简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

Cloud Secure :模拟攻击

您可以使用此页面上的说明,使用随附的 Cloud Secure 勒索软件模拟脚本模拟用于测试或演示 Cloud Secure 的攻击。

开始之前需要注意的事项

  • 勒索软件模拟脚本仅适用于 Linux 。

  • 此脚本随 Cloud Secure 代理安装文件一起提供。它可在安装了 Cloud Secure 代理的任何计算机上使用。

  • 您可以在 Cloud Secure 代理计算机本身上运行此脚本;无需准备其他 Linux 计算机。但是,如果您希望在其他系统上运行此脚本,只需复制此脚本并在其中运行即可。

至少具有 1 , 000 个示例文件

此脚本应在包含要加密的文件的文件夹的 SVM 上运行。建议在该文件夹和任何子文件夹中至少有 1 , 000 个文件。这些文件不能为空。请勿使用同一用户创建文件并对其进行加密。Cloud Secure 将此视为低风险活动,因此不会生成警报(即同一用户修改其刚刚创建的文件)。

有关说明,请参见下面的 "以编程方式创建非空文件"

准备系统

首先,将目标卷挂载到计算机。您可以挂载 NFS 挂载或 CIFS 导出。

要在 Linux 中挂载 NFS 导出,请执行以下操作:

mount -t nfs -o vers=4.0 10.193.177.158:/svmvol1 /mntpt
mount -t nfs -o vers=4.0 Vserver data IP>:/nfsvol /destinationlinuxfolder

请勿挂载 NFS 4.1 ; Fpolicy 不支持此版本。

要在 Linux 中挂载 CIFS ,请执行以下操作:

 mount -t cifs //10.193.77.91/sharedfolderincluster /root/destinationfolder/ -o username=raisa
接下来,设置数据收集器:
  1. 如果尚未配置 Cloud Secure 代理,请进行配置。

  2. 如果尚未配置 SVM 数据收集器,请进行配置。

运行勒索软件模拟器脚本

  1. 登录( ssh )到 Cloud Secure 代理计算机。

  2. 导航到: /opt/netapp/cloudsecure /agent/install

  3. 调用不带参数的模拟器脚本以查看用法:

    # pwd
    /opt/netapp/cloudsecure/agent/install
    # ./ransomware_simulator.sh
    Error: Invalid directory  provided.
    Usage: ./ransomware_simulator.sh [-e] [-d] [-i <input_directory>]
           -e to encrypt files (default)
           -d to restore files
           -i <input_directory> - Files under the directory to be encrypted
    Encrypt command example: ./ransomware_simulator.sh -e -i /mnt/audit/reports/
    Decrypt command example: ./ransomware_simulator.sh -d -i /mnt/audit/reports/

对测试文件进行加密

要对文件进行加密,请运行以下命令:

# ./ransomware_simulator.sh -e -i /root/for/
Encryption key is saved in /opt/netapp/cloudsecure/cloudsecure-agent-1.251.0/install/encryption-key,
which can be used for restoring the files.
Encrypted /root/for/File000.txt
Encrypted /root/for/File001.txt
Encrypted /root/for/File002.txt
...

还原文件

要解密,请运行以下命令:

[root@scspa2527575001 install]# ./ransomware_simulator.sh -d -i /root/for/
File /root/for/File000.txt is restored.
File /root/for/File001.txt is restored.
File /root/for/File002.txt is restored.
...

多次运行此脚本

在为用户生成勒索软件攻击后,切换到另一个用户以生成额外的攻击。Cloud Secure 可了解用户行为,不会在短时间内对同一用户的重复勒索软件攻击发出警报。

以编程方式创建文件

在创建文件之前,必须先停止数据收集器处理。在将数据收集器添加到代理之前,请执行以下步骤。如果您已添加数据收集器,只需编辑数据收集器,输入无效密码并保存即可。此操作将暂时使数据收集器处于错误状态。注意:请务必记下原始密码!

在运行模拟之前,您必须先添加要加密的文件。您可以手动将要加密的文件复制到目标文件夹中,也可以使用脚本(请参见以下示例)以编程方式创建文件。无论使用哪种方法,至少复制 1 , 000 个文件。

如果您选择以编程方式创建文件,请执行以下操作:

  1. 登录到代理框。

  2. 将 NFS 导出从存储器的 SVM 挂载到代理计算机。将 CD 复制到该文件夹。

  3. 在该文件夹中,创建一个名为 createfiles.sh 的文件

  4. 将以下行复制到该文件。

    for i in {000..1000}
    do
       echo hello > "File${i}.txt"
    done
    echo 3 > /proc/sys/vm/drop_caches ; sync
  5. 保存文件。

  6. 确保对文件具有执行权限:

     chmod 777 ./createfiles.sh
    . 执行脚本:
    ./createfiles.sh

    此时将在当前文件夹中创建 1000 个文件。

  7. 重新启用数据收集器

    如果您在步骤 1 中禁用了数据收集器,请编辑该数据收集器,输入正确的密码并保存。确保数据收集器重新处于运行状态。