Cloud Secureの検知動作とタイミングを確認してみる

こんにちは。たかやまです。

今までのブログでCloud SecureのSMB/NFSでテスト検知を行ってみました。

テスト検知では100〜1000ファイルに対する暗号化を試してみました。

Cloud Secureの自動バックアップ/アクセスブロックの動作は確認できますが、テストファイルが少ないため暗号化処理後の動作しか確認できなかったため、今回改めてCloud Secureの暗号処理中の動作や検知までの時間などを確認してみたいと思います。

先にまとめ

• Snapshot取得 -> アクセスブロック の順番で処理が実行される
• Cloud Secure検知まで早ければ1分で検知する
  • 学習状況で検知時間は前後

検証

Windows(SMB)

前回のブログでご紹介している手順をもとにファイルを用意していきます。

今回はすべてのファイルが暗号化されるまで十分な時間を確保するため、多めにファイルを用意したいと思います。

※ユーザは学習前の新規作成ユーザで試していきます。

ファイル作成

以下のスクリプトを実行して10,000ファイル作成していきます。

$files="Z:\"
$f = 1
$i = 1
while ($f -le 10) {
  new-item -path $files"folder"$f -ItemType Directory
  $i = 1
  while ($i -le 1000) {
    new-item -path $files"folder"$f"\file"$i".txt"
    add-content -path $files"folder"$f"\file"$i".txt" -value "ransom test"
    $i++
  }
  $f++
}

実行すると10フォルダとフォルダごとに1,000ファイル作成されます。

ランサムウェア実行

ランサムウェアシュミレートスクリプトを実行します。

$files="Z:\"
$f = 1
$i = 1
while ($f -le 10) {
  $i = 1
  while ($i -le 1000) {
    Invoke-Item -path $files"folder"$f"\file"$i".txt"
    Stop-Process -Force -Name "notepad"
    add-content -path $files"folder"$f"\file"$i".txt" -value "ransome"
    Rename-Item -path $files"folder"$f"\file"$i".txt" -NewName $files"folder"$f"\file"$i".txt.lol"
    $i++
  }
  $f++
}

実行すると処理の途中でエラーが出力されるようになり、Cloud Secureからブロックされたことがわかります。

Cloud Secure確認

Cloud Secure上でも暗号化処理開始の1分程度で動作していることが確認できます。

コンソール上でEncrypted Filesが1875カウントされており、実際のファイルも1875ファイルで暗号化が止まっていることが確認できます。(画像外のfolder1で1000ファイル暗号化されています)

ONTAP snapshotを確認すると、こちらも暗号中にsnapshotを取得していることがわかります。

一方でsnapshotはfolder2の854ファイル目で暗号化が止まっており、実際の暗号化されたファイルより少ないことがわかります。

ここからCloud Secureは先にSnapshotを取得し、次にAccess Blockの順番で動作していることが確認できます。

ちなみに、何度かファイル作成、暗号化を繰り返すとCloud Secureが学習し検知タイミングが変わることが確認できます。

Linux(NFS)

Linuxも同様にためしてみます。

ファイル作成

こちらも十分な数のフォルダとファイルを用意したいと思います。

cd /fsx
cat << 'EOF' > createfiles.sh
for f in {1..10}; do
  mkdir Folder${f}
  for i in {001..1000}; do
    echo hello > "Folder${f}/File${i}.txt"
  done
done
echo 3 > /proc/sys/vm/drop_caches ; sync
EOF
chmod 777 ./createfiles.sh
./createfiles.sh

ランサムウェア実行

Cloud Secure Agentのランサムウェアシュミレートスクリプトを実行します。

cd /opt/netapp/cloudsecure/agent/install
./ransomware_simulator.sh -e -i /fsx

Cloud Secure確認

Linuxでも暗号化処理開始後、1分程度で動作していることが確認できます。

$ ls -l /fsx/.snapshot/cloudsecure_attack_auto_1656491629570/Folder6
total 0
-rw-rw-r-- 1 testuser2 testuser2 32 Jun 29 08:33 File0001.txt.crypt
-rw-rw-r-- 1 testuser2 testuser2 32 Jun 29 08:33 File0002.txt.crypt
-rw-rw-r-- 1 testuser2 testuser2 32 Jun 29 08:33 File0003.txt.crypt
-rw-rw-r-- 1 testuser2 testuser2 32 Jun 29 08:33 File0004.txt.crypt
-rw-rw-r-- 1 testuser2 testuser2 32 Jun 29 08:33 File0005.txt.crypt
-rw-rw-r-- 1 testuser2 testuser2 32 Jun 29 08:33 File0006.txt.crypt
-rw-rw-r-- 1 testuser2 testuser2 32 Jun 29 08:33 File0007.txt.crypt
-rw-rw-r-- 1 testuser2 testuser2 32 Jun 29 08:33 File0008.txt.crypt
...
-rw-rw-r-- 1 testuser2 testuser2 32 Jun 29 08:33 File0117.txt.crypt
-rw-rw-r-- 1 testuser2 testuser2 32 Jun 29 08:33 File0118.txt.crypt
-rw-rw-r-- 1 testuser2 testuser2 32 Jun 29 08:33 File0119.txt.crypt
-rw-rw-r-- 1 testuser2 testuser2 32 Jun 29 08:33 File0120.txt.crypt
-rwxrwxrwx 1 ec2-user  ec2-user   6 Jun 29 08:09 File0121.txt
-rwxrwxrwx 1 ec2-user  ec2-user   6 Jun 29 08:09 File0122.txt
-rwxrwxrwx 1 ec2-user  ec2-user   6 Jun 29 08:09 File0123.txt
-rwxrwxrwx 1 ec2-user  ec2-user   6 Jun 29 08:09 File0124.txt
-rwxrwxrwx 1 ec2-user  ec2-user   6 Jun 29 08:09 File0125.txt
...
-rwxrwxrwx 1 ec2-user  ec2-user   6 Jun 29 08:09 File0995.txt
-rwxrwxrwx 1 ec2-user  ec2-user   6 Jun 29 08:09 File0996.txt
-rwxrwxrwx 1 ec2-user  ec2-user   6 Jun 29 08:09 File0997.txt
-rwxrwxrwx 1 ec2-user  ec2-user   6 Jun 29 08:09 File0998.txt
-rwxrwxrwx 1 ec2-user  ec2-user   6 Jun 29 08:09 File0999.txt
-rwxrwxrwx 1 ec2-user  ec2-user   6 Jun 29 08:09 File1000.txt

timestampはUTC

ちなみにコンソール上からも暗号化ファイルを確認することができます。
Encrypted Filesのカウント数を選択いただくとForensicsの画面に遷移し、暗号化対象ファイルの詳細を確認することができます。

ONTAP snapshotを確認すると、こちらも実際より暗号化ファイルが少ないことが確認できます。

$ ls -l /fsx/.snapshot/cloudsecure_attack_auto_1656491629570/Folder6
total 0
-rw-rw-r-- 1 testuser2 testuser2 32 Jun 29 08:33 File0001.txt.crypt
-rw-rw-r-- 1 testuser2 testuser2 32 Jun 29 08:33 File0002.txt.crypt
-rw-rw-r-- 1 testuser2 testuser2 32 Jun 29 08:33 File0003.txt.crypt
-rw-rw-r-- 1 testuser2 testuser2 32 Jun 29 08:33 File0004.txt.crypt
-rw-rw-r-- 1 testuser2 testuser2 32 Jun 29 08:33 File0005.txt.crypt
-rw-rw-r-- 1 testuser2 testuser2 32 Jun 29 08:33 File0006.txt.crypt
-rw-rw-r-- 1 testuser2 testuser2 32 Jun 29 08:33 File0007.txt.crypt
-rw-rw-r-- 1 testuser2 testuser2 32 Jun 29 08:33 File0008.txt.crypt
...
-rw-rw-r-- 1 testuser2 testuser2 32 Jun 29 08:33 File0020.txt.crypt
-rw-rw-r-- 1 testuser2 testuser2 32 Jun 29 08:33 File0021.txt.crypt
-rw-rw-r-- 1 testuser2 testuser2 32 Jun 29 08:33 File0022.txt.crypt
-rw-rw-r-- 1 testuser2 testuser2 32 Jun 29 08:33 File0023.txt.crypt
-rwxrwxrwx 1 ec2-user  ec2-user   6 Jun 29 08:09 File0024.txt
-rw-rw-r-- 1 testuser2 testuser2  0 Jun 29 08:33 File0024.txt.crypt
-rwxrwxrwx 1 ec2-user  ec2-user   6 Jun 29 08:09 File0025.txt
-rwxrwxrwx 1 ec2-user  ec2-user   6 Jun 29 08:09 File0026.txt
-rwxrwxrwx 1 ec2-user  ec2-user   6 Jun 29 08:09 File0027.txt
-rwxrwxrwx 1 ec2-user  ec2-user   6 Jun 29 08:09 File0028.txt
-rwxrwxrwx 1 ec2-user  ec2-user   6 Jun 29 08:09 File0029.txt
-rwxrwxrwx 1 ec2-user  ec2-user   6 Jun 29 08:09 File0030.txt
...
-rwxrwxrwx 1 ec2-user  ec2-user   6 Jun 29 08:09 File0995.txt
-rwxrwxrwx 1 ec2-user  ec2-user   6 Jun 29 08:09 File0996.txt
-rwxrwxrwx 1 ec2-user  ec2-user   6 Jun 29 08:09 File0997.txt
-rwxrwxrwx 1 ec2-user  ec2-user   6 Jun 29 08:09 File0998.txt
-rwxrwxrwx 1 ec2-user  ec2-user   6 Jun 29 08:09 File0999.txt
-rwxrwxrwx 1 ec2-user  ec2-user   6 Jun 29 08:09 File1000.txt

最後に

攻撃から検知まで数分程度(学習内容次第)で行ってくれることを再度確認することができました。

適切なONTAP snapshotの設定とCloud Secureを組み合わせることで、万が一の事態にもデータ損失の影響を少なくすることができると思います。

ぜひ、NetAppサービスを組み合わせてランサムウェア対策を実施いただければと思います。

以上、たかやまでした。