勒索软件事件模拟工具包:Ransomware Incident Simulation Toolkit - RIST
版本:0.2.7
勒索软件事件模拟工具包用于帮助组织测试和验证其对勒索软件攻击的准备程度而设计的一个集成模拟环境。本工具包旨在帮助IT和安全团队在受控和安全的环境中执行勒索软件攻击演练,以评估和增强现有安全防御措施的有效性。
勒索软件事件模拟工具包具有自动化渗透、模拟勒索加密、检索密码本等能力。
- 自动横向移动模拟:自动化脚本模拟攻击者在内部网络中的横向移动,包括利用网络漏洞和凭证获取等技术;
- 加密功能演练:安全地对选定的目录或文件进行加密,以模拟勒索软件的行为;
- 工具安全可解在演练结束后,提供解密的工具以确保所有演练加密文件被安全地解密;
- 攻击动作全记录:工具会输出和记录攻击动作及攻击结果,有助于复盘监控及防火设备的告警可进行回溯。
勒索软件事件模拟工具包可以运用至如下场景:
- 安全有效性评估:测试组织的缺陷管理、凭证管理和网络隔离策略;
- 应急响应演练:演练勒索软件事件发生时的反应流程,包括立刻的危机管理和长期的恢复策略;
- 培训与意识:提高员工对勒索软件攻击的意识,以及如何在事件发生时快速有效地响应。
勒索软件事件模拟工具包主要包含三部分:
- 模拟环境虚拟机镜像(OVF文件);
- 适配于Windows的两套攻击加密套件及认证文件(ZIP压缩包及EXE认证文件);
- 适配于Linxu的攻击加密套件及认证文件(TAR压缩包及可BIN认证文件)。
漏洞环境的虚拟机详情如下:
| 系统类型 | 设备名称 | IP | 掩码 | 网关 | 用户名 | 漏洞 |
|---|---|---|---|---|---|---|
| windows10 | 应急演练-win10-1 | 10.95.208.2 | 255.255.254.0 | 10.95.208.1 | administrator | 中毒设备 |
| winsever2016 | 应急演练-2016 | 10.95.208.3 | 255.255.254.0 | 10.95.208.1 | administrator | CVE-2017-10271 |
| windows10 | 应急演练-win10-2 | 10.95.208.4 | 255.255.254.0 | 10.95.208.1 | administrator | RDP爆破 |
| Ubuntu | ubuntu-redis | 10.95.208.6 | 255.255.254.0 | 10.95.208.1 | root | REDIS未授权 |
| Ubuntu | 应急演练-Ubuntu-2 | 10.95.208.8 | 255.255.254.0 | 10.95.208.1 | root | SSH爆破 |
攻击加密套件详情如下:
| 内容 | 形式 | MD5 |
|---|---|---|
| Windows攻击加密套件GUI版 | ZIP压缩包 | 4fbfe5bc1af49b0e462cb2a9c8c3c78b |
| Windows攻击加密套件CMD版 | ZIP压缩包 | b48d86a405cb06e9e0a63138456741b2 |
| Windows平台认证程序 | EXE文件 | e9835b8a903b58af0fa0094be44a005b |
| Linxu攻击加密套件 | TAR压缩包 | 76a5a086565ae4f05eb37a15be114bf0 |
| Linux平台认证程序 | BIN文件 | ea0ca2edd60661470bff4f092b3154dc |
模拟客户处某PC执行恶意的EXE文件,文件开始按顺序执行下列操作:
- 执行加密内容,对C盘下根目录的test文件夹中的文件进行加密,并更换勒索壁纸;
- 如果检测为Windows设备,则开始扫描C盘文件,查询是否存在文件名为:txt的文件,如果存在,则将其内容添加到爆破的密码表中;
- 获取设备的网卡信息,提取网段信息,并对该网段内容进行扫描操作;
- 对扫描到的IP进行攻击,攻击包括:SSH爆破,如果爆破成功则进行命令执行;RDP爆破,如果爆破成功则进行WINRC连接,并执行命令;WebLogic漏洞CVE-2017-10271自动POC利用,如果探测存在漏洞,则利用EXP进行命令执行;REDIS未授权利用,如果存在漏洞,则进行/root/.ssh密钥写入操作,操作成功后进行SSH命令执行操作;
- 命令执行的内容为:从CC服务器拉取攻击加密套件并自动执行;
- 执行后会自动进行加密操作,并开始重复运行横向攻击命令执行内容。
在使用工具包之前,先对目标环境进行全面审核,确保演练不会对活动生产环境产生负面影响。包括单不限于:使用隔离网、使用无客户重要数据的设备进行演练。
本工具包必须在合法和合规的框架内使用,确保不会违反任何法律法规。
根据组织的网络架构和安全策略,配置工具包设置。
网络架构图及攻击流图如下:
为评估现有安全防御措施的有效性,需部署安全防护设备,应包含但不限于:
- 流量检测设备;
- 主机检测设备;
- 终端防护设备。
完成上述环境部署后,为了防止勒索演练工具被滥用,工具需要进行针对设备的注册,一机一码,一日一码。注册流程如下:
- 使用管理员权限运行设备码生成脚本;
- 将生成的设备码发送至蓝信:冀凯,获取注册码;
- 将注册码输入到注册脚本中完成注册。
- 在经过适当规划和通告的情况下执行勒索软件演练,确保所有相关方都已事先通知;
- 实时监控演练的进展,并保留设有必要控制手段以能够立即终止演练。
- 在模拟收到攻击及勒索的设备上创建需要加密的文件夹:
- Windows设备加密文件夹为:c:\test
- Linux设备默认加密文件夹为:/tmp/test
- 在模拟中毒的设备上执行工具,开始监控工具日志信息。
- 查看横向设备文件夹内容是否被加密;
- 进行攻击日志排查以及加密恢复测试。
攻击流程会产生如下攻击告警日志:
- SSH爆破日志
- RDP爆破日志
- REDIS未授权登录攻击
- CVE-2017-10271漏洞利用
- 文件加密日志
- CC文件下载日志
工具包及漏洞环境的获取请联系:山己见。