wireshark的地方加载完全不同的系统。 一直以来,我们都在辅助操作系统上。
此处没有什么特别的事情,只需在单个界面上打开捕获即可。 在对转储进行相对仔细的考虑后,会定期从辅助计算机发送一个明显剩余的数据包,其中有一个指向youtube视频的链接,要求播放器呼叫特定号码。 第一个呼叫者首先聆听祝贺,其余的则是HR邀请(笑话)。
顺便说一下,我们有技术支持工程师和实习生的
空缺职位 。 欢迎加入团队!