文章来源于网络收集而来,版权归原创者所有,如有侵权请及时联系!
8.4 创造性的行动
进入公司内部的红队,在行动中可能更有创造性。我经常进行的活动是模拟勒索软件。WannaCry 爆发的时候,我们可以模拟勒索软件攻击。随着勒索软件攻击方式越来越流行,我们确实需要测试业务恢复/灾难恢复程序。
我们在现实生活中见证了 WannaCry 事件,WannaCry 通过 SMB 共享横向移动,利用“永恒之蓝”漏洞,加密文件,甚至删除了主机系统上的所有备份。作为一个 IT 组织,我们需要确定的问题是,如果我们的某个用户单击了该恶意软件,会产生什么影响?我们可以恢复用户文件、共享文件和数据库等吗?我们一直听到的答案是:“我想是这样……”,但如果没有红队来提前验证这些流程,我们最后等到房子被烧成灰烬才会知道真正的答案。
这就是我喜欢为组织提供内部红队的原因。我们可以在受控环境中真正证明并验证安全性和 IT 是否正常运行。本书并不包括勒索软件的例子,因为这样做很危险。您可以自己构建工具,并在客户允许的情况下,开展相关测试。
下面是有关模拟勒索软件的提示。
- 某些组织实际上不允许您删除/加密文件。对于这些公司,您可以模拟勒索软件攻击。一旦恶意软件被执行,它所做的就是扫描主机/网络中的重要文件,将每个文件读入内存,随机交换一个字节,将这些字节发送到命令控制服务器,并包含元数据。这将演示您能够访问文件的数量,在检测流量之前可以从网络中渗透数据量,以及可以恢复文件的数量。
- 查看其他勒索软件样本,了解它们正在加密的文件类型。这可以模拟一个更真实的行动。例如,查看 WannaCry 中的文件类型。
- 如果您要“加密”恶意软件,使用一些简单的方法来做。它可以是带有密钥的标准 AES,公钥/私钥 x509 证书,或某种按位“异或”。实现越复杂,无法恢复文件的可能性就越大。
- 测试、测试和测试。最糟糕的事情是发现公司无法恢复关键文件,并且您的解密过程不起作用。
- 许多下一代杀毒软件,根据某些操作自动阻止勒索软件。例如,勒索软件可能执行的正常检测是:扫描系统中所有类型为 X 的文件、加密文件、删除卷副本以及禁用备份。要规避检测过程,可以尝试放慢操作过程,或者尝试通过不同的流程完成相同的操作。
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
发布评论