20
Gedanke für Backupmethode Ransomware - sinnvoll?
Hallo Forum,
möchte mich kostengünstig vor Ransomware schützen, trotzdem im kleineren Minutenbereich "safe" sein.
Aufbau:
- Domänennetz
- Workstation mit eingebundenem Netzlaufwerk und Schreibrechten darauf, normaler User angemeldet.
- Fileserver mit Freigabe (besagtes Netzlaufwerk) und aktiviertem Volumenschattekopiedienst (evtl. nicht relevant, nur Notfall)
- Backuprechner, keine Freigaben.
Meine Idee war jetzt, dass ich einfach ein Bild mit dem Titel "aaa-DCIM001.jpg" in das Stammverzeichnis der Freigabe lege. Dies ist mein "Opfer-jpg". Dann lasse ich im 10-Minutentakt vom Backuprechner ein Robocopy-Batch mit dem /MIR Schalter laufen welches aber vorher prüft ob die Opferdatei noch vorhanden ist und auch das Änderungsdatum noch seinen Ursprung hat.
Sollte die "Opferdatei" noch da sein und auch das Datum stimmen, wird das Verzeichnis auf dem Backuprechner Lokal, also natürlich ohne Freigabe, gespiegelt.
Wenn die Opferdatei weg ist (umbenannt in ***.locky oder sonstwas) bzw. der Dateiname zwar passt aber das Änderungsdatum neuer ist als im Batch hinterlegt wird der Spiegelvorgang nicht ausgeführt.
So sollte ich zumindest die letzten 10 Minuten sauber da haben.
Fragen:
- Wird Locky diese Datei als erstes Verschlüsseln wenn sie im Stammverzeichnis der Freigabe liegt?
- Sollte man mehrere dieser Opferdateien in den Unterverzeichnissen "auslegen"?
- oder ist das Vorhaben sowieso absoluter Blödsinn?
- Kann der laufende Locky-Prozess auf der Workstation den Volumenschattenkopidienst auf dem Fileserver stoppen und die Kopien löschen?
- Verwirft der Fileserver alte Schattenkopien wenn er auf einmal ganz viele "neue" Dateien sieht? (VSS hat 190GB zur Verfügung, die Freigabe hat 60GB sonst ist nichts auf dem Fileserver was sich stark ändern könnte)
vielen Dank für eure Hilfe!
-daki
möchte mich kostengünstig vor Ransomware schützen, trotzdem im kleineren Minutenbereich "safe" sein.
Aufbau:
- Domänennetz
- Workstation mit eingebundenem Netzlaufwerk und Schreibrechten darauf, normaler User angemeldet.
- Fileserver mit Freigabe (besagtes Netzlaufwerk) und aktiviertem Volumenschattekopiedienst (evtl. nicht relevant, nur Notfall)
- Backuprechner, keine Freigaben.
Meine Idee war jetzt, dass ich einfach ein Bild mit dem Titel "aaa-DCIM001.jpg" in das Stammverzeichnis der Freigabe lege. Dies ist mein "Opfer-jpg". Dann lasse ich im 10-Minutentakt vom Backuprechner ein Robocopy-Batch mit dem /MIR Schalter laufen welches aber vorher prüft ob die Opferdatei noch vorhanden ist und auch das Änderungsdatum noch seinen Ursprung hat.
Sollte die "Opferdatei" noch da sein und auch das Datum stimmen, wird das Verzeichnis auf dem Backuprechner Lokal, also natürlich ohne Freigabe, gespiegelt.
Wenn die Opferdatei weg ist (umbenannt in ***.locky oder sonstwas) bzw. der Dateiname zwar passt aber das Änderungsdatum neuer ist als im Batch hinterlegt wird der Spiegelvorgang nicht ausgeführt.
So sollte ich zumindest die letzten 10 Minuten sauber da haben.
Fragen:
- Wird Locky diese Datei als erstes Verschlüsseln wenn sie im Stammverzeichnis der Freigabe liegt?
- Sollte man mehrere dieser Opferdateien in den Unterverzeichnissen "auslegen"?
- oder ist das Vorhaben sowieso absoluter Blödsinn?
- Kann der laufende Locky-Prozess auf der Workstation den Volumenschattenkopidienst auf dem Fileserver stoppen und die Kopien löschen?
- Verwirft der Fileserver alte Schattenkopien wenn er auf einmal ganz viele "neue" Dateien sieht? (VSS hat 190GB zur Verfügung, die Freigabe hat 60GB sonst ist nichts auf dem Fileserver was sich stark ändern könnte)
vielen Dank für eure Hilfe!
-daki
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 318506
Url: https://administrator.de/contentid/318506
Printed on: April 26, 2024 at 09:04 o'clock
20 Comments
Latest comment
Weiß jetzt nicht wie groß deine Umgebung ist, aber generell sehe ich externe Datenträger bei kleineren Datenmengen (unter 1 TB) z.B. ein RDX Laufwerk in der Hinsicht als sinnvoller an.
Diese haben auch den Vorteil das sich der Geschäftsführer beispielsweise eine Sicherung immer mit nach Hause in einen Tresor nehmen kann (Schutz gegen Brand und Diebstahl)
Ansonsten wären natürlich mehrere Stände der Datensicherung wichtig und das Benutzer keinen Zugriff auf diese Dateien haben.
Auch ganz nützlich ist dieser Beitrag: https://www.frankysweb.de/windows-fileserver-vor-ransomware-crypto-locke ...
Nachtrag: Falls du unter Terminalserver Arbeitest oder die Enterprise Versionen einsetzt: schau die mal Applocker an. Das ist sehr hilfreich gegen Viren Allgemein.
Diese haben auch den Vorteil das sich der Geschäftsführer beispielsweise eine Sicherung immer mit nach Hause in einen Tresor nehmen kann (Schutz gegen Brand und Diebstahl)
Ansonsten wären natürlich mehrere Stände der Datensicherung wichtig und das Benutzer keinen Zugriff auf diese Dateien haben.
Auch ganz nützlich ist dieser Beitrag: https://www.frankysweb.de/windows-fileserver-vor-ransomware-crypto-locke ...
Nachtrag: Falls du unter Terminalserver Arbeitest oder die Enterprise Versionen einsetzt: schau die mal Applocker an. Das ist sehr hilfreich gegen Viren Allgemein.
Hi,
das ist so nicht praktikabel. Das setzt voraus, dass du genau weist, in welcher Reihenfolge so ein Monster zuschlägt.
Andere Idee:
Nimm VSS. Lass alle 10 min. einen Snapshot erstellen. Entweder auf der selben Platte - dann brauchst Du dort sehr viel freien Bereich - oder auf eine dedizierte Platte dafür.
Annahme: Änderungsrate pro Tag liegt bei 1 GB. Dann reicht eine 1 TB HDD für theoretisch 1000 VSS-Snapshots. (das werden weniger sein).
E.
das ist so nicht praktikabel. Das setzt voraus, dass du genau weist, in welcher Reihenfolge so ein Monster zuschlägt.
Andere Idee:
Nimm VSS. Lass alle 10 min. einen Snapshot erstellen. Entweder auf der selben Platte - dann brauchst Du dort sehr viel freien Bereich - oder auf eine dedizierte Platte dafür.
Annahme: Änderungsrate pro Tag liegt bei 1 GB. Dann reicht eine 1 TB HDD für theoretisch 1000 VSS-Snapshots. (das werden weniger sein).
E.
Zitat von @daki:
- Wird Locky diese Datei als erstes Verschlüsseln wenn sie im Stammverzeichnis der Freigabe liegt?
- Wird Locky diese Datei als erstes Verschlüsseln wenn sie im Stammverzeichnis der Freigabe liegt?
Nein.
- Sollte man mehrere dieser Opferdateien in den Unterverzeichnissen "auslegen"?
am besten in jedes verzeichis eines.
- oder ist das Vorhaben sowieso absoluter Blödsinn?
Jein.Das problem ist, daß wenn die ransomware schon 10 Miuten arbeitet, es schon zu spät sein kann. Da würde ich eher gehirnschmalz investieren, wie man verhindert, daß diese überhaupt losläuft.
- Kann der laufende Locky-Prozess auf der Workstation den Volumenschattenkopidienst auf dem Fileserver stoppen und die Kopien löschen?
Locky? Weiß nicht, aber andere ransomware sicher.
lks
Hallo Forumsuser
Sinnvoller sind da Filesystem Watcher, die gucken, ob auf dem Fileserver bekannte Endungen wie .locky auftauchen. Das hat dann auch keine Nennenswerte Verzögerung. Jede Sekunde, die ein Cryptovirus wüten kann, vernichtet er uU sehr viele Dateien.
Es gibt mittlerweile sehr viele "Guides", wie ein Admin sein Netz gut absichern kann. Macht etwas Arbeit, aber sicher weniger, als wenn ein Virus sich man durch das Netzwerk frisst
- Wird Locky diese Datei als erstes Verschlüsseln wenn sie im Stammverzeichnis der Freigabe liegt?
Kann dir keiner mit Sicherheit sagen, da keiner wirklich weiss wie die Dinger so ablaufen und gleich gar nicht, wie zukünftige Versionen laufen werden- Sollte man mehrere dieser Opferdateien in den Unterverzeichnissen "auslegen"?
- oder ist das Vorhaben sowieso absoluter Blödsinn?
Vermutlich- oder ist das Vorhaben sowieso absoluter Blödsinn?
- Kann der laufende Locky-Prozess auf der Workstation den Volumenschattenkopidienst auf dem Fileserver stoppen und die Kopien löschen?
Wenn er die entsprechenden Rechte hat, sicher. Machen die meissten von denen mitlerweile auch. erst mal vssadmin zum löschen der Schattenkopien verwenden. Entsprechend ist der beste Schutz, das niemand als Admin unterwegs ist. Auch der Admin nicht. Falls dieser Adminrechte braucht, führt er das entsprechende Programm im Kontext eines Admins aus. Ansonsten ist er ein normaler user- Verwirft der Fileserver alte Schattenkopien wenn er auf einmal ganz viele "neue" Dateien sieht? (VSS hat 190GB zur Verfügung, die Freigabe hat 60GB sonst ist nichts auf dem Fileserver was sich stark ändern könnte)
Ja. Die ältesten Kopien werden gelöscht, wenn der zugewiesene Platz nicht mehr reicht.Sinnvoller sind da Filesystem Watcher, die gucken, ob auf dem Fileserver bekannte Endungen wie .locky auftauchen. Das hat dann auch keine Nennenswerte Verzögerung. Jede Sekunde, die ein Cryptovirus wüten kann, vernichtet er uU sehr viele Dateien.
Es gibt mittlerweile sehr viele "Guides", wie ein Admin sein Netz gut absichern kann. Macht etwas Arbeit, aber sicher weniger, als wenn ein Virus sich man durch das Netzwerk frisst
Hallo nochmals, erstmal vielen Dank an alle für das schnelle Feedback!
Kannst du mir kurz erläutern wie diese das schaffen kann?
Zitat von @Lochkartenstanzer:
Locky? Weiß nicht, aber andere ransomware sicher.
lks
- Kann der laufende Locky-Prozess auf der Workstation den Volumenschattenkopidienst auf dem Fileserver stoppen und die Kopien löschen?
Locky? Weiß nicht, aber andere ransomware sicher.
lks
Kannst du mir kurz erläutern wie diese das schaffen kann?
vssadmin.exe Delete Shadows /All /Quiet
Zitat von @daki:
Fragen:
- Wird Locky diese Datei als erstes Verschlüsseln wenn sie im Stammverzeichnis der Freigabe liegt?
Davon kann man nicht ausgehen.Fragen:
- Wird Locky diese Datei als erstes Verschlüsseln wenn sie im Stammverzeichnis der Freigabe liegt?
- Sollte man mehrere dieser Opferdateien in den Unterverzeichnissen "auslegen"?
Zur Kontrolle sicher nicht verkehrt.- oder ist das Vorhaben sowieso absoluter Blödsinn?
Keine Ahnung wie groß euer Filesystem ist, aber nach 10 Minuten wäre da vermutlich eh schon alles verschlüsselt.- Kann der laufende Locky-Prozess auf der Workstation den Volumenschattenkopidienst auf dem Fileserver stoppen und die Kopien löschen?
Ja, schon gesehen.- Verwirft der Fileserver alte Schattenkopien wenn er auf einmal ganz viele "neue" Dateien sieht? (VSS hat 190GB zur Verfügung, die Freigabe hat 60GB sonst ist nichts auf dem Fileserver was sich stark ändern könnte)
Der Speicherplatz wird ber der nächsten VSS dann überschrieben, so viel wie er eben für die Neue braucht.ja schon aber ich rede ja von einer komplett anderen Maschine im Netz, auf den Workstations sind die Schattenkopien eh nicht aktiviert.
Zitat von @daki:
ja schon aber ich rede ja von einer komplett anderen Maschine im Netz, auf den Workstations sind die Schattenkopien eh nicht aktiviert.
ja schon aber ich rede ja von einer komplett anderen Maschine im Netz, auf den Workstations sind die Schattenkopien eh nicht aktiviert.
Und Du meinst nicht, die Ransomware wüßte nicht, wie sie auf andere maschinen kommt oder prilege escalation utzen kann?
lks
Zitat von @Mahagon:
Weiß jetzt nicht wie groß deine Umgebung ist, aber generell sehe ich externe Datenträger bei kleineren Datenmengen (unter 1 TB) z.B. ein RDX Laufwerk in der Hinsicht als sinnvoller an.
Diese haben auch den Vorteil das sich der Geschäftsführer beispielsweise eine Sicherung immer mit nach Hause in einen Tresor nehmen kann (Schutz gegen Brand und Diebstahl)
Ansonsten wären natürlich mehrere Stände der Datensicherung wichtig und das Benutzer keinen Zugriff auf diese Dateien haben.
Auch ganz nützlich ist dieser Beitrag: https://www.frankysweb.de/windows-fileserver-vor-ransomware-crypto-locke ...
Nachtrag: Falls du unter Terminalserver Arbeitest oder die Enterprise Versionen einsetzt: schau die mal Applocker an. Das ist sehr hilfreich gegen Viren Allgemein.
Weiß jetzt nicht wie groß deine Umgebung ist, aber generell sehe ich externe Datenträger bei kleineren Datenmengen (unter 1 TB) z.B. ein RDX Laufwerk in der Hinsicht als sinnvoller an.
Diese haben auch den Vorteil das sich der Geschäftsführer beispielsweise eine Sicherung immer mit nach Hause in einen Tresor nehmen kann (Schutz gegen Brand und Diebstahl)
Ansonsten wären natürlich mehrere Stände der Datensicherung wichtig und das Benutzer keinen Zugriff auf diese Dateien haben.
Auch ganz nützlich ist dieser Beitrag: https://www.frankysweb.de/windows-fileserver-vor-ransomware-crypto-locke ...
Nachtrag: Falls du unter Terminalserver Arbeitest oder die Enterprise Versionen einsetzt: schau die mal Applocker an. Das ist sehr hilfreich gegen Viren Allgemein.
Das Ganze steht eh jetzt ausserhlb der "normalen" DaSi. Wir sichern die beiden ESXi mit Veeam täglich auf Zwischenplatte, von der Zwischenplatte auf LTO(Tresor) und nochmals über langes Glas in ein 100m entferntes Nebengebäude in ein weiteres Storage. 5 Generationen sind immer da + ein Wochenendbackup auf externe Festplatten im Bankschließfach. Die Grundsätzliche Backupstrategie ist schon in Ordnung hoffe ich. Mir gehts halt darum nicht einen ganzen Tag zu verlieren und da ich gestern wieder mit dem Kaspersky-Vertreter telefoniert habe und mir der eine Erkennungssoftware für Ransomware für sehr viel Geld verkaufen wollte, hab ich halt begonnen, mir selbst Gedanken zu machen...
Zitat von @Lochkartenstanzer:
Und Du meinst nicht, die Ransomware wüßte nicht, wie sie auf andere maschinen kommt oder prilege escalation utzen kann?
lks
Zitat von @daki:
ja schon aber ich rede ja von einer komplett anderen Maschine im Netz, auf den Workstations sind die Schattenkopien eh nicht aktiviert.
ja schon aber ich rede ja von einer komplett anderen Maschine im Netz, auf den Workstations sind die Schattenkopien eh nicht aktiviert.
Und Du meinst nicht, die Ransomware wüßte nicht, wie sie auf andere maschinen kommt oder prilege escalation utzen kann?
lks
Danke, das ist genau der Punkt der mich interessierte.
angenommen du hast adminrechte in der Domäne bzw auf dem Fileserver und du bist derjenige, der die Ransomware ausführt, dann kann die mit deinen Credentials einfach so, ohne gross rummachen zu müssen, diesen Befehl auf dem Remote System ausführen.
Neue Varianten versuchen sich jetzt schon explizit in Server einzuklinken.
https://www.heise.de/security/meldung/Erpressungs-Trojaner-DXXD-nimmt-Wi ...
Auch wenn das mit RDP Bruteforce jetzt noch eher lahm ist, wird das nicht mehr lagne dauern, bis die Dinger sich die gespeicherten Verbindungen von MSTSC ansehen oder ähnliche Dinge.
Neue Varianten versuchen sich jetzt schon explizit in Server einzuklinken.
https://www.heise.de/security/meldung/Erpressungs-Trojaner-DXXD-nimmt-Wi ...
Auch wenn das mit RDP Bruteforce jetzt noch eher lahm ist, wird das nicht mehr lagne dauern, bis die Dinger sich die gespeicherten Verbindungen von MSTSC ansehen oder ähnliche Dinge.
Zitat von @daki:
Mir gehts halt darum nicht einen ganzen Tag zu verlieren und da ich gestern wieder mit dem Kaspersky-Vertreter telefoniert habe und mir der
eine Erkennungssoftware für Ransomware für sehr viel Geld verkaufen wollte, hab ich halt begonnen, mir selbst Gedanken zu machen...
Mir gehts halt darum nicht einen ganzen Tag zu verlieren und da ich gestern wieder mit dem Kaspersky-Vertreter telefoniert habe und mir der
eine Erkennungssoftware für Ransomware für sehr viel Geld verkaufen wollte, hab ich halt begonnen, mir selbst Gedanken zu machen...
Mal von der andderen Seite angefangen: Was habt ihr denn für Schutzmaßnahmen gegen Ransomeware? Virenscanner sicher, aber sonst noch was? Software Restriction Policys?
Zitat von @ArnoNymous:
Mal von der andderen Seite angefangen: Was habt ihr denn für Schutzmaßnahmen gegen Ransomeware? Virenscanner sicher, aber sonst noch was? Software Restriction Policys?
Mal von der andderen Seite angefangen: Was habt ihr denn für Schutzmaßnahmen gegen Ransomeware? Virenscanner sicher, aber sonst noch was? Software Restriction Policys?
mhhh....naja nicht wirklich viel, bzw. warscheinlich nicht recht professionell:
- Verbot von *.exe in den "Anwendungsdaten" bis auf Ausnahmen
- Verbot von *.exe aus tempzip und temprar (z.B. downloads)
- Verbot vbs
- TS-Userprofilordner werden per Richtlinie zugewiesen und auch dort herrscht für Standarduser *.exe und *.vbs verbot
Ok das ist jetzt mal grob so was ich als Prävention zur Infektion an sich bieten kann. Um bei einer Infektion den Schaden zu begrenzen hab ich eigentlich nichts, ausser halt meine cold backups täglich...
Hi.
Du nutzt derzeit Blacklisting von .exe und .vbs - weite das doch auf Whitelisting aus. Es gibt Tutorials zum Vorgehen: Applocker Design Guide
Kommentar zu
Du nutzt derzeit Blacklisting von .exe und .vbs - weite das doch auf Whitelisting aus. Es gibt Tutorials zum Vorgehen: Applocker Design Guide
Kommentar zu
Kann der laufende Locky-Prozess auf der Workstation den Volumenschattenkopidienst auf dem Fileserver stoppen und die Kopien löschen?
Auf gar keinen Fall, wenn er als normaler User gestartet wurde - ausgeschlossen. Um remote Befehle auszuführen, brauchst Du auf der Remotekiste Adminrechte - und diese kann man sich nicht "besorgen", es sei denn man hat auf dem Remoterechner ungepatchte Serverdienste und eine Ransomware die speziell danach sucht - völlig abwegig, da dieser Aufwand in der Regel gar nicht nötig ist, um das Ziel zu erreichen.
2
Hallo,
Habe ich im Selbstversuch getestet. Das Ergebnis war sehr duchwachsen, letztendlich nur ein Baustein in einer langen Abwehr-Kette. Ich habe mit einer Opferdatei/Köderdatei pro Verzeichnis getestet. Die Prüfung sollte das anlegen einer neuen (infizierten) Schattenkopie verhindern.
Mit freundlichen Grüßen
- oder ist das Vorhaben sowieso absoluter Blödsinn?
Habe ich im Selbstversuch getestet. Das Ergebnis war sehr duchwachsen, letztendlich nur ein Baustein in einer langen Abwehr-Kette. Ich habe mit einer Opferdatei/Köderdatei pro Verzeichnis getestet. Die Prüfung sollte das anlegen einer neuen (infizierten) Schattenkopie verhindern.
Mit freundlichen Grüßen
Zitat von @DerWoWusste:
Hi.
Du nutzt derzeit Blacklisting von .exe und .vbs - weite das doch auf Whitelisting aus. Es gibt Tutorials zum Vorgehen: Applocker Design Guide
Hi.
Du nutzt derzeit Blacklisting von .exe und .vbs - weite das doch auf Whitelisting aus. Es gibt Tutorials zum Vorgehen: Applocker Design Guide
Tausend Dank! Ein unglaublich mächtiges und doch simples Tool, grabe mich grad durch die Tutorials - Schande über mich, dass ich das nicht kannte. Aber gut, Erfahrung kommt halt mit der Zeit...
Der Kaspersky-Verkäufer hatte mir auch über ein ähnliches "sehr" kostenpflichtiges Tool inkl. der Hashfunktion erzählt. Hier bekomm ich ja quasi den gleichen Funktionsumfang gratis! (Wobei das mit der exe-Prüfsumme nicht in Frage kommt..ich denke da an die unzähligen Updates unserer Software)
- daki
Applocker gibt es nur in den Enterprise-Editionen von Windows-Client OS' (und zusätzlich in Win7 ultimate). Aber der Vorgänger "SRP" (Software restriction Policies/Softwareeinschränkungsrichtlinien) steht auch der Professionalversion zur Verfügung und funktioniert ebenso gut.
Zitat von @DerWoWusste:
Applocker gibt es nur in den Enterprise-Editionen von Windows-Client OS' (und zusätzlich in Win7 ultimate). Aber der Vorgänger "SRP" (Software restriction Policies/Softwareeinschränkungsrichtlinien) steht auch der Professionalversion zur Verfügung und funktioniert ebenso gut.
Applocker gibt es nur in den Enterprise-Editionen von Windows-Client OS' (und zusätzlich in Win7 ultimate). Aber der Vorgänger "SRP" (Software restriction Policies/Softwareeinschränkungsrichtlinien) steht auch der Professionalversion zur Verfügung und funktioniert ebenso gut.
Ach, mir gehts eigentlich eh nur um die vier Terminalserver, darauf arbeiten 95% der User...den rest (win7pro) kann ich ja anders konfigurieren...
Für TS ist es hervorragend geeignet, da eh der Admin hier volle Kontrolle haben sollte, was läuft und was nicht.