harbyadm
Goto Top

Backup vor Verschlüsslungstrojaner schützen -Test

Hallo und Guten Morgen,

Folgendes Szenario:
Ich sichere einige phys. Maschinen ( W10) per Veeam Endpoint Free auf ein Netzwerk Share.
Hier hat kein lokaler Benutzer Zugriff auf die Freigabe , nur der im Veeam angegebener Benutzer . Dieser Benutzer gibt es nur für Veeam und ist Administrator.
Der Zugriff ist auf Ordner Ebene Sicherheit nur für System und dem Veeamadmin erlaubt. Besitzer ist auch der Veeam Admin
Das läuft seit Monaten problemlos. Beim starten der Maschinen machen die ein Backup und senden mir eine Mail. Soweit so gut.
Sinn soll sein das auch beim Befall der Win10 Rechner mit einen Verschlüsslungtrojaner das Backup intakt bleibt auf Grund der fehlenden Zugriffsrechte.
Jetzt würde ich die Sache mal gerne Testen...Es gibt ja auch Test Viren aber gibt es auch Test Verschlüssungstrojaner????
Zu diesem Zweck habe ich mal in einem sep. Netzwerk einen W10 Honigtopf Rechner gestellt und einen neue E-Mail Adresse eingerichtet und warte auf DIE Mail.
Das klappt aber nicht. Wahrscheinlich ist die Email Adresse zu neu.
Hat jemand ein Idee wie man so was testet??
Gruss HAR

P.S: ich hoffe ich habe keine relevanten Infos vergessen, sonst liefere ich die gerne nach

Content-ID: 530706

Url: https://administrator.de/contentid/530706

Ausgedruckt am: 24.11.2024 um 10:11 Uhr

LordGurke
LordGurke 03.01.2020 um 08:47:58 Uhr
Goto Top
Konzeptionell:
Solange irgendwer Schreibzugriff auf die vorhandenen Backups hat, kann damit auch verschlüsselt werden.
Wenn du dich davor schützen willst musst du dafür sorgen, dass die Daten nach einem erfolgreichen Backup entweder für alle Nutzer unveränderlich werden oder besser komplett aus der Netzwerkfreigabe verschoben werden.
Oder du legst eine Kopie der letzten erfolgreichen Sicherung irgendwo ab, wo wirklich kein Netzwerkzugriff besteht.
Ob das mit Veeam so umsetzbar wäre müsste jemand beantworten, der es einsetzt — aber rein grundsätzlich: Wenn es eine Möglichkeit gibt, die vorhandenen Backups per Netzwerk zu verändern (egal mit welchen Benutzerkonten) hast du grundsätzlich kein sicheres Backup.

Und auf Mails mit Verschlüsselungstrojanern zu warten halte ich für reichlich sinnlos.
Nur weil vielleicht heute dein Konzept mit einem Trojaner standhält, kann es morgen schon mit einem anderen zusammenfallen.
StefanKittel
StefanKittel 03.01.2020 aktualisiert um 10:09:23 Uhr
Goto Top
Hallo,
jeder Admin kann alle Berechtigungen ersetzen.

Ich verwende bei den kleinen Kunden ein NAS wo nur die Backupsoftware die Zugangsdaten gespeichert hat.
Bei größeren dann einen Backup-Server wo die Zugangsdaten nirgendwo gespeichert sind (Pull).

Stefan

Nachtrag: Von dort werden die Daten auf externe Medien die offline gelagert und getauscht werden oder ins RZ repliziert.
radiogugu
radiogugu 03.01.2020 um 09:31:22 Uhr
Goto Top
Hallo.

Hier sollte man mit größter Vorsicht agieren. Solche Testszenarien sind schnell aus dem Ruder gelaufen.

Eine aktive Netzwerkfreigabe wird ausgespäht und verschlüsselt werden können.

Wie StefanKittel nutze auch ich ein NAS als Backup Ziel, welches mit iSCSi an den zu sichernden PC / Server vor der Sicherung verbunden wird. Nach der Sicherungsaufgabe wird dem Laufwerk der Laufwerksbuchstabe entzogen und ist somit für Windows nicht mehr vorhanden.

Gruß
Radiogugu
maretz
maretz 03.01.2020 um 09:42:07 Uhr
Goto Top
Ich würde in jedem Fall in so einem Konstrukt auch min 1x / Woche die Daten auf ner externen Disk oder sonstwas wirklich "offline" machen. Selbst wenn du dir 4 oder 8 USB-Disks holst ist das Geldmässig kein Problem -> und du hast bei nem Problem immer noch eine Version irgendwo im Safe die ganz sicher vor jedem Trojaner ist.... Und einmal pro Woche nen Gerät an den Server hängen sollte grad noch so machbar sein
Coreknabe
Coreknabe 03.01.2020 aktualisiert um 09:48:07 Uhr
Goto Top
Moin,

die Idee mit dem Honeypot halte ich für nicht sonderlich schlau. Vorsichtig ausgedrückt.
Wie die Vorredner schon sagen, selbst wenn Du einen "Test-Trojaner" bekommst, morgen sehen die wieder anders aus und verhalten sich auch anders. Apropos Verhalten, woher weißt Du denn, was der Trojaner macht, wenn Du ihn "bewusst einsetzt"?
Kurz: Extrem dumme Idee, lass es.

Zu Deiner Frage gibt es sogar ein offizielles Veeam-Statement:
https://www.veeam.com/blog/how-to-avoid-losing-data-veeam-endpoint-backu ...

Oder hier:
https://www.veeam.com/wp-veeam-availability-suite-protection-against-ran ...

Auch sonst gibt es genügend Lesestoff, einfach mal googeln:
https://bent-blog.de/veeam-agent-fuer-windows-zum-schutz-vor-ransomware/

Gruß
Fennek11
Fennek11 03.01.2020 um 09:56:20 Uhr
Goto Top
Hallo,

führe ein "Pentesting" mit einem selbst-geschriebenem Code durch. Wenn es gelingt auch einen ganz "friedlichen" Code auf dem back-up Server auszuführen, ginge es auch mit einem Virus/Trojaner.

mfg
beidermachtvongreyscull
beidermachtvongreyscull 03.01.2020 aktualisiert um 09:58:55 Uhr
Goto Top
Zitat von @harbyadm:
Hallo und Guten Morgen,

Moin,

Zitat von @harbyadm:
Folgendes Szenario:
Ich sichere einige phys. Maschinen ( W10) per Veeam Endpoint Free auf ein Netzwerk Share.

Hier wäre interessant zu wissen, welches OS das Netzwerkshare betreibt und ob die betreffende Instanz Mitglied einer Domäne ist.

Zitat von @harbyadm:
Hier hat kein lokaler Benutzer Zugriff auf die Freigabe , nur der im Veeam angegebener Benutzer . Dieser Benutzer gibt es nur für Veeam und ist Administrator.
Der Zugriff ist auf Ordner Ebene Sicherheit nur für System und dem Veeamadmin erlaubt. Besitzer ist auch der Veeam Admin

Scheint ein Windowsserver zu sein, wohl auch Domänenmitglied.

Zitat von @harbyadm:
Das läuft seit Monaten problemlos. Beim starten der Maschinen machen die ein Backup und senden mir eine Mail. Soweit so gut.
Sinn soll sein das auch beim Befall der Win10 Rechner mit einen Verschlüsslungtrojaner das Backup intakt bleibt auf Grund der fehlenden Zugriffsrechte.

Hier wird es spannend. Kommt der Trojaner durch Sicherheitslücken ins System, besteht die Möglichkeit, dass er in jedem Nutzerkontext herumspringt oder er ist so schlau programmiert und weiß, welcher Nutzer er sein muss, um dieses Share zu killen.

Zitat von @harbyadm:
Jetzt würde ich die Sache mal gerne Testen...Es gibt ja auch Test Viren aber gibt es auch Test Verschlüssungstrojaner????
Zu diesem Zweck habe ich mal in einem sep. Netzwerk einen W10 Honigtopf Rechner gestellt und einen neue E-Mail Adresse eingerichtet und warte auf DIE Mail.

Das ist für mich der reinste Wahnsinn. Ich würde niemals den Teufel einladen, auch nicht zum Test.

Zitat von @harbyadm:
Das klappt aber nicht. Wahrscheinlich ist die Email Adresse zu neu.

Na Gott sei's gepfiffen...

Zitat von @harbyadm:
Hat jemand ein Idee wie man so was testet??

Ich nicht.

Wenn Du aber so richtig paranoid sein willst wie ich, dann sichere doch per (S)FTP. IM FTP kannst Du als Recht einstellen, dass Dateien zwar erstellt, aber nicht geändert oder gelöscht werden können. Wenn der FTP dann noch auf Linux oder Unix aufgebaut und sauber abgesichert ist, brauchst Du Dir aus meiner Sicht keine größeren Sorgen mehr zu machen.
SeaStorm
SeaStorm 03.01.2020 aktualisiert um 12:25:30 Uhr
Goto Top
Das ist Recht simpel: ist das Backupvolumen per Netzwerk erreichbar, kannst du es als unsicher ansehen.
Es nur kurzfristig per iscsi einbinden oder solche Sachen, ist nur eine Linderungsmassnahme.
Heutzutage sind das nicht mehr nur dumme Scripts die da ablaufen und platt machen, was sie grad finden. Schau dir Mal den Hack der Messe Stuttgart an. Die Angreifer haben da über einen infizierten Rechner Zugang bekommen, haben sich dann in das restliche Netz gebohrt und dann Monate lang alles ausgespäht. Die wussten alles über das Backup-System. Als sie zugeschlagen haben, haben sie alle Off-site Backups gelöscht. Weil diese permanent per Zugangsdaten zu erreichen sind( Cloud Backup Speicher ).
Damit wären dann alle Daten futsch.

Das lässt sich nur über echte Offline Backups lösen. Sichern und das Sicherungsmedium in einen Safe legen. Zu Deutsch: Bandsicherung.

Was gesichert wurde, liegt unerreichbar ausserhalb jeglichen Netzwerkzugriffes.
Wenn man jetzt noch die Backup Infrastruktur in ein eigenes isoliertes Netz hängt und nicht in der Domäne betreibt, dann sollte sich da so schnell keiner dran zu schaffen machen können.
Und ja, so betreibe ich das.
Die Backups werden per Pull vom Server geholt. Es gibt einen Rechner der im entsprechenden Netz hängt und nur von dem aus lässt sich der Server verwalten.
Backups werden auf Disk und von da auf Band geschrieben. Jede Woche gibt es einen Export der synthetic Full backups die in einen Schrank wandern und nach 6 Monaten rotieren. Jeden Monat gibt es ein Full Backup, das in den Safe wandert und da bleibt.
Henere
Henere 03.01.2020 um 17:26:37 Uhr
Goto Top
Zitat von @radiogugu:
Wie StefanKittel nutze auch ich ein NAS als Backup Ziel, welches mit iSCSi an den zu sichernden PC / Server vor der Sicherung verbunden wird. Nach der Sicherungsaufgabe wird dem Laufwerk der Laufwerksbuchstabe entzogen und ist somit für Windows nicht mehr vorhanden.

Gruß
Radiogugu

Stimmt so nicht ganz. Kannst Du mit der Bordeigenen Serversicherung ausprobieren. Dem explizit zugewiesenem Lfw wird auch der LfwBuchstabe entzogen, dennoch laufen die folgenden Sicherungen ohne dem Lfw wieder einen Buchstaben zu verpassen.

Henere
harbyadm
harbyadm 03.01.2020 um 19:06:29 Uhr
Goto Top
An Alle erst einmal Dankeschön für die Mühe sich dem Thema anzunehen.
Denkanstösse auf jeden Fall.

Ich lasse es erst mal sacken.

Leider gibt es Zwänge die mach vorgehensweise notwendig machen oder eben nicht zu lassen. Aber das kennt Ihr alle.

Danke und schönen Feierabend euch admins
Gruss
NoHopeNoFear
NoHopeNoFear 06.01.2020 aktualisiert um 12:07:16 Uhr
Goto Top
So machen wir das im wesentlichen auch. Allerdings möchte ich noch eine Alternative (eher für kleine Umgebungen) erwähnen:
Die Storage Box von Hetzner ist relativ günstig für den gebotenen Speicher und lässt sich automatisch Snapshoten. Für Kunden die schlichtweg nicht in der Lage oder willens sind HDDs/Tapes zu wechseln ist das eine Möglichkeit.

z.B. Anbindung der Storage Box an Veeam, tägliche Snapshots der Storage Box. Damit hätte man auch noch einen sauberen Stand wenn der (nicht in der Domäne befindliche) Veeam Server und die Storage Box selbst kompromitiert sind. Die Login Daten für die Verwaltungs Console bei Hetzner entsprechen nicht den Login Daten für den Storage Zugriff.
hushpuppies
hushpuppies 06.01.2020 aktualisiert um 13:50:44 Uhr
Goto Top
Was man bei einer solchen Diskussion bedenken muss und oft vergessen wird ist, dass ein "richtiger" Angriff so gut wie immer mit einer Timebomb verknüpft ist.
Sprich die eigentliche Infektion findet irgendwann statt und der Angriff dann Monate später.
Im Falle eines solchen Angriffs sind eigentlich alle Backups wertlos - zumindest die aktiven Daten davon.
Also alle VMs mit z.B. DCs oder Exchange-Server.
Da kann man bestenfalls noch die passiven Daten wie Dokumente, Bilder, Mailarchive wie Mailstore usw. retten und das birgt schon die Gefahr sich die Infektionsquelle mit wiederherzustellen.

Vollständige Rücksicherungen verbieten sich da von alleine, da man nur mit sehr großem Aufwand den Infektionszeitpunkt und Quelle im Nachhinein finden kann.

Und Experimente mit irgendwelchen Tests aus dem Internet und seien es noch so respektable Quellen sind totaler Wahnsinn.
Man weiß nie was die Dinger tatsächlich machen - ein freundliches "Alles ok" ist schnell angezeigt und im Hintergrund eine Backdoor installiert.

Zur Absicherung gegen "normale" Angriffe nutzen wir z.B. ein NAS, dass nur im Sicherungszeitraum sich hochfährt und danach wieder automatisch runterfährt - was nicht "da" ist, kann auch nicht gehackt oder infiziert werden. Und natürlich auch da eine klare, einfache und möglichst kurze Berechtigungsstruktur während es online ist.