Cloud Secure :攻撃のシミュレーション
このページの手順を使用して、付属の Cloud Secure ランサムウェアシミュレーションスクリプトを使用して、 Cloud Secure のテストまたはデモを行う攻撃をシミュレートできます。
始める前に注意してください
-
ランサムウェアシミュレーションスクリプトは Linux でのみ動作します。
-
このスクリプトは、 Cloud Secure エージェントのインストールファイルに付属しています。Cloud Secure エージェントがインストールされているすべてのマシンで使用できます。
-
このスクリプトは、 Cloud Secure エージェントマシン自体で実行できます。他の Linux マシンを準備する必要はありません。ただし、スクリプトを別のシステムで実行する場合は、スクリプトをコピーしてそこで実行するだけです。
サンプルファイルを 1 、 000 個以上用意してください
このスクリプトは、暗号化するファイルが格納されたフォルダを含む SVM で実行する必要があります。フォルダとサブフォルダには、少なくとも 1 、 000 個のファイルを含めることをお勧めします。ファイルは空にできません。ファイルを作成したり、同じユーザを使用して暗号化したりしないでください。Cloud Secure では、これはリスクの低いアクティビティとみなされるため、アラートは生成されません(つまり、同じユーザが作成したファイルを変更した場合)。
手順については、以下を参照してください "プログラムによって空でないファイルを作成します"。
システムを準備
まず、ターゲットボリュームをマシンにマウントします。NFS マウントまたは CIFS エクスポートをマウントできます。
Linux で NFS エクスポートをマウントするには、次の手順を実行
mount -t nfs -o vers=4.0 10.193.177.158:/svmvol1 /mntpt mount -t nfs -o vers=4.0 Vserver data IP>:/nfsvol /destinationlinuxfolder
NFS バージョン 4.1 はマウントしないでください。 FPolicy ではサポートされていません。
Linux で CIFS をマウントするには、次の手順を
mount -t cifs //10.193.77.91/sharedfolderincluster /root/destinationfolder/ -o username=raisa 次に、 Data Collector をセットアップします。
-
Cloud Secure エージェントがまだ設定されていない場合は設定します。
-
SVM データコレクタが設定されていない場合は設定します。
ランサムウェアシミュレータスクリプトを実行します
-
Cloud Secure エージェント・マシンにログイン( ssh )します。
-
/opt/NetApp/cloudsecure/agent/install_に 移動します
-
パラメータを指定せずにシミュレータスクリプトを呼び出し、使用状況を確認します。
# pwd /opt/netapp/cloudsecure/agent/install # ./ransomware_simulator.sh Error: Invalid directory provided. Usage: ./ransomware_simulator.sh [-e] [-d] [-i <input_directory>] -e to encrypt files (default) -d to restore files -i <input_directory> - Files under the directory to be encrypted
Encrypt command example: ./ransomware_simulator.sh -e -i /mnt/audit/reports/ Decrypt command example: ./ransomware_simulator.sh -d -i /mnt/audit/reports/
テストファイルを暗号化します
ファイルを暗号化するには、次のコマンドを実行します。
# ./ransomware_simulator.sh -e -i /root/for/ Encryption key is saved in /opt/netapp/cloudsecure/cloudsecure-agent-1.251.0/install/encryption-key, which can be used for restoring the files. Encrypted /root/for/File000.txt Encrypted /root/for/File001.txt Encrypted /root/for/File002.txt ...
ファイルをリストアします
復号化するには、次のコマンドを実行します。
[root@scspa2527575001 install]# ./ransomware_simulator.sh -d -i /root/for/ File /root/for/File000.txt is restored. File /root/for/File001.txt is restored. File /root/for/File002.txt is restored. ...
スクリプトを複数回実行します
ユーザがランサムウェア攻撃を受けた場合は、別のユーザに切り替えて攻撃を受けます。Cloud Secure はユーザの行動を学習し、ランサムウェア攻撃が繰り返された場合に同じユーザにアラートを送信しません。
プログラムでファイルを作成します
ファイルを作成する前に、データコレクタの処理を停止する必要があります。データコレクタをエージェントに追加する前に、次の手順を実行します。データコレクタをすでに追加している場合は、データコレクタを編集し、無効なパスワードを入力して保存します。これにより、データコレクタが一時的にエラー状態になります。注意:元のパスワードを必ずメモしてください。
シミュレーションを実行する前に、暗号化するファイルを追加する必要があります。暗号化するファイルを手動でターゲットフォルダにコピーするか、スクリプト(以下の例を参照)を使用してプログラムでファイルを作成することができます。どちらの方法を使用した場合も、 1 、 000 個以上のファイルをコピーしてください。
プログラムでファイルを作成する場合は、次の手順を実行します。
-
[ エージェント ] ボックスにログインします。
-
Filer の SVM から Agent マシンに NFS エクスポートをマウントします。CD をそのフォルダに移動します。
-
このフォルダに、 createfiles.sh という名前のファイルを作成します
-
次の行をそのファイルにコピーします。
for i in {000..1000} do echo hello > "File${i}.txt" done echo 3 > /proc/sys/vm/drop_caches ; sync
-
ファイルを保存します。
-
ファイルに対する実行権限を確認します。
chmod 777 ./createfiles.sh . スクリプトを実行します。
./createfiles.sh
現在のフォルダには 1000 個のファイルが作成されます。
-
データコレクタを再度有効にします
手順 1 でデータコレクタを無効にした場合は、データコレクタを編集し、正しいパスワードを入力して保存します。データコレクタが running 状態であることを確認します。