Infection Monkey中文使用教程Infection Monkey 各種攻擊情況及使用技巧
當您的網絡已被面向Internet的服務器破壞
無論攻擊你的是面向互聯網的數據庫服務器的Hex-man運動、攻擊WordPress站點的加密操作,還是任何其他惡意活動-攻擊者現在都試圖進入你的網絡。
使用Monkey模擬此場景
為了模擬這種破壞情況,請在承載面向Internet的服務(例如Web服務器(Apache,Tomcat,NGINX…))的不同計算機上執行Infection Monkey。
執行Monkey之后,使用報告頁面中的信息評估此模擬的結果。您可以找到模擬發現的最重要內容的摘要、Monkey 所有發現的詳細報告等等。您還可以使用Infection Map通過網絡分析 Monkey 的進度,并查看每只 Monkey 的詳細遙測和日志。
您是網絡釣魚欺詐的最新受害者!
幾乎每個人都容易遭受網絡釣魚攻擊。如我們的報告所示,成功進行網絡釣魚嘗試的結果可能會非常昂貴對IEncrypt的響應。
這種情況始于網絡的一個潛在的網絡釣魚地點。網絡釣魚攻擊針對的是人類用戶-因此,這些類型的攻擊試圖通過員工使用的服務來滲透網絡,例如帶有附加惡意軟件的電子郵件或帶有重定向到惡意網站的鏈接的社交媒體消息。這些只是攻擊者可能在何處以及如何選擇發起其競選活動的兩個示例。
使用Monkey模擬這種情況
要使用 Infection Monkey模擬成功的網絡釣魚攻擊所造成的破壞,請從可能有問題的計算機組中選擇網絡中的計算機,例如您的一個重度電子郵件用戶或一個強大的IT用戶(例如更有可能與您單位外部的人保持聯系)。
- 設置Island 后,將用戶的真實憑據(用戶名和密碼)添加到Monkey的配置中(不用擔心,該敏感數據不可訪問,除了發送給Monkey以外,不會以其他任何方式分發或使用,并且可以通過重置Monkey Island的配置輕松消除)。現在,您可以模擬攻擊者嘗試使用“成功”誘騙的憑據在網絡中進行更深入的探測。
- 您可以按以下方式為Monkey配置這些憑據:從Island的配置的“基本-憑據”選項卡的“漏洞利用密碼列表”下,按“ +”按鈕并添加您希望Monkey使用的密碼。對“利用用戶列表”中的用戶名執行相同的操作。
在為Monkey提供密碼和用戶名后,從模擬的“受害者”機器執行猴子。為此,請從左側邊欄菜單中單擊“ 2. Run Monkey ”,然后選擇“ 在您選擇的計算機上運行 ”。
您想測試網絡分段
分段是一種在數據中心和云部署中創建安全區域的方法,該方法使公司可以將工作負載彼此隔離,并通常使用策略分別保護它們。測試分段有效性的一種有用方法是確保正確隔離網段,例如,將開發與生產分離,將應用程序彼此分離,等等。“進行安全性測試是為了驗證您的網絡分段配置正確。這樣,您可以確保即使某個攻擊者違反了防御措施,也不會從A點向B點橫向移動。
細分是關鍵保護您的網絡,減少攻擊面并最大程度地減少破壞的破壞。Monkey可以通過其跨細分流量測試功能幫助您測試細分設置。
使用Monkey模擬這種情況
例如,以下配置可確保“ 10.0.0.0/24”段(段A)和“ 11.0.0.2/32”段(段B)中的機器無法相互通信,另外機器在13.37.41.50中。
您想驗證安全解決方案,團隊是否按預期工作
Infection Monkey可以幫助您驗證安全解決方案是否按預期的方式工作。其中可能包括您的IR和SOC團隊,您的SIEM,您的防火墻,您的終結點安全解決方案等等。
使用猴子模擬這種情況
使用您喜歡的任何配置運行Monkey。在許多情況下,默認值足夠好;但是例如,您可以添加一些舊用戶和密碼。還建議在Island和網絡中的其他一些計算機上運行Monkey,因為它會增加覆蓋范圍和傳播速率。
運行Monkey后,在Monkey Island’s infection map跟隨Monkey的動作。
現在,您可以將該活動從Monkey時間軸顯示與內部SIEM進行匹配,并確保您的安全解決方案能夠識別并正確警告各種攻擊。
- 紅色箭頭表示開發成功。如果看到紅色箭頭,則應將這些事件報告為利用嘗試,因此請檢查是否正按預期從安全系統收到警報。
- 橙色箭頭表示掃描活動,攻擊者通常使用掃描活動來定位潛在的漏洞。如果看到橙色箭頭,則應將這些事件報告為掃描嘗試(并且可能是違反分段的行為)。
- 藍色箭頭指示tunneling 活動,攻擊者通常使用該tunneling 活動從Internet滲透“受保護”的網絡。也許有人試圖繞過防火墻來訪問網絡中受保護的服務?檢查您的微分段/防火墻解決方案是否識別或報告任何內容。
在運行此方案時,請注意應該采取的措施:您是否接到電話告訴您網絡內部有可疑活動?事件會流入您的安全事件聚合器嗎?您是否從IR團隊收到電子郵件?您在網絡中的計算機上安裝的端點保護軟件是否報告任何內容?您的合規掃描儀是否檢測到任何錯誤?
使用技巧
以下是一些技巧,可以幫助您進一步推動Infection Monkey:
- 確保將Monkey配置為掃描其本地網絡,但此外,還要為它配置特定的目標。要添加這些目標,請使用
+按鈕將其IP地址(或它們所在的IP范圍)添加到“掃描IP /子網”列表。以下是實現此目標的示例:
- 每個網絡都有其舊的“萬能鑰匙”,應該早就丟棄了。使用舊的和過時的密碼配置Monkey,但是請確保使用Monkey確實將其丟棄。要添加舊密碼,請在該島的配置中轉到“Basic - Credentials”下的“利用密碼列表”,然后使用“ +”按鈕將舊密碼添加到配置中。例如,在這里,我們為配置添加了一些額外的密碼(以及用戶名):
要查看Monkey在您的服務器上實時執行的信息,請添加“ breast-breach”操作命令:wall “Infection Monkey was here”。此違規后命令將在Monkey違反的服務器上的所有打開的終端上廣播消息,以實現以下目的:讓您知道Monkey在服務器上成功運行。讓您可以跟蹤感染地圖旁邊的“實時”漏洞,并檢查網絡中哪些終端已被記錄和監控。見下文:
推薦文章: