워크로드 보안: 공격 시뮬레이션
이 페이지의 지침을 사용하여 포함된 랜섬웨어 시뮬레이션 스크립트를 사용하여 워크로드 보안을 테스트 또는 시연하기 위한 공격을 시뮬레이션할 수 있습니다.
시작하기 전에 주의해야 할 사항
-
랜섬웨어 시뮬레이션 스크립트는 Linux에서만 작동합니다.
-
이 스크립트는 워크로드 보안 에이전트 설치 파일과 함께 제공됩니다. 워크로드 보안 에이전트가 설치된 모든 시스템에서 사용할 수 있습니다.
-
워크로드 보안 에이전트 시스템 자체에서 스크립트를 실행할 수 있으며 다른 Linux 시스템을 준비할 필요가 없습니다. 그러나 스크립트를 다른 시스템에서 실행하려면 스크립트를 복사하여 거기에서 실행하기만 하면 됩니다.
샘플 파일이 1,000개 이상 있어야 합니다
이 스크립트는 암호화할 파일이 있는 폴더가 있는 SVM에서 실행되어야 합니다. 해당 폴더 및 하위 폴더 내에 1,000개 이상의 파일이 있는 것이 좋습니다. 파일이 비어 있으면 안 됩니다. 같은 사용자를 사용하여 파일을 만들고 암호화하지 마십시오. 워크로드 보안은 이 작업을 저위험 작업으로 간주하므로 경고를 생성하지 않습니다(즉, 동일한 사용자가 방금 생성한 파일을 수정함).
에 대한 지침은 아래를 "비어 있지 않은 파일을 프로그래밍 방식으로 만듭니다"참조하십시오.
시뮬레이터를 실행하기 전에 필요한 지침:
-
암호화된 파일이 비어 있지 않은지 확인합니다.
-
50개 이상의 파일을 암호화해야 합니다. 적은 수의 파일이 무시됩니다.
-
동일한 사용자로 여러 번 공격을 실행하지 마십시오. 몇 번 지나면 워크로드 보안에서는 이 사용자 동작을 학습하고 이것이 사용자의 정상적인 동작이라고 가정합니다.
-
동일한 사용자가 방금 만든 파일은 암호화하지 마십시오. 사용자가 방금 만든 파일을 변경하는 것은 위험한 작업으로 간주되지 않습니다. 대신 다른 사용자가 만든 파일을 사용하거나 파일을 만들고 암호화하는 데 몇 시간이 걸릴 수 있습니다.
시스템을 준비합니다
먼저 타겟 볼륨을 시스템에 마운트합니다. NFS 마운트 또는 CIFS 내보내기를 마운트할 수 있습니다.
Linux에서 NFS 내보내기를 마운트하려면
mount -t nfs -o vers=4.0 10.193.177.158:/svmvol1 /mntpt mount -t nfs -o vers=4.0 Vserver data IP>:/nfsvol /destinationlinuxfolder
NFS 버전 4.1을 마운트하지 마십시오. Fpolicy에서 지원되지 않습니다.
Linux에서 CIFS를 마운트하려면
mount -t cifs //10.193.77.91/sharedfolderincluster /root/destinationfolder/ -o username=raisa 다음으로 Data Collector를 설정합니다.
-
아직 수행하지 않은 경우 워크로드 보안 에이전트를 구성합니다.
-
아직 수행하지 않은 경우 SVM 데이터 수집기를 구성합니다.
랜섬웨어 시뮬레이터 스크립트를 실행합니다
-
워크로드 보안 에이전트 시스템에 로그인(ssh)합니다.
-
_/opt/NetApp/cloudsecure/agent/install_로 이동합니다
-
매개 변수 없이 시뮬레이터 스크립트를 호출하여 사용 현황을 확인합니다.
# pwd /opt/netapp/cloudsecure/agent/install # ./ransomware_simulator.sh Error: Invalid directory provided. Usage: ./ransomware_simulator.sh [-e] [-d] [-i <input_directory>] -e to encrypt files (default) -d to restore files -i <input_directory> - Files under the directory to be encrypted
Encrypt command example: ./ransomware_simulator.sh -e -i /mnt/audit/reports/ Decrypt command example: ./ransomware_simulator.sh -d -i /mnt/audit/reports/
테스트 파일을 암호화합니다
파일을 암호화하려면 다음 명령을 실행합니다.
# ./ransomware_simulator.sh -e -i /root/for/ Encryption key is saved in /opt/netapp/cloudsecure/cloudsecure-agent-1.251.0/install/encryption-key, which can be used for restoring the files. Encrypted /root/for/File000.txt Encrypted /root/for/File001.txt Encrypted /root/for/File002.txt ...
파일을 복원합니다
암호를 해독하려면 다음 명령을 실행합니다.
[root@scspa2527575001 install]# ./ransomware_simulator.sh -d -i /root/for/ File /root/for/File000.txt is restored. File /root/for/File001.txt is restored. File /root/for/File002.txt is restored. ...
스크립트를 여러 번 실행합니다
사용자에 대한 랜섬웨어 공격을 생성한 후 다른 사용자로 전환하여 추가 공격을 생성하십시오. 워크로드 보안은 사용자 행동을 학습하고 동일한 사용자에 대해 짧은 기간 내에 반복되는 랜섬웨어 공격에 대해 경고하지 않습니다.
프로그래밍 방식으로 파일을 만듭니다
파일을 만들기 전에 먼저 데이터 수집기 처리를 중지하거나 일시 중지해야 합니다. 데이터 수집기를 Agent에 추가하기 전에 다음 단계를 수행하십시오. 이미 데이터 수집기를 추가한 경우 데이터 수집기를 편집하고 잘못된 암호를 입력한 다음 저장합니다. 이렇게 하면 데이터 수집기가 일시적으로 오류 상태가 됩니다. 참고: 원래 암호를 기록해 두십시오!
권장 옵션은 파일을 만들기 전에 하는 것입니다"수집기를 일시 중지합니다".] |
시뮬레이션을 실행하기 전에 먼저 암호화할 파일을 추가해야 합니다. 암호화할 파일을 대상 폴더에 수동으로 복사하거나 스크립트(아래 예 참조)를 사용하여 프로그래밍 방식으로 파일을 만들 수 있습니다. 어떤 방법을 사용하든 1,000개 이상의 파일을 복사합니다.
프로그래밍 방식으로 파일을 만들도록 선택한 경우 다음을 수행합니다.
-
에이전트 상자에 로그인합니다.
-
파일러의 SVM에서 Agent 시스템으로 NFS 내보내기를 마운트합니다. CD를 해당 폴더에 넣습니다.
-
이 폴더에서 createfiles.sh 라는 파일을 만듭니다
-
다음 줄을 해당 파일에 복사합니다.
for i in {000..1000} do echo hello > "File${i}.txt" done echo 3 > /proc/sys/vm/drop_caches ; sync
-
파일을 저장합니다.
-
파일에 대한 실행 권한 확인:
chmod 777 ./createfiles.sh . 스크립트를 실행합니다.
./createfiles.sh
현재 폴더에 1000개의 파일이 생성됩니다.
-
데이터 수집기를 다시 활성화합니다
1단계에서 데이터 수집기를 비활성화한 경우 데이터 수집기를 편집하고 올바른 암호를 입력한 후 저장합니다. 데이터 수집기가 다시 실행 중 상태인지 확인합니다.
-
다음 단계를 수행하기 전에 수집기를 일시 중지한 경우 을 "수집기를 다시 시작합니다"참조하십시오.