Вход на сайт

Просмотр новости

Найдите то, что Вас интересует

Red Stable. Строим систему управления распределенной атакующей инфраструктурой

Дата публикации: 02-07-2026 13:30:12

Для подписчиковМы собрали систему, которая превращает набор одноплатников и микроконтроллеров в атакующую инфраструктуру: устройства сами подключаются к VPN, сами появляются в мониторинге, а образ с 40+ редтимерскими инструментами генерируется в несколько кликов. Сегодня покажем общую архитектуру и внутренности этой системы.

Основное содержимое страницы с новостью.

Мы соб­рали сис­тему, которая прев­раща­ет набор одноплат­ников и мик­рокон­трол­леров в ата­кующую инфраструк­туру: устрой­ства сами под­клю­чают­ся к VPN, сами появ­ляют­ся в монито­рин­ге, а образ с 40+ ред­тимер­ски­ми инс­тру­мен­тами генери­рует­ся в нес­коль­ко кли­ков. Сегод­ня покажем общую архи­тек­туру и внут­реннос­ти этой сис­темы.

Пред­ставь типич­ную под­готов­ку к ред­тимин­гу. В арсе­нале — нес­коль­ко Raspberry Pi для раз­ных локаций, кей­лог­геры, BadUSB, сниф­феры и дру­гие устрой­ства. Каж­дое тре­бует нас­трой­ки: про­шить, под­клю­чить к VPN, про­верить связь, уста­новить инс­тру­мен­ты. А потом — сле­дить за всем этим набором во вре­мя опе­рации, собирать дан­ные, реаги­ровать на проб­лемы.

Ког­да количес­тво устрой­ств перева­лива­ет за десяток, воз­ника­ет новая проб­лема — управле­ние. Не управле­ние целью ата­ки, а управле­ние собс­твен­ной инфраструк­турой. И эта проб­лема рас­тет с каж­дым новым девай­сом в арсе­нале.

На выходе мы хотели получить сис­тему, которая бы поз­волила:

  • видеть ста­тус всех устрой­ств в одном мес­те и в одно касание откры­вать тер­минал нуж­ного хаба;
  • раз­ворачи­вать новые хабы за минуты — с уже уста­нов­ленным набором инс­тру­мен­тов, VPN и монито­рин­гом;
  • получать алер­ты при проб­лемах (потеря свя­зи, высокая наг­рузка, закан­чива­ется мес­то);
  • собирать дан­ные с перифе­рии через еди­ный веб‑интерфейс.

Типичные проблемы

Каж­дый, кто работал с рас­пре­делен­ной ата­кующей инфраструк­турой, стал­кивал­ся с эти­ми проб­лемами:

  • Нет еди­ной кар­тины. Какие устрой­ства онлайн? Какие отва­лились? Ког­да пос­ледний раз был кон­такт? При­ходит­ся про­верять каж­дое вруч­ную — SSH на один хаб, потом на дру­гой, потом понима­ешь, что тре­тий не отве­чает. На опе­рации это кри­тич­но: потерян­ное устрой­ство может озна­чать про­вал всей опе­рации или, что хуже, обна­руже­ние.
  • Руч­ное раз­верты­вание. Новое устрой­ство — это руч­ная нас­трой­ка SSH, VPN и offensive-инс­тру­мен­тов. Каж­дый раз одно и то же: ска­чать образ, записать на SD, заг­рузить­ся, нас­тро­ить сеть, уста­новить пакеты, ско­пиро­вать клю­чи, про­верить, что все работа­ет. И так для каж­дого нового хаба. При мас­шта­биро­вании коман­ды это прев­раща­ется в кош­мар.
  • Раз­рознен­ные дан­ные. Логи кей­лог­гера на одном устрой­стве, зах­вачен­ный тра­фик — на дру­гом, резуль­таты ска­нов — на треть­ем. Что­бы соб­рать пол­ную кар­тину, нуж­но обой­ти все устрой­ства вруч­ную. В раз­гар опе­рации, ког­да каж­дая минута дорога, на это прос­то нет вре­мени.
  • Нет алер­тов. О том, что устрой­ство отклю­чилось, ты узна­ешь, ког­да будет уже поз­дно. Нап­ример, хаб потерял связь час назад, а ты дума­ешь, что все работа­ет. Или еще хуже — устрой­ство обна­ружи­ли и изъ­яли, а ты про­дол­жаешь на него рас­счи­тывать.

При­мер из прак­тики: один раз хаб «про­пал» на сорок минут из‑за завис­шего USB‑модема. Сна­ружи все выг­лядело нор­маль­но, пока мы не попыта­лись зай­ти на него вруч­ную.

Пос­ле это­го слу­чая появи­лось тре­бова­ние: о подоб­ных вещах дол­жен сооб­щать монито­ринг, а не опе­ратор по его ощу­щени­ям.

Что мы строим?

Red Stable — сис­тема цен­тра­лизо­ван­ного управле­ния инфраструк­турой ата­кующих устрой­ств: коман­дный сер­вер, сеть (Tailnet), хабы на локаци­ях, изо­лиро­ван­ная перифе­рия.

При­мер­ный рабочий сце­нарий: хаб выходит в интернет через Wi‑Fi или USB‑модем, авто­мати­чес­ки появ­ляет­ся в Tailnet, монито­ринг фик­сиру­ет ста­тус, опе­ратор откры­вает веб‑тер­минал и управля­ет перифе­рией. Если связь пада­ет, при­лета­ет алерт, а дан­ные оста­ются локаль­но и забира­ются при вос­ста­нов­лении канала.

Архитектура решения

Сис­тема сос­тоит из трех уров­ней, каж­дый со сво­ей зоной ответс­твен­ности. Такое раз­деление обес­печива­ет изо­ляцию, мас­шта­биру­емость и отка­зоус­той­чивость.

Уровень 1: серверы

Это центр управле­ния всей инфраструк­турой. В нем два клю­чевых ком­понен­та: Headscale и Infra Server.

Headscale — self-hosted-коор­динатор Tailscale VPN. Рас­полага­ется на VPS с пуб­личным IP-адре­сом. Через него все устрой­ства находят друг дру­га и уста­нав­лива­ют зашиф­рован­ные тун­нели. Headscale не про­пус­кает через себя тра­фик — он толь­ко помога­ет устрой­ствам обме­нять­ся клю­чами и най­ти друг дру­га в сети.

Схожие новости

#Наименование новостиТональностьИнформативностьДата публикации
1Кингисепп: День 10 ноя, Сб0010-11-2018
2#Активное_долголетие #ОФП #СОК ☝ Если Вы ещё не начали ходить ...0020-02-2025
3Устойчивость выработки в блочных средах0024-09-2024
4Билибино: Вечер 31 окт, Ср0030-10-2018
5Агидель: Ночь 20 дек, Чт0019-12-2018
6Bill Ackman Bullish on Israel, Sees Trillion-Dollar Company Emerging Soon7623-06-2026
7Телескоп «Хаббл» показал жертву «космического каннибализма» – карликовую галактику LEDA 6773730004-07-2016
8Лимнофила ароматика - НАБОРЫ растений для запуска акваса-------0002-01-2020
9Ватутин: усиление конкурентов в Единой лиге ВТБ пойдет баскетболистам ЦСКА на пользу0026-09-2019
10Оршу хочуць зрабіць горадам будучыні0025-10-2019

Классификация: Пресс-релизы. Схожих патентов: 0. Схожих новостей: 10. Тональность: 5. Информативность: 8. Источник: xakep.ru.