Question

进入公司内部的红队，在行动中可能更有创造性。我经常进行的活动是模拟勒索软件。WannaCry 爆发的时候，我们可以模拟勒索软件攻击。随着勒索软件攻击方式越来越流行，我们确实需要测试业务恢复/灾难恢复程序。

我们在现实生活中见证了 WannaCry 事件，WannaCry 通过 SMB 共享横向移动，利用“永恒之蓝”漏洞，加密文件，甚至删除了主机系统上的所有备份。作为一个 IT 组织，我们需要确定的问题是，如果我们的某个用户单击了该恶意软件，会产生什么影响？我们可以恢复用户文件、共享文件和数据库等吗？我们一直听到的答案是：“我想是这样……”，但如果没有红队来提前验证这些流程，我们最后等到房子被烧成灰烬才会知道真正的答案。

这就是我喜欢为组织提供内部红队的原因。我们可以在受控环境中真正证明并验证安全性和 IT 是否正常运行。本书并不包括勒索软件的例子，因为这样做很危险。您可以自己构建工具，并在客户允许的情况下，开展相关测试。

下面是有关模拟勒索软件的提示。

• 某些组织实际上不允许您删除/加密文件。对于这些公司，您可以模拟勒索软件攻击。一旦恶意软件被执行，它所做的就是扫描主机/网络中的重要文件，将每个文件读入内存，随机交换一个字节，将这些字节发送到命令控制服务器，并包含元数据。这将演示您能够访问文件的数量，在检测流量之前可以从网络中渗透数据量，以及可以恢复文件的数量。
• 查看其他勒索软件样本，了解它们正在加密的文件类型。这可以模拟一个更真实的行动。例如，查看 WannaCry 中的文件类型。
• 如果您要“加密”恶意软件，使用一些简单的方法来做。它可以是带有密钥的标准 AES，公钥/私钥 x509 证书，或某种按位“异或”。实现越复杂，无法恢复文件的可能性就越大。
• 测试、测试和测试。最糟糕的事情是发现公司无法恢复关键文件，并且您的解密过程不起作用。
• 许多下一代杀毒软件，根据某些操作自动阻止勒索软件。例如，勒索软件可能执行的正常检测是：扫描系统中所有类型为 X 的文件、加密文件、删除卷副本以及禁用备份。要规避检测过程，可以尝试放慢操作过程，或者尝试通过不同的流程完成相同的操作。