Skip to main content
Cloud Insights
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

工作负载安全性:模拟攻击

贡献者

您可以使用此页面上的说明来模拟攻击、以便使用随附的勒索软件模拟脚本测试或演示工作负载安全性。

备注 Cloud Insights 联邦版不提供工作负载安全性。

开始之前需要注意的事项

  • 勒索软件模拟脚本仅适用于 Linux 。

  • 此脚本随工作负载安全代理安装文件一起提供。它可在安装了工作负载安全代理的任何计算机上使用。

  • 您可以在工作负载安全代理计算机本身上运行此脚本;无需准备其他Linux计算机。但是,如果您希望在其他系统上运行此脚本,只需复制此脚本并在其中运行即可。

至少具有 1 , 000 个示例文件

此脚本应在包含要加密的文件的文件夹的 SVM 上运行。建议在该文件夹和任何子文件夹中至少有 1 , 000 个文件。这些文件不能为空。请勿使用同一用户创建文件并对其进行加密。工作负载安全性会将此视为低风险活动、因此不会生成警报(即同一用户修改其刚刚创建的文件)。

有关说明,请参见下面的 "以编程方式创建非空文件"

运行模拟器之前的准则:

  1. 确保加密文件不为空。

  2. 请确保对50个以上的文件进行加密。少量文件将被忽略。

  3. 请勿多次使用同一用户进行攻击。几次后、Workload Security将了解此用户行为并假设这是用户的正常行为。

  4. 不要对同一用户刚刚创建的文件进行加密。更改用户刚刚创建的文件不会被视为一项风险活动。而是使用另一用户创建的文件、或者在创建文件和对其进行加密之间等待几个小时。

准备系统

首先,将目标卷挂载到计算机。您可以挂载 NFS 挂载或 CIFS 导出。

要在 Linux 中挂载 NFS 导出,请执行以下操作:

mount -t nfs -o vers=4.0 10.193.177.158:/svmvol1 /mntpt
mount -t nfs -o vers=4.0 Vserver data IP>:/nfsvol /destinationlinuxfolder

请勿挂载 NFS 4.1 ; Fpolicy 不支持此版本。

要在 Linux 中挂载 CIFS ,请执行以下操作:

 mount -t cifs //10.193.77.91/sharedfolderincluster /root/destinationfolder/ -o username=raisa
接下来,设置数据收集器:

  1. 如果尚未配置工作负载安全代理、请进行配置。

  2. 如果尚未配置 SVM 数据收集器,请进行配置。

运行勒索软件模拟器脚本

  1. 登录(ssh)到工作负载安全代理计算机。

  2. 导航到: /opt/netapp/cloudsecure /agent/install

  3. 调用不带参数的模拟器脚本以查看用法:

    # pwd
/opt/netapp/cloudsecure/agent/install
# ./ransomware_simulator.sh
Error: Invalid directory  provided.
Usage: ./ransomware_simulator.sh [-e] [-d] [-i <input_directory>]
       -e to encrypt files (default)
       -d to restore files
       -i <input_directory> - Files under the directory to be encrypted
    Encrypt command example: ./ransomware_simulator.sh -e -i /mnt/audit/reports/
Decrypt command example: ./ransomware_simulator.sh -d -i /mnt/audit/reports/

对测试文件进行加密

要对文件进行加密,请运行以下命令:

# ./ransomware_simulator.sh -e -i /root/for/
Encryption key is saved in /opt/netapp/cloudsecure/cloudsecure-agent-1.251.0/install/encryption-key,
which can be used for restoring the files.
Encrypted /root/for/File000.txt
Encrypted /root/for/File001.txt
Encrypted /root/for/File002.txt
...

还原文件

要解密,请运行以下命令:

[root@scspa2527575001 install]# ./ransomware_simulator.sh -d -i /root/for/
File /root/for/File000.txt is restored.
File /root/for/File001.txt is restored.
File /root/for/File002.txt is restored.
...

多次运行此脚本

在为用户生成勒索软件攻击后,切换到另一个用户以生成额外的攻击。工作负载安全性可了解用户行为、不会在短时间内对同一用户的重复勒索软件攻击发出警报。

以编程方式创建文件

在创建文件之前、必须先停止或暂停数据收集器处理。
在将数据收集器添加到代理之前,请执行以下步骤。如果您已添加数据收集器,只需编辑数据收集器,输入无效密码并保存即可。此操作将暂时使数据收集器处于错误状态。注意:请务必记下原始密码!

备注 建议的选项为 "暂停收集器" 创建文件之前。]

在运行模拟之前,您必须先添加要加密的文件。您可以手动将要加密的文件复制到目标文件夹中,也可以使用脚本(请参见以下示例)以编程方式创建文件。无论使用哪种方法,至少复制 1 , 000 个文件。

如果您选择以编程方式创建文件,请执行以下操作:

  1. 登录到代理框。

  2. 将 NFS 导出从存储器的 SVM 挂载到代理计算机。将 CD 复制到该文件夹。

  3. 在该文件夹中,创建一个名为 createfiles.sh 的文件

  4. 将以下行复制到该文件。

    for i in {000..1000}
do
   echo hello > "File${i}.txt"
done
echo 3 > /proc/sys/vm/drop_caches ; sync

  5. 保存文件。

  6. 确保对文件具有执行权限:

     chmod 777 ./createfiles.sh
. 执行脚本:
    ./createfiles.sh

    此时将在当前文件夹中创建 1000 个文件。

  7. 重新启用数据收集器

    如果您在步骤 1 中禁用了数据收集器,请编辑该数据收集器,输入正确的密码并保存。确保数据收集器重新处于运行状态。

  8. 如果您在执行这些步骤之前暂停了收集器、请确保 "恢复收集器"