Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Ransomware en Backups

28-08-2019, 07:57 door Anoniem, 28 reacties
Ransomware is tegenwoordig instaat om te checken of je backups hebt en deze ook te encrypten.
Sommige mensen lossen dit probleem op door verouderde backups offline te halen.

Zijn er ook betere oplossingen die in real-time backups mogelijk maken?
Reacties (28)
28-08-2019, 10:13 door ShaWormHa
Door je backup systeem niet aan je main-systeem te hangen.
28-08-2019, 10:19 door Anoniem
Bijvoorbeeld ZFS met snapshots (bijvoorbeeld ieder uur) beschermt prima tegen ransomware. Offline en remote kopie (Sanoid/Syncoid) is dan de bijna perfecte oplossing.
28-08-2019, 10:30 door Anoniem
Er zijn verschillende backup oplossingen die bescherming bieden tegen ransomware.
https://www.cloudwards.net/best-online-backup-with-ransomware-protection/
28-08-2019, 10:31 door Anoniem
Door Anoniem:
Sommige mensen lossen dit probleem op door verouderde backups offline te halen.
Klopt dat is de enige goede oplossing. Als alleen maar "sommige" mensen dat doen dan is dat niet best.

Tegenwoordig lacht men wel om tapes maar dat was een heel wat betere backup voor dit soort situaties dan al die
hippe storage systemen met synchronisatie naar offsite mirrors...
28-08-2019, 10:34 door Anoniem
Door je backup-systeem / server de backups te laten pullen om een bepaalde systeemtijd, wel de tijd dus goed synchroniseren met elkaar. Vervolgens logt het backup systeem in met sftp of ssh met Rsync of een andere sync tool.
In het geval van sftp, je maakt de backup van bepaalde folders en files, die doet je daarna op de server comprimeren. Rsync is in dit geval een slecht voorbeeld eigenlijk. Je wilt gewoon op de server waar de backup van gemaakt moet worden de backup klaarzetten in de folder waar de backup server bij kan met sftp dan gewoon downloaden en op de backup server in een folder zetten. Als het dan een keer fout gaat kun je op de backup server ook nog de filesize of inhoud controleren.

Je backup systeem logt dus in op de server om een aantal bestanden te kopieren en op de backup server in een map met de datum en tijd van dat moment neer te zetten en te comprimeren.

In dit geval kan dus de crypto Ransomware alleen dus je backups na de infectie beïnvloeden. Je oudere backups staan nog altijd op de backup server waar de Ransomware niet aan zou kunnen komen tenzij die een ssh / sftp exploit bevat of er een hele oude versie loopt. Voor Windows exact hetzelfde verhaal maar dan met de betreffende bijhorende protocollen en tools.
28-08-2019, 11:30 door MathFox
Door Anoniem: Bijvoorbeeld ZFS met snapshots (bijvoorbeeld ieder uur) beschermt prima tegen ransomware. Offline en remote kopie (Sanoid/Syncoid) is dan de bijna perfecte oplossing.
De malware zou na encryptie kunnen zeggen "gooi alle snapshots weg"; dus snapshots alleen beschermen niet. En bij iedere online backup moet je in je achterhoofd houden dat een ransomware worm ook de backup server kan infecteren.
28-08-2019, 11:55 door Tha Cleaner
Door Anoniem: Ransomware is tegenwoordig instaat om te checken of je backups hebt en deze ook te encrypten.
Sommige mensen lossen dit probleem op door verouderde backups offline te halen.

Zijn er ook betere oplossingen die in real-time backups mogelijk maken?
De meeste cloud producten bieden meestal deze mogelijkheid aan de hand van versies. Dus bieden eigenlijk realtime beveiliging. En is eigenlijk niet te verwijderen door Ransomware .

Maar definieer betere? Aangezien je eigenlijk niets vermeld. Gebruik je bijvoorbeeld een NAS voor je opslag? Of een fileshare op een andere windows machine, of Cloud, of sla je data lokaal op?

Wat beter is hangt namelijk af van hoe jij met data om gaat.

Ik heb hier alles in Goolge Drive, onedrive of sharepoint zitten. Met een externe backup leverancier.
Ik heb ook een FreeNAS draaien icm met ZFS snapshots.
28-08-2019, 11:58 door [Account Verwijderd]
Door Anoniem: Bijvoorbeeld ZFS met snapshots (bijvoorbeeld ieder uur) beschermt prima tegen ransomware. Offline en remote kopie (Sanoid/Syncoid) is dan de bijna perfecte oplossing.

Idem met Btrfs-snapshots.
28-08-2019, 12:56 door Anoniem
Door Anoniem: Er zijn verschillende backup oplossingen die bescherming bieden tegen ransomware.
https://www.cloudwards.net/best-online-backup-with-ransomware-protection/

Tapes zijn nog altijd reteduur.

De goedkope "tapedrive" oplossingen zijn geen tapes meer maar harddisks in een tape-unit cartridge.

De kwaliteit van alles gaat achteruit.

Tapes uit 1990 kan ik nog prima uitlezen. Probeer dat eens met harddisks (mechanisch risico), zelf gebrande cdroms of nog erger: flashdisks.

Leve de vooruitgang zeg maar.... op hoop van zegen. Ik wou graag dat de high end tapedrives een betaalbare variant hadden voor consumenten.
28-08-2019, 13:39 door Anoniem
Maak gebruik van speciale ops-accounts om backups te maken en weg te schrijven. Gebruik deze backup-Ops-accounts enkel voor maken backups en log daarna uit.
Geef geen enkel ander account toegang tot de backups.

Als je gebruik maakt van je backup-Ops-account dan mag je uiteraard geen gebruik maken van browser, email etc.

Dit werkt omdat ransomware werkt onder het account van de besmette gebruiker.
28-08-2019, 13:52 door Anoniem
In Onedrive start ik geregeld een nieuwe map met backups. De oude map maak ik dan niet meer toegankelijk. Dit is te vergelijken met het rouleren van fysieke media.

Maar één ding mis ik in de antwoorden. Backups moeten ook gecontroleerd worden op bruikbaarheid. Dus kijk af en toe of een teruggezette backup (op een gegarandeerd schoon en mogelijk offline systeem) wel de gegevens bevat die je verwacht.
28-08-2019, 14:16 door Anoniem
Ik heb heel simpel een nas waarop mijn backup staat deze zou kunnen worden geencrypt door een ransomware maar 1 keer per week gaat een externe hdd aan via een ouderwetse tijdschakelaar voor 4 uur
En dan word er van de nas een backup gemaakt op deze schijf waarna de timer afloopt en de disk van het stroom en dus de verbinding van de nas verliest dus "offline"
Mocht ik een ransomware aanval meemaken kan ik altijd een week terug en heb ik 1 week de tijd om die backup van de nas te ontkoppelen.

zo externe disk kost geen drol en een tijdschakelaar ook niet je kan zelfs de nas er tussenuit halen en gewoon een backup direct weg schrijven naar de externe disk en dan de sik van het stroom halen is die ook veilig voor ransomware
28-08-2019, 14:39 door Anoniem
Door MathFox:
Door Anoniem: Bijvoorbeeld ZFS met snapshots (bijvoorbeeld ieder uur) beschermt prima tegen ransomware. Offline en remote kopie (Sanoid/Syncoid) is dan de bijna perfecte oplossing.
De malware zou na encryptie kunnen zeggen "gooi alle snapshots weg"; dus snapshots alleen beschermen niet. En bij iedere online backup moet je in je achterhoofd houden dat een ransomware worm ook de backup server kan infecteren.
Dan moet de worm wel toegang hebben tot de ZFS commando's op de betreffende host waar de data staat.
Technische kan dit natuurlijk, maar standaard wormen doen dit niet. Gerichte aanvallen echter wel. Maar dat zijn 2 grote verschillen.
28-08-2019, 15:02 door Anoniem
Een remote Backupserver met een LUN naar de backupdata. En deze LUN dus niet delen met de rest van het netwerk.

Blijft zaak om de backupserver niet bereikbaar te maken en te blijven patchen.
28-08-2019, 16:59 door MathFox
Door Anoniem:
Door MathFox:
Door Anoniem: Bijvoorbeeld ZFS met snapshots (bijvoorbeeld ieder uur) beschermt prima tegen ransomware. Offline en remote kopie (Sanoid/Syncoid) is dan de bijna perfecte oplossing.
De malware zou na encryptie kunnen zeggen "gooi alle snapshots weg"; dus snapshots alleen beschermen niet. En bij iedere online backup moet je in je achterhoofd houden dat een ransomware worm ook de backup server kan infecteren.
Dan moet de worm wel toegang hebben tot de ZFS commando's op de betreffende host waar de data staat.
Technische kan dit natuurlijk, maar standaard wormen doen dit niet. Gerichte aanvallen echter wel. Maar dat zijn 2 grote verschillen.
Eens, ik ken het verhaal van een systeembeheerder waar gebruikers met enige regelmaat malware in hun (virtuele) windows omgeving binnenhalen. Voor hem kost het meer tijd om de gebruiker te vertellen dat hij/zij zoiets niet moet doen, dan het terugzetten van de laatste goede snapshot op de file server.

Met een backup server waar je eenmaal weggeschreven data niet kunt overschrijven heb je een goede verdediging tegen ransomware. (En backups opruimen doe je met een ander account dan backups maken.)
29-08-2019, 09:01 door Anoniem
Door Anoniem: Een remote Backupserver met een LUN naar de backupdata. En deze LUN dus niet delen met de rest van het netwerk.

Blijft zaak om de backupserver niet bereikbaar te maken en te blijven patchen.
LUN is meestal op een SAN en kan dus in theorie geinfecteerd raken en vernietigd worden indien de malware toegang heeft tot de admin consoles van het SAN
29-08-2019, 12:23 door Anoniem
Tegen dit soort wormen kun je het beste WORM storage gebruiken.

Even zonder grappen:
https://nl.wikipedia.org/wiki/Write_once_read_many

De meeste grote clouddiensten bieden hier ook een variant in de cloud voor aan, die men bijvoorbeeld veel inzet in de financiele sector daar men verplicht is van deze gegevens ook de onveranderlijkheid te garanderen. Amerikaanse regels bijvoorbeeld:

https://en.wikipedia.org/wiki/SEC_Rule_17a-4

Hierbij kun je vaak instellen dat de minimum bewaartermijn x maanden is, waarna deze waarde wel op langer gezet kan worden maar niet meer op korter, om te voorkomen dat via compromise van een beheerdersaccount deze gegevens alsnog beinvloed worden.

Best een aardig systeem, een van de nadelen is echter dat lang niet alle backup software hier goed mee om kan gaan.
Nu criminelen steeds meer moeite doen om alle backups te vernietigen bij ransomware infecties, zal het merendeel van deze software hopelijk wel aangepast worden om ook met deze storage vorm te kunnen werken.

S
04-09-2019, 15:38 door Anoniem
Combinatie van een goede next gen av en cloud backup. Bij een cloud backup kan je wel encrypted data backuppen maar weet je zeker dat je oude versies niet gewijzigd kunnen worden. Of daarnaast een next gen AV als bijvoorbeeld een sentinelone die een rollback functionaliteit heeft, mocht er iets verkeerd gaan, kan je dit geautomatiseerd terug laten draaien.
04-09-2019, 18:36 door Anoniem
Door Anoniem: Combinatie van een goede next gen av

Kansloos. De (next gen) av laat zich uitschakelen, bypassen en/of herkent de malware niet. Dat is de basis van het probleem


en cloud backup. Bij een cloud backup kan je wel encrypted data backuppen maar weet je zeker dat je oude versies niet gewijzigd kunnen worden. Of daarnaast een next gen AV als bijvoorbeeld een sentinelone die een rollback functionaliteit heeft, mocht er iets verkeerd gaan, kan je dit geautomatiseerd terug laten draaien.

Cloudbackup? En waarom kan die niet overschreven worden of weggegooid worden door de malware?

Dan is mijn oplossing met ZFS en remote (uitgeschakelde) backup toch een stuk betrouwbaarder. Nodeloos te zeggen dat de backup een pull actie doet op de server in plaats van push van de server naar backup (wat de situatie is met cloud backup).
05-09-2019, 08:44 door Anoniem
Door Anoniem:
Door Anoniem: Er zijn verschillende backup oplossingen die bescherming bieden tegen ransomware.
https://www.cloudwards.net/best-online-backup-with-ransomware-protection/

Tapes zijn nog altijd reteduur.

De goedkope "tapedrive" oplossingen zijn geen tapes meer maar harddisks in een tape-unit cartridge.

De kwaliteit van alles gaat achteruit.

Tapes uit 1990 kan ik nog prima uitlezen. Probeer dat eens met harddisks (mechanisch risico), zelf gebrande cdroms of nog erger: flashdisks.

Leve de vooruitgang zeg maar.... op hoop van zegen. Ik wou graag dat de high end tapedrives een betaalbare variant hadden voor consumenten.

Kijk eens naar Amazon AWS. Daar kun je tegen een laag bedrag off-site backups op tape maken (Glacier Deep Archive). Kost je (afhankelijk van de hoeveelheid data uiteraard) relatief weinig (zit zelf op een paar euro/maand voor 75Gb).

Ik ben dit gaan doen specifiek vanwege de zorgen om ransomware. Het is niet de enige maatregel die ik getroffen heb (ik heb ook on-site back-ups) maar een mooie aanvulling.

Het gaat je alleen meer kosten wanneer je de data weer nodig hebt maar dat is dan ook het moment dat je dat geld er voor over hebt (en het zal in bijna alle gevallen minder kosten dan de ransomware afkopen)
05-09-2019, 09:38 door Bitje-scheef
Offline backup is de enige echte oplossing.
05-09-2019, 12:04 door opti
Ik heb naast online AWS backups ook onsite backups op externe harde schijven. Die gebruik ik als volgt:

- schijven zijn niet aagekoppeld, alleen tijdens gebruik (ongeveer 15 minuten per week)
- schijven zijn beveiligd tegen opstarten van uitvoerbare bestanden op de schijf
- voordat ik de schijven aankoppel draai ik een malware scan
- daarna blokkeer ik via de firewall alle inkomende en uitgaande verbindingen (systeem dus feitelijk offline)

Dan koppel ik de schijven, draai m'n backup, en ontkoppel weer direct.
05-09-2019, 12:54 door Tha Cleaner
Door Bitje-scheef: Offline backup is de enige echte oplossing.
Hoeft niet. Er zijn voldoende cloud mogelijkheden. Je moet ze echter alleen met zoals een offline backup, goed inrichten.
05-09-2019, 19:18 door Anoniem
Ik verzin hem ter plekke:

- laat de backupserver met een zelfgemaakt script periodiek de backups als het ware "downloaden" via een speciaal voor dit doel bestemde NAT-router met SPI-firewall. En wel met de backupserver aan de LAN-zijde van deze router,
en het gebruikersnetwerk met clients en servers die gebackupt moeten worden aan de WAN -zijde van deze router.

Door op deze wijze een extra router te plaatsen, is de backupserver in principe niet bereikbaar voor eventuele gevaarlijke scripts (ransomware) die geïnitieerd worden vanaf het gebruikersnetwerk. (of anders moet er wat aan deze router mankeren)
De backup wordt in dit geval immers volledig gestuurd door het backup-script van de backupserver dat data ophaalt en backupt, want dat is de enige manier om data van gebruikersnetwerk naar backupserver te laten stromen.
(op dezelfde manier kan niemand vanaf internet jou PC bereiken, behalve servers waar jij eerst contact mee hebt gemaakt)

Clients die benaderd worden via het backupscript van de backupserver, kunnen dus alleen terugpraten als de backupserver
ze eerst aanspreekt, en de data die vervolgens wordt "gespuid" behandelt de backupserver als "te backuppen data".
(volgens script), dus geen execute van deze bestanden ; alleen opslag.

De meeste backup software ziet alles normaalgesproken simpel als "een aantal bytes". (ook een virus aanwezig op een client). Dus normaalgesproken heeft het in deze opzet geen effect als er ransomware op een client zou staan en dit door de backupserver wordt gebackupt naar de backupserver. Zolang de ransomware op de backupserver niet automatisch geactiveerd kan worden (en verder ook niet door een stommiteit geactiveerd wordt) is er niets aan de hand.

Maar voor alle zekerheid is het wel beter om zoveel mogelijk ervoor te zorgen dat zoiets niet zal gebeuren
en alle risico's zoveel mogelijk uit te sluiten door bijv. alleen op malware gescande bestanden te backuppen.

Succes!
06-09-2019, 08:21 door Bitje-scheef
Door Tha Cleaner:
Door Bitje-scheef: Offline backup is de enige echte oplossing.
Hoeft niet. Er zijn voldoende cloud mogelijkheden. Je moet ze echter alleen met zoals een offline backup, goed inrichten.

Ben met je eens dat goed inrichten inderdaad veel kan afvangen. Maar ransomware-schrijvers zitten niet stil.
Bij VEEAM, mooi voorbeeld, dachten ze ook dat oudere backups veilig waren... helaas (database corrupt door besmetting of verdwenen). Ransomware komt niet alleen, eerst komt er nog een uitvoer van een virus/malware. Het is een soort trapsraket.
06-09-2019, 11:22 door opti
Weet iemand of het zinvol is externe harde schijven (met backups) aan te koppelen in Windows 10 gebruikers account welke alleen voor dit doel gebruikt zou worden?
06-09-2019, 15:26 door Anoniem
Door opti: Weet iemand of het zinvol is externe harde schijven (met backups) aan te koppelen in Windows 10 gebruikers account welke alleen voor dit doel gebruikt zou worden?
Alleen als de computer niet onder invloed is van rotzooi als virussen, malware e.d. en jij backups wilt maken of lezen.
12-09-2019, 12:06 door Anoniem
Door Anoniem:
Door Anoniem: Combinatie van een goede next gen av

Kansloos. De (next gen) av laat zich uitschakelen, bypassen en/of herkent de malware niet. Dat is de basis van het probleem

Al wel eens gekeken naar een sentinelone? deze bieden zelfs een reward mocht het wel gebeuren en ja is volledig tamper proof.


en cloud backup. Bij een cloud backup kan je wel encrypted data backuppen maar weet je zeker dat je oude versies niet gewijzigd kunnen worden. Of daarnaast een next gen AV als bijvoorbeeld een sentinelone die een rollback functionaliteit heeft, mocht er iets verkeerd gaan, kan je dit geautomatiseerd terug laten draaien.

Cloudbackup? En waarom kan die niet overschreven worden of weggegooid worden door de malware?

Dan is mijn oplossing met ZFS en remote (uitgeschakelde) backup toch een stuk betrouwbaarder. Nodeloos te zeggen dat de backup een pull actie doet op de server in plaats van push van de server naar backup (wat de situatie is met cloud backup).

Omdat de geinfecteerde pc geen toegang heeft tot de cloud storage, daarbij zal deze vaak ook de lokale hashes checken tegen degene in de cloud, geen overeenkomst? dan geen upload.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.