performing-ransomware-tabletop-exercise

规划并主持模拟勒索软件(Ransomware)事件的桌面推演,以测试组织的应急准备、决策能力和通信流程。基于当前勒索软件威胁行为者(LockBit、ALPHV/BlackCat、Cl0p)设计真实场景,涵盖双重勒索(Double Extortion)、备份销毁和法规通知要求等注入内容。依据 NIST CSF 和 CISA 指南评估参与者响应。适用于勒索软件桌面推演、事件响应演练或勒索软件应急准备演习等请求。

9 stars

Best use case

performing-ransomware-tabletop-exercise is best used when you need a repeatable AI agent workflow instead of a one-off prompt.

规划并主持模拟勒索软件(Ransomware)事件的桌面推演,以测试组织的应急准备、决策能力和通信流程。基于当前勒索软件威胁行为者(LockBit、ALPHV/BlackCat、Cl0p)设计真实场景,涵盖双重勒索(Double Extortion)、备份销毁和法规通知要求等注入内容。依据 NIST CSF 和 CISA 指南评估参与者响应。适用于勒索软件桌面推演、事件响应演练或勒索软件应急准备演习等请求。

Teams using performing-ransomware-tabletop-exercise should expect a more consistent output, faster repeated execution, less prompt rewriting.

When to use this skill

  • You want a reusable workflow that can be run more than once with consistent structure.

When not to use this skill

  • You only need a quick one-off answer and do not need a reusable workflow.
  • You cannot install or maintain the underlying files, dependencies, or repository context.

Installation

Claude Code / Cursor / Codex

$curl -o ~/.claude/skills/performing-ransomware-tabletop-exercise/SKILL.md --create-dirs "https://raw.githubusercontent.com/killvxk/cybersecurity-skills-zh/main/skills/performing-ransomware-tabletop-exercise/SKILL.md"

Manual Installation

  1. Download SKILL.md from GitHub
  2. Place it in .claude/skills/performing-ransomware-tabletop-exercise/SKILL.md inside your project
  3. Restart your AI agent — it will auto-discover the skill

How performing-ransomware-tabletop-exercise Compares

Feature / Agentperforming-ransomware-tabletop-exerciseStandard Approach
Platform SupportNot specifiedLimited / Varies
Context Awareness High Baseline
Installation ComplexityUnknownN/A

Frequently Asked Questions

What does this skill do?

规划并主持模拟勒索软件(Ransomware)事件的桌面推演,以测试组织的应急准备、决策能力和通信流程。基于当前勒索软件威胁行为者(LockBit、ALPHV/BlackCat、Cl0p)设计真实场景,涵盖双重勒索(Double Extortion)、备份销毁和法规通知要求等注入内容。依据 NIST CSF 和 CISA 指南评估参与者响应。适用于勒索软件桌面推演、事件响应演练或勒索软件应急准备演习等请求。

Where can I find the source code?

You can find the source code on GitHub using the link provided at the top of the page.

SKILL.md Source

# 执行勒索软件桌面推演

## 适用场景

- 每年或在重大基础设施变更后测试组织的勒索软件响应流程
- 验证勒索赎金支付、法规通知和公开披露的决策流程
- 培训高管、IT、法务、公关和运营团队了解其在勒索软件事件中的职责
- 满足网络保险政策对有据可查的事件响应测试要求
- 识别恢复手册(Playbook)、通信计划和备份流程中的不足

**不适用于**技术控制测试。桌面推演(Tabletop Exercise)验证流程和决策,而非技术检测或预防能力。

## 前置条件

- 参与者在演练前应已阅读的书面事件响应计划(IRP)
- 已确认参与者来自:高管层、IT/安全、法务、通信/公关、人力资源、运营部门及外部法律顾问
- 独立于应急响应团队的主持人(以提供客观评估)
- 设计包含多轮递进注入内容的勒索软件场景
- 与 NIST CSF 响应/恢复功能相对应的评估标准
- 2-4小时不受干扰的会议室或虚拟会议

## 工作流程

### 步骤 1:设计演练场景

基于当前威胁行为者 TTP 构建真实场景:

**场景结构:**
```
阶段 1:初始检测(30 分钟)
  - SOC 收到文件服务器上可疑进程执行的告警
  - EDR 在 3 台工作站上检测到 Cobalt Strike 信标
  - 注入:外部威胁情报报告将 C2 IP 与 LockBit 附属机构关联

阶段 2:升级(30 分钟)
  - 勒索软件在夜间对 40% 的服务器执行加密
  - 勒索信要求在 72 小时期限内支付 200 万美元比特币
  - 注入:攻击者联系媒体声称窃取了客户 PII 数据

阶段 3:决策点(45 分钟)
  - 备份评估显示不可变副本完好,但主备份已被加密
  - 法务就违规通知时间表提供建议(GDPR 72 小时,美国各州不同)
  - 注入:威胁行为者在泄露站点上发布部分被盗数据样本

阶段 4:恢复与通信(45 分钟)
  - 恢复时间估计:从不可变备份恢复需 5-7 天
  - 保险公司介入并聘请谈判公司
  - 注入:主要客户威胁称如未在 24 小时内收到更新将终止合同
```

**需要自定义的场景变量:**
- 威胁行为者组织及已知 TTP
- 基础设施被加密的百分比
- 备份是否完好、部分受损或完全被删除
- 外泄数据类型(PII、PHI、财务数据、商业机密)
- 适用的监管框架(GDPR、HIPAA、PCI DSS、SEC 规则)
- 赎金金额和支付期限

### 步骤 2:准备演练材料

为参与者创建以下文件:

1. **演练概述简报** - 基本规则、目标、范围和参与者
2. **态势报告(SITREP)** - 每个阶段一份,随演练进程分发
3. **注入卡片** - 在特定时间引入的新信息,强制进行决策
4. **决策点工作表** - 用于记录小组决策的结构化表单
5. **评估记分卡** - 评估响应质量的标准

**需纳入的关键决策点:**
- 何时启动事件响应团队
- 是全面关闭系统还是选择性遏制
- 是否联系执法机构(FBI IC3、CISA)
- 是否支付赎金及在何种条件下支付
- 何时以何种方式通知监管机构、客户和公众
- 如何确定系统恢复优先顺序

### 步骤 3:主持演练

**主持人职责:**
- 呈现每个阶段场景并分发 SITREP
- 在预定时间引入注入内容以增加压力
- 提出探究性问题以测试决策推理
- 确保所有参与者组别都有发言(防止 IT 团队主导)
- 记录所有决策、理由和行动项目
- 追踪时间管理(许多团队在早期阶段耗费过多时间)

**各阶段探究性问题:**

阶段 1 - 检测:
- 谁负责宣布事件?触发标准是什么?
- 我们如何从初始告警确定受损范围?
- 我们是否具备取证能力来调查,还是需要外部帮助?

阶段 2 - 升级:
- 我们对员工的通信计划是什么?他们是否知道不要开启受影响的机器?
- 我们是否已隔离网络以防止进一步加密?
- 谁有权授权影响业务运营的系统关闭?

阶段 3 - 决策:
- 在什么条件下我们会考虑支付赎金?
- 此时的法律通知义务是什么?
- 我们如何处理客户数据的公开泄露?

阶段 4 - 恢复:
- 恢复优先顺序是什么?是有文档记录的还是临时决定的?
- 关键业务运营多久能恢复?
- 执法机构和保险所需的证据保全有哪些要求?

### 步骤 4:评估和对响应评分

针对定义的标准对每个职能领域进行评分:

| 评估领域 | 评分(1-5)| 标准 |
|---------|-----------|------|
| 检测与升级 | | 及时宣布事件,正确的指挥链 |
| 遏制 | | 网络隔离、凭据重置、范围评估 |
| 对内通信 | | 员工通知、高管简报、决策记录 |
| 对外通信 | | 监管通知、客户沟通、媒体响应 |
| 恢复规划 | | 备份验证、恢复优先级、RTO 追踪 |
| 法律与合规 | | 违规通知时间表、证据保全、执法介入 |
| 业务连续性 | | 手工操作、客户影响缓解、收入损失估算 |
| 支付决策 | | 结构化框架、法律审查、OFAC 制裁检查 |

### 步骤 5:记录发现与整改计划

在 5 个工作日内制作事后分析报告(AAR):

**AAR 内容:**
1. 演练概述和目标
2. 场景摘要和注入内容
3. 已做出的关键决策及其依据
4. 观察到的优势
5. 已识别的差距及严重性评级
6. 含责任人和截止日期的整改行动
7. 与往次演练结果的比较(如适用)

## 核心概念

| 术语 | 定义 |
|------|------|
| **桌面推演(Tabletop Exercise, TTX)** | 基于讨论的演练,参与者逐步演练模拟事件场景以测试计划和流程 |
| **注入(Inject)** | 演练过程中引入的新信息,用于改变场景并迫使进行额外决策 |
| **态势报告(SITREP)** | 在每个演练阶段提供模拟事件当前状态的情况报告 |
| **事后分析报告(After-Action Report, AAR)** | 记录发现、差距、优势和整改行动的演练后文件 |
| **双重勒索(Double Extortion)** | 勒索软件战术,攻击者同时加密数据并威胁公开被盗数据,除非支付赎金 |
| **OFAC 检查(OFAC Check)** | 验证赎金支付接收方不在美国财政部 OFAC 制裁名单上,否则支付将违法 |

## 工具与系统

- **CISA 桌面推演包(CTEPs)**:CISA 为关键基础设施行业设计的免费场景包
- **FEMA 国土安全演练与评估计划(HSEEP)**:设计、开展和评估演练的方法论
- **Immersive Labs**:提供实时评分的互动式网络危机模拟平台
- **桌面演练场景(来自英国 NCSC)**:提供免费引导式桌面推演的 Exercise in a Box 工具
- **勒索软件准备度评估(CISA)**:评估勒索软件准备情况的自评工具

## 常见场景

### 场景:医疗系统双重勒索演练

**场景背景**:一家拥有 5 家医院的医疗系统开展年度勒索软件桌面推演。上次演练发现了 HIPAA 违规通知和临床系统恢复优先级方面的差距。本年度场景模拟针对 EMR 系统的双重勒索攻击。

**方法**:
1. 基于 Cl0p MOO(托管运营操作者)TTP 设计场景:利用 MOVEit 漏洞获得初始访问权限,外泄 50 万条患者记录,随后加密 EMR 数据库服务器
2. 参与者:CISO、CIO、CMO(首席医疗官)、总法律顾问、副总裁通信、临床运营总监、隐私官员、外部应急响应公司代表
3. 阶段 1 注入:EMR 系统宕机,急诊科将患者转至邻近医院
4. 阶段 2 注入:HHS OCR(民权办公室)就暗网上患者数据报告联系该组织
5. 阶段 3 注入:攻击者提供解密密钥样本,要求 350 万美元,48 小时期限
6. 关键发现:组织缺乏记录在案的赎金支付决策标准,且未预先识别符合 OFAC 要求的支付机制
7. 整改措施:建立支付决策框架,预先聘请勒索软件谈判公司,更新包含具体时间表的 HIPAA 违规通知程序

**常见陷阱**:
- 设计不反映实际勒索软件 TTP 的不切实际场景,降低演练可信度
- 允许技术团队主导演练而业务和法律参与者保持被动
- 未测试通信计划(许多组织在真实事件中才发现通知名单已过期)
- 未跟进 AAR 中识别的整改行动,使演练价值落空

## 输出格式

```
## 勒索软件桌面推演 - 事后分析报告

**演练日期**: [日期]
**主持人**: [姓名]
**场景**: [简要描述]
**持续时间**: [小时数]
**参与者**: [按部门统计人数]

### 演练目标
1. [目标] - 已达成 / 部分达成 / 未达成
2. [目标] - 已达成 / 部分达成 / 未达成

### 关键决策日志
| 时间 | 决策点 | 已做决策 | 依据 | 评估 |
|------|--------|---------|------|------|

### 观察到的优势
1. [优势]

### 已识别的差距
| 差距 | 严重性 | 受影响领域 | 当前状态 | 期望状态 |
|------|--------|-----------|---------|---------|

### 整改行动
| 行动 | 责任人 | 截止日期 | 优先级 | 状态 |
|------|--------|---------|--------|------|

### 与往次演练比较
| 领域 | 上次评分 | 本次评分 | 趋势 |
|------|---------|---------|------|
```

Related Skills

reverse-engineering-ransomware-encryption-routine

9
from killvxk/cybersecurity-skills-zh

对勒索软件加密例程进行逆向工程,以识别密码学算法、密钥生成缺陷,以及通过静态和动态分析挖掘潜在的解密机会。

recovering-from-ransomware-attack

9
from killvxk/cybersecurity-skills-zh

按照 NIST 和 CISA 框架执行结构化勒索软件事件恢复,包括环境隔离、取证证据保全、 干净基础设施重建、从已验证备份优先还原系统、凭据重置,以及针对再感染的验证。 涵盖 Active Directory 恢复、数据库还原和按依赖顺序重建应用栈。

performing-yara-rule-development-for-detection

9
from killvxk/cybersecurity-skills-zh

通过识别可执行文件中的唯一字节模式、字符串和行为指标,开发精准的 YARA 恶意软件检测规则,同时将误报率降至最低。

performing-wireless-security-assessment-with-kismet

9
from killvxk/cybersecurity-skills-zh

使用 Kismet 通过被动射频监控进行无线网络安全评估,检测流氓接入点(Rogue AP)、隐藏 SSID、弱加密和未授权客户端。

performing-wireless-network-penetration-test

9
from killvxk/cybersecurity-skills-zh

执行无线网络渗透测试,通过捕获握手包、破解 WPA2/WPA3 密钥、检测流氓接入点以及使用 Aircrack-ng 和相关工具测试无线网络分段,评估 WiFi 安全性。

performing-windows-artifact-analysis-with-eric-zimmerman-tools

9
from killvxk/cybersecurity-skills-zh

使用 Eric Zimmerman 的开源 EZ Tools 套件(包括 KAPE、MFTECmd、PECmd、LECmd、JLECmd 和 Timeline Explorer)执行全面的 Windows 取证制品分析,解析注册表 hive、预取文件、事件日志和文件系统元数据。

performing-wifi-password-cracking-with-aircrack

9
from killvxk/cybersecurity-skills-zh

在授权无线安全评估中捕获 WPA/WPA2 握手包,并使用 aircrack-ng、hashcat 和字典攻击进行离线密码破解, 以评估密码短语强度和无线网络安全状况。

performing-web-cache-poisoning-attack

9
from killvxk/cybersecurity-skills-zh

在授权安全测试期间,通过未纳入缓存键的头部和参数毒化缓存响应,利用 Web 缓存机制向其他用户投递恶意内容。

performing-web-cache-deception-attack

9
from killvxk/cybersecurity-skills-zh

通过利用 CDN 缓存层与源服务器之间的路径规范化差异,执行 Web 缓存欺骗攻击,从而缓存并获取敏感的已认证内容。

performing-web-application-vulnerability-triage

9
from killvxk/cybersecurity-skills-zh

使用 OWASP 风险评级方法论对 DAST/SAST 扫描器的 Web 应用程序漏洞发现进行分类,区分真阳性和假阳性,并确定修复优先级。

performing-web-application-scanning-with-nikto

9
from killvxk/cybersecurity-skills-zh

Nikto 是一款开源 Web 服务器和 Web 应用程序扫描器,可针对超过 7,000 个潜在危险文件/程序进行测试,检查超过 1,250 个服务器的过期版本,并识别超过 270 个服务器的版本特定问题。

performing-web-application-penetration-test

9
from killvxk/cybersecurity-skills-zh

遵循 OWASP Web 安全测试指南(WSTG)方法论,对 Web 应用程序执行系统化安全测试,识别认证、授权、 输入验证、会话管理和业务逻辑中的漏洞。测试人员以 Burp Suite 作为主要拦截代理,结合手动测试技术 发现自动化扫描器遗漏的缺陷。适用于 Web 应用渗透测试、OWASP 测试、应用安全评估或 Web 漏洞测试等请求场景。