Skip to main content
Cloud Insights
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

工作負載安全性:模擬攻擊

貢獻者

您可以使用本頁上的指示、模擬攻擊、以便使用隨附的勒索軟體模擬指令碼來測試或示範工作負載安全性。

註 Cloud Insights 聯邦版不提供工作負載安全功能。

開始之前要注意的事項

  • 勒索軟體模擬指令碼僅適用於Linux。

  • 此指令碼隨工作負載安全代理程式安裝檔案一起提供。它適用於任何已安裝工作負載安全性代理程式的機器。

  • 您可以在工作負載安全代理程式機器上執行指令碼、不需要準備其他Linux機器。不過、如果您偏好在其他系統上執行指令碼、只要複製指令碼並在該處執行即可。

至少有1、000個範例檔案

此指令碼應在SVM上執行、其中的資料夾含有要加密的檔案。建議在該資料夾和任何子資料夾中至少有1、000個檔案。檔案不可為空白。請勿使用相同的使用者建立檔案並加密。「工作負載安全性」將此視為低風險活動、因此不會產生警示(亦即、相同的使用者會修改剛建立的檔案)。

請參閱以下說明 "以程式設計方式建立非空白檔案"

執行模擬器之前的準則:

  1. 請確定加密的檔案不是空白的。

  2. 請務必加密超過50個檔案。少數檔案將會被忽略。

  3. 請勿多次使用相同的使用者執行攻擊。幾次之後、工作負載安全性會學習這種使用者行為、並假設這是使用者的正常行為。

  4. 請勿加密剛建立相同使用者的檔案。變更使用者剛建立的檔案並不視為風險活動。而是使用其他使用者所建立的檔案、或是在建立檔案並加密檔案之間等待數小時。

準備系統

首先、將目標Volume掛載到機器上。您可以掛載NFS掛載或CIFS匯出。

若要在Linux中掛載NFS匯出:

mount -t nfs -o vers=4.0 10.193.177.158:/svmvol1 /mntpt
mount -t nfs -o vers=4.0 Vserver data IP>:/nfsvol /destinationlinuxfolder

請勿掛載NFS 4.1版、Fpolicy不支援。

若要在Linux中掛載CIFS:

 mount -t cifs //10.193.77.91/sharedfolderincluster /root/destinationfolder/ -o username=raisa
接下來、設定資料收集器:

  1. 如果尚未設定工作負載安全性代理程式、請加以設定。

  2. 如果尚未完成、請設定SVM資料收集器。

執行勒索軟體模擬器指令碼

  1. 登入(ssh)工作負載安全代理程式機器。

  2. 瀏覽至:/opt /NetApp/cloudsec/agent/install

  3. 呼叫不含參數的模擬器指令碼、查看使用狀況:

    # pwd
/opt/netapp/cloudsecure/agent/install
# ./ransomware_simulator.sh
Error: Invalid directory  provided.
Usage: ./ransomware_simulator.sh [-e] [-d] [-i <input_directory>]
       -e to encrypt files (default)
       -d to restore files
       -i <input_directory> - Files under the directory to be encrypted
    Encrypt command example: ./ransomware_simulator.sh -e -i /mnt/audit/reports/
Decrypt command example: ./ransomware_simulator.sh -d -i /mnt/audit/reports/

加密測試檔案

若要加密檔案、請執行下列命令:

# ./ransomware_simulator.sh -e -i /root/for/
Encryption key is saved in /opt/netapp/cloudsecure/cloudsecure-agent-1.251.0/install/encryption-key,
which can be used for restoring the files.
Encrypted /root/for/File000.txt
Encrypted /root/for/File001.txt
Encrypted /root/for/File002.txt
...

還原檔案

若要解密、請執行下列命令:

[root@scspa2527575001 install]# ./ransomware_simulator.sh -d -i /root/for/
File /root/for/File000.txt is restored.
File /root/for/File001.txt is restored.
File /root/for/File002.txt is restored.
...

多次執行指令碼

為使用者產生勒索軟體攻擊之後、請切換至其他使用者、以產生額外的攻擊。「工作負載安全性」會學習使用者行為、不會在短時間內針對相同使用者的反覆勒索軟體攻擊發出警示。

以程式設計方式建立檔案

建立檔案之前、您必須先停止或暫停資料收集器處理。
將資料收集器新增至代理程式之前、請先執行下列步驟。如果您已新增資料收集器、只要編輯資料收集器、輸入無效密碼、然後儲存即可。這會暫時將資料收集器置於錯誤狀態。附註:請務必記下原始密碼!

註 建議選項為 "暫停收集器" 建立檔案之前。 ]

在執行模擬之前、您必須先新增要加密的檔案。您可以手動將要加密的檔案複製到目標資料夾、或使用指令碼(請參閱以下範例)以程式設計方式建立檔案。無論使用何種方法、請複製至少1、000個檔案。

如果您選擇以程式設計方式建立檔案、請執行下列動作:

  1. 登入值機員方塊。

  2. 將NFS匯出從檔案管理器的SVM掛載到代理機器。CD至該資料夾。

  3. 在該資料夾中建立一個名為createfiles.sh的檔案

  4. 將下列行複製到該檔案。

    for i in {000..1000}
do
   echo hello > "File${i}.txt"
done
echo 3 > /proc/sys/vm/drop_caches ; sync

  5. 儲存檔案。

  6. 確保對檔案執行權限:

     chmod 777 ./createfiles.sh
. 執行指令碼:
    ./createfiles.sh

    將在目前資料夾中建立1000個檔案。

  7. 重新啟用資料收集器

    如果您在步驟1中停用資料收集器、請編輯資料收集器、輸入正確的密碼並儲存。請確定資料收集器已恢復執行狀態。

  8. 如果您在執行這些步驟之前暫停收集器、請務必執行 "恢復收集器"