16.01.2017 11:44
polarowl 47 10200 Источник
Сегодня поговорим о проблеме вирусов-шифровальщиков (ransomware). Эти программы предназначены для вытягивания денег из обладателей зараженных компьютеров, поэтому их еще называют «программы-вымогатели».

Проблема вирусов-шифровальщиков затрагивает уже не только отдельно взятые персональные компьютеры, но доходит до уровня дата-центров. Для атак на инфраструктуру компаний применяются, например, Locky, TeslaCrypt и CryptoLocker. Зачастую вирусы используют уязвимости веб-браузеров или их плагинов, а также непредусмотрительно открытые вложения сообщений электронной почты. Проникнув в инфраструктуру, программа-вымогатель начинает быстрое распространение и шифрование данных.

Важной составляющей стратегии защиты данных всегда было наличие резервных копий, из которых можно выполнить восстановление. Рассмотрим же несколько рекомендаций от моего коллеги Rick Vanover относительно того, как как уберечь СХД резервных копий от шифровальщиков (вне зависимости от того, используете вы решения Veeam или других производителей). Итак, добро пожаловать под кат.



1. Используйте отдельную учетную запись для доступа к хранилищу резервных копий


Эта общечеловеческая рекомендация особенно актуальна в эпоху троянов-шифровальщиков.

  • Резонно использовать для доступа к хранилищу бэкапов специально выделенные для этого учетные записи.
  • Следует избегать назначения прав доступа к хранилищу всевозможным пользователям, за исключением тех, кому они необходимы для выполнения резервного копирования.
  • И, конечно, не стоит повсеместно использовать учетку доменного админа.

Встречаются варианты, когда инфраструктура Veeam не включена в домен (как правило, в небольших организациях) или входит в домен, организованный специально для работы инструментов резервного копирования и защиты данных (в более крупных средах). В любом случае важно уделить внимание аутентификации и тщательному разграничению рабочей среды и инфраструктуры резервного копирования.

2. Имейте резервные копии, хранящиеся offline (без подключения к инфраструктуре)


Весьма действенный способ обезопасить себя от проникновения трояна-шифровальщика – сохранять резервные копии offline (то есть вне работающей инфраструктуры). Например, если вы используете решение Veeam, то можно рассмотреть следующие опции:
Где хранить данные Пояснение
Магнитная лента Всегда offline (если только не в процессе чтения-записи).
Реплика ВМ Обычно выключена; в большинстве случаев будет задействована в среде с аутентификацией, отдельной от продакшена (например, хосты vSphere и Hyper-V в разных доменах).
Аппаратные снимки производственных СХД Можно использовать для восстановления; обычно задействуются в среде с аутентификацией, отдельной от продакшена.
Бэкапы в Cloud Connect Не подключаются непосредственно к инфраструктуре резервного копирования; задействуют иной механизм аутентификации.
Сменные носители (например, внешний жесткий диск) Всегда offline (если только не в процессе чтения-записи).

Если вы используете выделенную СХД только для хранения резервных копий, то обычно такое хранилище используется только во время окна резервного копирования (скажем, только ночью). В этом случае отдельным простым способом перевода резервной копии в оффлайн будет настройка расписания автоматического выключения/включения СХД на период времени, когда оно не требуется.

3. Используйте для хранения бэкапов СХД с разными файловыми системами


Предупредить распространение шифровальщиков можно, используя разные файловые протоколы. Например, если держать репозиторий на Linux, то в этом случае при резервном копировании и восстановлении с помощью Veeam будет использоваться аутентификация Linux, а файловая система может быть как ext3, так и ext4 (или другая). Таким образом можно дополнительно защитить свои резервные копии. Вот несколько примеров систем хранения резервных копий с таким подходом:

  • СХД Data Domain со встроенной дедупликацией и использованием DDBoost (рекомендованный метод) или с монтированием NFS в случае, если DDBoost не используется
  • СХД Hewlett Packard Enterprise (HPE) StoreOnce со встроенной дедупликацией и использованием Catalyst
  • ExaGrid со встроенной дедупликацией и использованием Veeam agent

При указанных вариантах доступ к СХД со стороны процессов Veeam будет происходить в рамках специфического контекста безопасности (security context).



4. По возможности создавайте аппаратные снимки СХД резервных копий


Аппаратные снимки являются, так сказать, «полу-оффлайновым» способом сохранения данных в случае работы с основной СХД. Если же есть возможность создания аппаратных снимков и для СХД резервного копирования, то вполне резонно задействовать ее для предотвращения атак шифровальщиков.

5. Применяйте правило «3-2-1-1»


Как вы помните, есть правило «3-2-1», которое предписывает хранить 3 резервных копии как минимум на носителях двух типов, и одну из этих копий держать на резервной площадке (а не в месте расположения производственной инфраструктуры).



Это простое правило поможет вам практически в любой аварийной ситуации, при которой потребуется восстановить данные, и при этом оно не требует применения какой-либо специфической технологии. В эпоху шифровальщиков будет разумным добавить еще одну единичку к этому правилу, подразумевая, что один из носителей должен храниться offline. Приведенные выше опции (см. пункт 2) помогут вам с выбором носителя и способа хранения, что, в свою очередь, укрепит вашу инфраструктуру в противостоянии шифровальщикам.

6. Контролируйте работу оборудования и ПО


Одна из угроз, которые несут с собой шифровальщики — это потенциальная возможность распространения на другие системы. Поэтому важно контролировать работу оборудования, процессов и приложений с целью выявления подозрительной активности. Так, Veeam ONE 9.5 предлагает вашему вниманию новое встроенное оповещение Possible ransomware activity (вероятная активность шифровальщика). Оно срабатывает, если замечена повышенная активность в использовании ЦПУ и рост количества операций записи на диск.



7. Задействуйте задания переноса резервных копий Backup Copy Job


Для того, чтобы получить точку восстановления, хранящуюся на удаленной СХД и имеющую свою политику хранения (отличную от той, что задана в настройках бэкапа), удобно использовать задание переноса резервных копий Backup Copy Job. Это задание берет данные из репозитория резервных копий и на их основе создает точки восстановления на удаленной СХД. Так, например, если вы добавили еще одну СХД к инфраструктуре резервного копирования (допустим, Linux), то можно создать соответствующий репозиторий и затем настроить задание переноса для работы с ним.

В заключение можно сказать, что существует немало методов борьбы с троянами-«шифровальщиками», позволяющих сохранить ваши бэкапы в целости, и в этом посте была перечислена лишь их часть. Если же у вас есть личный опыт или конструктивные идеи на этот счет, милости простим в комментарии.

Что еще почитать и посмотреть


Статья на Хабре о правиле 3-2-1 для резервного копирования:

> Часть 1
> Часть 2
> Вебинар об интеграции Veeam и HPE StoreOnce (на русском языке)
> Статья базы знаний Veeam об интеграции с EMC Data Domain (на англ. языке)
Поделиться с друзьями
-->

Комментарии (47)


  1. elanc
    16.01.2017 16:51
    #10015598
    +1

    Вот бреда ради: а если ввести понятие допустимого объема изменения при автоматическом обновлении, а в случае превышения данного порога требовать подтверждение? Перед «заливкой» новой версии файла сравнивать N сегментов в старой и новой версиях, если количество схожих сегментов превысило Y, то заменяем старую версию новой, в противном случае требовать подтверждения. Защита от дураков простая, как камень на палке.


    1. elanc
      16.01.2017 16:53
      #10015608
      +1

      Прочитал свой комментарий и почему-то про Adinf вспомнил… Аж прослезился… Как же давно это было…


      1. YaakovTooth
        16.01.2017 20:24
        #10016102
        -1

        … единственный антивирус, который я использовал. И то, не для защиты, а потому что нравился безумно крутой способ работы и потрясающая скорость. Эх, досовские времена.


      1. quverty
        17.01.2017 21:48
        #10018442

        Помню, сам не только вспомнил прослезился но даже пришлось написать простенький аналог adinf, так как нужной функциональности в других не нашёл, а надо было срочно что-то делать с непонятно почему гибнущими файлами и дисками.


    1. Areso
      17.01.2017 09:16
      #10016846

      Заголовок утренних газет от 17 января: «Новый криптовымогатель, авторы которого вдохновились комментарием российского хакера elanc с известного сообщества криптоанархистов и анархоразработчиков Habrahabr, шифрует несколько случайных кусков файла, общим объемом до 5%, дабы обойти поведенческие защиты известных антивирусов».


    1. Demon_i
      17.01.2017 13:00
      #10017294

      Я вот одного не понимаю — почему это не использует ни один антивирус? Почему так сложно отследить вызов стандартных библиотек шифрования и выдавать предупреждения? Касперыч просит дофига денег, но НИЧЕГО абсолютно не гарантирует. Бизнес по-русски.


      1. pansa
        17.01.2017 21:20
        #10018360

        Очень легко сфолсить, например. Вы просто не представляете количество фидбека, которое можно огрести за блок казалось бы абсолютно неадекватного поведения ПО.
        Как их ловить — все постоянно думают, уверен, и в каспере тоже. Кто найдет серебряную пулю, тот получит очень много бонусов во всех смыслах.
        Только не бывать этому, боюсь. :(


  1. Tomas_Torquemada
    16.01.2017 16:56
    #10015614

    Что-тона скриншотах ничего не разобрать.


  1. navion
    16.01.2017 17:02
    #10015640

    Veeam Enterprise Manager ведь не будет работать без ввода сервера в домен?


    1. Tomas_Torquemada
      16.01.2017 17:23
      #10015688

      А что ему помешает?


      1. navion
        16.01.2017 17:28
        #10015696

        Доменную аутентификацию так просто не прикрутить.


        1. Tomas_Torquemada
          16.01.2017 17:29
          #10015702

          Вопрос был будет он работать без домена или нет.
          Ответ — будет.
          Что там у вас за сложности с доменной аутентификацией — непонятно.


          1. navion
            17.01.2017 13:33
            #10017390

            Сложность в желании закрыть доступ к серверу администраторам домена, но оставив портал самообслуживания.


            1. Tomas_Torquemada
              17.01.2017 17:03
              #10017830

              Доменные администраторы в администраторы Veeam Enterprise Manager попадают через группу локальных администраторов сервера, если у вас как-то ещё им права не выдаются на администрирование всех серверов подряд.
              Включить кого надо с необходимыми ролями в настройках Veeam Enterprise Manager.
              Не забыть кого-то Portal Administrator'ом сделать.
              а BUILTIN\Administrators в настройках Veeam Enterprise Manager выкинуть совсем.
              Тогда у членов группы BUILTIN\Administrators на сам сервер доступ останется — RDP и прочее — но именно в Veeam административные права отсохнут.


              1. navion
                17.01.2017 20:57
                #10018312

                Администратору домена не составит труда повысить права на доменной машине.


                1. Tomas_Torquemada
                  17.01.2017 21:08
                  #10018332

                  Читайте внимательнее.

                  на сам сервер доступ останется но именно в Veeam административные права отсохнут.

                  Ничего повышать на машине ему и не нужно.

                  Но если уж у вас так всё плохо в разделении полномочий с доменными админами или просто паранойя запредельная — то проблема не техническая.


                  1. navion
                    18.01.2017 10:52
                    #10019348

                    Тут вся статья про паранойю, а точнее про уменьшение рисков.


        1. mikkisse
          16.01.2017 17:29
          #10015704

          Для доменной аутентификации нужно включать в домен, да. Но ведь работать то без нее будет.


    1. mikkisse
      16.01.2017 17:27
      #10015692

      Будет


  1. datacompboy
    16.01.2017 20:29
    #10016110

    Бакапы должны быть append-only. Тогда их нельзя будет уничтожить шифрованием.


    1. maniacscientist
      16.01.2017 21:40
      #10016240

      Это не поможет против вируса на той машине, к которой подключены носители с бекапом. Ну, если только не написать специальную файловую систему с водкой и охранницами


      1. datacompboy
        17.01.2017 00:25
        #10016486

        Носители типа CD-R. Туда мультисессией можно заменять, при желании, но все предыдущие сессии тоже доступны, вместе с их данными.


        1. malbaron
          17.01.2017 01:31
          #10016544

          А переставлять их вручную?
          А стоимость хранения?


          1. Areso
            17.01.2017 09:16
            #10016848

            CD changer


        1. navion
          17.01.2017 13:32
          #10017382

          Есть WORM кассеты и схожая фича у NASов, но это скорее для требований регуляторов по долговременному хранению.


    1. poznawatel
      17.01.2017 13:00
      #10017296

      Это был бы идеал. Но в данный момент, при текущем уровне беспечности абсолютного большинства пользователей — недостижимый.
      Как пример — год назад я искал флешки с аппаратным выключателем записи. В Томске не оказалось, пришлось через Интернет заказывать и ждать!


      1. datacompboy
        17.01.2017 13:05
        #10017314

        хм. а можно пример флешки где аппапратный свич — аппаратный, а не програмный на уровне дров? (именно такие я видел исключительно, блин)


        1. poznawatel
          17.01.2017 15:02
          #10017624

          Я долго искал — выбрал Qumo ИНЬ и ЯНь.
          Кстати, на Яндекс Маркете среди россыпей ма это единственная марка с аппаратным микриком.


        1. electronus
          17.01.2017 19:06
          #10018062

          Он везде аппаратный. Работает на уровне контроллера.
          Иногда этот свич программный, но тоже работает на уровне контроллера
          Пластиковый свич на SD карте — тоже работает на уровне контроллера, и обойти его программно с хоста невозможно


          1. datacompboy
            17.01.2017 19:14
            #10018082

            Да, но есть и программный: http://www.bertold.org/sdtool/

            во-2х, поскольку это как с флопиками, надо «закрыть» датчик, то где гарантия что когда ты втыкаешь в чей-то ридер там уже не закорочено/заклеено, чтобы игнорировать шторку защиты?

            Я бы предпочел, чтоб он отключал write enable ножку внутри самого чипа карты памяти…


            1. electronus
              17.01.2017 20:25
              #10018224

              Мое уточнение заключается в том, что программно снять аппаратную блокировку невозмножно

              Просто — носить карту со своим ридером

              WE на флеш-чипе отключать нельзя. Контроллер делает housekeeping, даже если хост ничего не пишет. Проверял лично — usb флешки при играх с WE самого чипа моментально окукливаются до подъема их утилитами.
              WE силами контроллера — достаточно надежная вещь.


      1. electronus
        17.01.2017 19:08
        #10018072

        Аппаратный свич поможет при путешествиях по чужим хостам, но не поможет если сам заразился…


  1. amarao
    17.01.2017 00:02
    #10016456

    А что делать если мы не используем ни винды, ни проприетарного софта?


  1. pansa
    17.01.2017 01:50
    #10016564

    — Бэкап сервер должен сам вытягивать файлы с резервируемых машин.
    — Бэкап сервер не доступен по сети со стороны резервируемых машин.
    — вылизанный годами rsync позволяет создавать снимки бэкапируемых каталогов, место будут занимать только изменившиеся файлы.
    — даже виндовые машины можно бэкапить, на винде можно запустить ssh, а rsync умеет работать через него.
    — скрипт — в крон/systemd.timer
    Всё.


    1. malbaron
      17.01.2017 01:55
      #10016576
      -1

      Вот как раз такой широкоизвестный и не особо защищенный инструмент как rsync — запросто может быть шифровальщиками «накрыт»


      1. pansa
        17.01.2017 02:51
        #10016608

        Во-первых, не настолько широко, чтобы шифровальщики его использовали.
        Во-вторых, каким образом они его используют? Доступа с резервируемых машин к бэкап серверу не должно быть ни на уровне сети (фильтрация портов, dmz), ни на уровне «приложения» (ключи аутентификации, закладки, и тп).
        Поэтому, или уже расшифруйте ваше «запросто накрыт», может мы чего не знаем, или не говорите впустую.


      1. kvazimoda24
        17.01.2017 15:36
        #10017690

        А можно с этого места поподробнее? Просто, не могу понять, как можно запороть бэкап порчей rsync'а на стороне системы, которую бэкапят. У меня получаются варианты, что процесс бэкапа рушится и выдаётся предупреждение админу, либо идёт замена всех файлов, но в этом случае всегда можно взять предыдущую купию файлов.
        Единственный вариант, как порушить бэкап, так это заразить систему, которая хранит бэкапы, но предыдущий комментатор это учёл и указал, что "Бэкап сервер не доступен по сети со стороны резервируемых машин."


    1. vviz
      17.01.2017 15:36
      #10017692

      Согласен на все 100%. Немного дополню из продакшена:
      Бсервер на Linux.
      На источниках данных шаринг правами RO.
      bash скрипт, монтирует шаринги, забирает данные rsync на основе различия размера и времени модификации.
      12 (4+4+3+1) внешних USB 3.0 дисков с luks.
      Доступ к Бсервер только у админов по ssh-sftp/ключи.
      После создания суточного бэкапа сервер выключается, будится биосом в нужный момент бэкапа.
      Админ по потребности будит сервер через wol


  1. teecat
    17.01.2017 11:03
    #10017000
    +1

    Как я понимаю вариантов воздействия шифровальщика на систему резервного копирования два:
    — автоматически заменяются рабочие копии файлов на зашифрованные
    — используя дыру в системе бекапа шифровальщик внедряется в систему резервного копирования и портит там все напрямую.
    Второй вариант возможен (один пример известен), но честно говоря маловероятен. Для его парирования нужно использовать две разных системы резервирования, а также периодически контролировать состояние бекапов.
    Гораздо более вероятен первый вариант. Пройдемся по предлагаемым мерам защиты
    — Имейте резервные копии, хранящиеся offline (без подключения к инфраструктуре). Если состояние резервных копий не контролируется, то хоть на луне хранить — испорченные копии попадут и в оффлайн
    — Используйте для хранения бэкапов СХД с разными файловыми системами. Если система резервного копирования работает автоматически, то какая разница шифровальщику на какую ФС попадут испорченные данные?
    — По возможности создавайте аппаратные снимки СХД резервных копий. Не понимаю, как это может помочь в предотвращении атак шифровальщиков


  1. WERR0NI
    17.01.2017 13:00
    #10017300

    Пришла в голову такая мысль, а ведь большинство из этих вирусов шифруют файлы определенного типа, кто-то ориентировал вирус на фото, тобиш на рядового пользователя больше, кто-то на файлы бухгалтерии, бэкапы и так далее…
    Довольно не плохо защищать файлы простым удалением расширения в имени файла, что бы вирус пропускал файл при поиске…


    1. AlexBin
      17.01.2017 17:03
      #10017828

      Этот метод будет годен ровно до тех пор, пока не станет популярным. То бишь он уже не годен.


      1. navion
        17.01.2017 19:43
        #10018134

        Вроде бы на Ignite была занятная сессия от Полы Янушкевич по уменьшению вреда от малвари. Одним из советов было создание зацикленного симлинка в профиле, чтобы шифровальщик застрял на нём.


        1. AlexBin
          17.01.2017 21:18
          #10018356

          И этот метод будет годен ровно до тех пор, пока не станет популярным. То бишь он уже не годен.


          1. navion
            18.01.2017 10:52
            #10019350

            Это догадка или есть анализ зловреда с обходом подобных трюков?


            1. AlexBin
              18.01.2017 12:30
              #10019610

              Ну вот сами подумайте. Способ годный, и начинает набирать популярность. Будучи автором зловреда в такой ситуации, вы бы сами не сделали обход этого метода? Технически то это возможно.


              1. navion
                18.01.2017 14:04
                #10019908

                Он может иметь популярность у айтишников (которые не являются ЦА шифровальшиков), а обычные люди такой ерундой не занимаются. Плюс низкая культура разработки у авторов зловредов не позволяет отвлекаться на малополезные рюшечки.


                1. AlexBin
                  20.01.2017 08:28
                  #10023802

                  Вы говорите о вирусе, основная ЦА которого — обычные пользователи, а решение предлагаете, нацеленное на айтишников. Определитесь.

                  Мы можем надеяться на низкую культуру авторов разработки конкретно этих зловредов. Но есть зловреды с весьма впечатляющей культурой. Этим авторам технически ничто не мешает писать шифровальщики.

                  Рюшечки остаются рюшечками, пока они не влияют на доход. Если зацикленную симлинку начнут по умолчанию создавать во всяких пиратских сборках винды (как один из твиков, например, в свое время это было отключение автозапуска на флешках), то оно перестанет быть рюшечкой, и даже автор с низкой культурой разработки позаботиться о фиксе.