[Synology] Cheap ass ransomware beveiliging

Disclaimer
Ik ben een software ontwikkelaar en geen echte systeembeheerder. Alvast excuses voor de houtje touwtje oplossingen die hieronder volgen

We leveren in principe gewoon administratieve software aan klanten, maar ergens is het ontstaan (jaren geleden) dat we ook hardware bij ze neerzetten e.d. Don't shoot me (I should run, I know).

De situatie
Stel je hebt de volgende hardware:
- Een fysieke on premises Windows Server.
- Een Synology NAS met 2 bays.
- Een stel USB schijven.
- Meestal een brakke internetlijn waardoor een backup naar de cloud maken niet haalbaar is (denk aan een 8 mbit lijn waarover je een backup van 500GB wil sturen).

De backup die we hiervoor hebben verzonnen is het volgende:
1. Elke avond een volledige systeembackup met Macrium naar een share op de NAS.
2. Daarna wordt deze backup op de NAS van het ene volume naar het andere gekopieerd, naar een locatie waar de Windows Server niet bij kan.
3. Daarnaast wordt het Macrium image naar de aangesloten USB schijf gekopieerd op de NAS.
4. Op de NAS bewaren we 5 volledige Macrium images.
5. Op de NAS zijn meerdere user accounts aangemaakt, het account waarmee Windows backups maakt, is
geen admin op de NAS en kan verder nergens bij.
6. De NAS wordt automatisch bijgewerkt door Synology, meldingen worden per e-mail automatisch aan
ons doorgestuurd voor monitoring etc.

De redenatie is dan, dat:
- De Macrium backups op beide schijven in de NAS staan.
- Waarvan de kopieën op een schijf waar de Windows Server niet bij kan.
- En we dagelijks roterende USB schijven hebben waar de backup op komt.

Het idee is dat we hiermee zo goedkoop mogelijk toch een redelijke beveiliging tegen ransomware aanvallen hebben. En daarnaast natuurlijk ook een backup voor andere rampscenarios. Het kopiëren van de Macrium images op de NAS gebeurt met een Python script dat alleen steeds het laatste image kopieert, waardoor de images op het tweede volume niet zo snel aangetast zullen worden (dan ben je al een week verder).

Waar wil ik heen met dit topic?

Ik ben benieuwd wat jullie van deze setup vinden en in hoeverre het eventueel mogelijk is om hem te
verbeteren. Het grootste probleem hierbij is vooral financieel, het gaat om kleine MKB klanten die
de Dell server die ze hebben eigenlijk al te duur vinden. Dus we proberen ze zo goedkoop mogelijk te helpen (we hebben serieus al 2 klanten met een zelfbouw server ).

Of dat wijs is of niet, daar ga ik totaal niet over... dus het heeft weinig zin om daarover te discussiëren. Ik zou in een zakelijke situatie altijd een echte server kiezen en ook niet zo snel voor een Synology NAS die toch vooral op de consumenten markt gericht is en geen SLA heeft en Synology niet bepaald bekend om hun klantenservice staan. En een zelfbouwserver zonder ECC geheugen *brr* Maar dat terzijde

Gegeven de crappy randvoorwaarden heb ik geprobeerd een zo goedkoop mogelijke oplossing neer te zetten. Maar wellicht zie ik wel iets simpels over het hoofd waarmee het alsnog beter kan

Om alvast enkele overwegingen te delen:

Deze situatie heeft geen detectie voor bit rot. Daarvoor heb je altijd een RAID oplossing nodig. Voor de klanten die meer geld te besteden hebben, zit ik dan ook aan een 4 bay NAS te denken met 2 volumes die
elk een RAID 1 hebben.

Anyways... shoot!

Nu kan ik er nog dingen aan veranderen voordat het bij onze klantjes staat

PS
Dit vervangt een situatie waarbij er alleen backups naar USB werden gemaakt vanaf de Windows server. Klanten die weleens vergeten de schijf te vervangen, kunnen dus zwaar de Sjaak zijn bij een ransomware aanval. Soms raken ze simpelweg een week aan data kwijt. Dit proberen we te voorkomen.

MeNTaL_TO schreef op woensdag 8 januari 2020 @ 16:45:
Maar hoe ga je dan voorkomen dat je al maanden lang het ransomware virus op een systeem kan hebben staan voordat deze actief wordt?
Deze zit dan ook al in je backups en zal waarschijnlijk weer actief worden als je je backup terug zet.

Oftewel, hoe regel je je versioning?

De versioning gaat in dit geval 5 dagen terug.

Een ransomware infectie die rustig maandenlang wacht, zal sowieso een naar probleem zijn, ook al heb je versioning die maanden terug gaat... omdat het nooit geaccepteerd zal zijn om zo ver terug te gaan qua bedrijfsgegevens.

Dus ik zie ook niet helemaal wat uitgebreide versioning gaat oplossen in het door jou geschetste scenario.

Stel je hebt Active Backup for Business met versioning die maandenlang terug gaat in een deduplicated store. Dan zit dat ransomware virus ook in al die backups. Dus ik heb het gevoel dat je dan sowieso completely screwed bent.

Tenzij je simpelweg de boel opnieuw installeert en alleen de SQL databases terugzet etc. Maar ja, dat kan ik dan ook met de backups van de afgelopen 5 dagen (je kan bij Macrium ook gewoon alleen bepaalde bestanden terugzetten, waaronder de databases).

Dus je hoeft niet per se het hele systeem te herstellen als dat geen optie meer is.

Rannasha schreef op woensdag 8 januari 2020 @ 16:52:
Geavanceerde ransomware zal mogelijk de hele boel versleutelen en vervolgens bestanden on-the-fly ontsleutelen wanneer de gebruiker ze probeert te openen. Na een aantal <dagen/weken/maanden> stopt de malware hiermee en wordt je met de losgeld eis geconfronteerd. Op dat moment heb je dus <dagen/weken/maanden> aan versleutelde backups zitten maken.

Om hier tegen te beschermen zul je de integriteit van de bestanden moeten controleren.

Ik laat Macrium altijd het backup image verifiëren.

Of dit afdoende is, durf ik niet te zeggen. Wellicht zou het beter zijn als software op de NAS onafhankelijk van het bronsysteem het image zou valideren, maar dat wordt gegeven het budget lastig.

Overigens hebben we al meerdere klanten met ransomware gehad en moet ik tot nu toe constateren dat de meeste ransomware niet zo geavanceerd is als jij schetst. De simplistische "ik maak alleen een USB backup" oplossing die momenteel bij klanten draait, heeft ze toch vaak gered.

Dus de SQL backups die bijvoorbeeld op de schijven van de dagen ervoor staan, bleken nooit versleuteld te zijn. Alleen de schijf die er op dat moment aan hing.

mrFoce schreef op woensdag 8 januari 2020 @ 17:02:
[...]
Aangezien je een developer bent, is het voorstel dat je een paar 'honeypot' bestanden aanmaakt van bestandstypen die normaliter encrypted worden bij randsomware, daarna de hash waarde daarvan te controleren en als die niet meer overeenkomt, weet je dat je het backup process stop moet zetten.

Dit kan ik idd vrij eenvoudig als extra controle erbij bouwen. Ik ben alleen wel benieuwd hoe de ransomware dan gebruikers tijdelijk voor de gek houdt? Op welk niveau dat is.

Want als een gebruiker bijvoorbeeld in Word een "goede" versie krijgt te zien terwijl het bestand op de achtergrond al vernaggeld is, wat gebeurt er dan als ik een hash laat uitrekenen?

Zou jammer zijn als de ransomware ook mijn controle dan voor de gek houdt

Maar als extra controle kan het nooit kwaad natuurlijk.

pacificocean schreef op woensdag 8 januari 2020 @ 17:09:
Heb je er ook over nagedacht wat er bij een brand gebeurd? Heb je dan de data nog?

De klanten nemen hun USB backup mee naar huis.

Bij gebrek aan snelle internetverbindingen weet ik ook niet hoe je dat anders op kan lossen.

Eventueel - zit ik zelf voor thuis ook aan te denken - is een koffer die 1 uur brandwerend en waterdicht is nog een optie voor de schijven die het pand niet verlaten.

PS
Ik maak privé wel een cloud backup met Hyper Backup, maar ik heb thuis ook een 100 mbit glasvezel lijn. De meeste klanten hebben dat niet. Maar daarnaast heb ik ook 3 USB schijven zelf, waarvan er 2 thuis liggen en eentje op mijn werk. Met Bitlocker versleuteld.

[ Voor 30% gewijzigd door Lethalis op 08-01-2020 17:24 ]

maratropa schreef op woensdag 8 januari 2020 @ 17:26:
Hoe veel data gaat het om eigenlijk per dag nieuw? Valt het mee dan kun je nog wel met hyperbackup snachts differential backups maken? (met flink veel versies) (en de initiele backup bijvoorbeeld lokaal of ergens anders als het naar de cloud is?)

Grootste probleem zijn de SQL databases. Die kunnen heel groot worden (tot wel meer dan 100GB) en dat is gewoon 1 enkel bestand.

Dat komt omdat we daar ook PDF documenten in opslaan. En ja, in onze volgende versie is dit al aangepast waardoor we verwachten dat de databases onder de 10 GB grens zullen blijven (zodat we ook SQL Express kunnen aanbieden).

Ik hoop dit jaar dus - naast dit hele Macrium / Synology verhaal - ook SQL backups naar een cloud te kunnen maken.

Dan zijn de databases iig safe... en moeten ze in het ergste geval alles opnieuw installeren. Maar dan heb je iig geen kritisch gegevensverlies van de financiële / voorraad administratie etc.

mrFoce schreef op woensdag 8 januari 2020 @ 20:14:
[...]


Ik ben geen expert hierin en neem aan dat elke ransomware net iets anders werkt. Als ik een maker was van dat soort software zal ik waarschijnlijk kijken naar de 'last access date' van de bestanden. Daarmee kan je redelijk makkelijk uitvogelen wanneer iemand in een bestand aan het werk is geweest en die gewoon overslaan. Wanneer alles dan encrypted is, dan pas doe je recente bestanden

Mja ik vraag mij serieus af in hoeverre dit een gevalletje YAGNI is Als ik ransomware zou schrijven, dan zou ik het gewoon rustig om 1 uur 's nachts lokale tijd pas zijn werk laten doen en steeds alleen fragmenten van de bestanden laten encrypten (eerste blokken van X aantal bytes, waardoor de bestanden waardeloos worden, maar de encryptie lekker snel gaat).

Goede kans dat binnen een uurtje of 2 echt alles gaar is. Zeker als het multithreaded zijn werk doet op basis van het aantal cores.

Heb je geen bestanddatums nodig

Ik moet ook zeggen dat ik het "voor de gek houden" nog niet echt tegen ben gekomen. Meestal gaat het mis in het weekend bij klanten en staan ze maandagochtend naar een onwerkbaar systeem te staren. En dan gaan ze ons bellen uiteraard.

Wel zou ik als "hacker" een RAT activeren (remote access trojan) en zelf even kijken hoe de situatie er uitziet, met name proberen uit te vogelen waar de backups staan. En daar dan ook blokken van encrypten.

Dit hebben we ook al gezien, inclusief een tekstbestandje in de prullenbak met gecompromitteerde accounts en machines op het netwerk.

Scary stuff als je dat tegenkomt

Je kunt je ook niet overal tegen beschermen. Wel staat op zo'n Synology tegenwoordig automatisch blokkeren aan, waardoor brute forcen een stuk lastiger wordt gemaakt.

Voor Windows machines die niet in een domein zitten, kun je helaas niet eenvoudig een account lockout policy instellen, waardoor brute forcen een vervelend risico blijft als iemand eenmaal in jouw netwerk zit.

En voor de rest is het updates installeren, updates installeren, updates installeren etc. Al die RDP exploits vorig jaar waren killing. En in december kregen we zelfs patches voor zero days die actief werden misbruikt.

Verwijderd schreef op donderdag 9 januari 2020 @ 09:24:
Aangezien je geen sysadmin bent vraag ik mij af of je met NAS systemen aan de slag moet gaan. Die moet je namelijk ook monitoren, updaten enz. De klant gaat dat waarschijnlijk niet zelf doen. Kun je het beter ergens afnemen als online dienst.

Daar stellen we dus de e-mail meldingen van de Synology voor in. Deze meldingen komen op een gedeelde inbox binnen bij ons allemaal.

En ja, zoals ik al in de topic start schreef: daar ga ik niet over. Het liefste had ik gewild dat de klanten gewoon lekker zelf een bedrijf inhuren voor hun IT, maar dat doet ruim de helft niet. Ons management wil dan ineens dat wij daar iets in gaan betekenen met een backup oplossing etc.

Mijn angst is inderdaad dat dit een doorlopende werkzaamheid wordt die mij elke week tijd gaat kosten en daar zit ik zelf ook niet op te wachten. Maar goed, die discussie is hier op de zaak al een aantal keer gevoerd.

Zoals het bij onze grotere klanten loopt die zelf IT hebben ingehuurd, vind ik het meest ideale natuurlijk. Wij overleggen dan met het IT bedrijf alleen over wanneer wij updates installeren van onze software en voor de rest hoeven wij nergens naar om te kijken. Beheer, backups, etc ligt dan lekker bij dat andere bedrijf.

Veel van de kleinere klanten vinden dat natuurlijk te duur. Wat uiteraard al aangeeft dat wij nu iets gaan doen waar we nooit geld op kunnen gaan verdienen, maar de directie ziet dat als extra klantenbinding.

[ Voor 21% gewijzigd door Lethalis op 09-01-2020 10:46 ]

Axewi schreef op donderdag 9 januari 2020 @ 16:42:
[...]

De randsomware versleutelt de bestanden en blijft de bestanden actief ontsleutelen gedurende een periode van x dagen, op die manier merk je als gebruiker niet dat de bestanden stiekem al lang versleutelt zijn.
Na die x dagen stopt de randsomware met ontsleutelen en je kan niet meer bij je bestanden.

Heb je hier een bron / voorbeeld van?

Ik vraag mij namelijk af hoe dit technisch gezien werkt.

ThinkPadd schreef op donderdag 9 januari 2020 @ 16:29:
[...]
Zijn de schijven ook versleuteld? Als de schijf gejat wordt uit de auto dan heb je een datalek te pakken...

Macrium versleutelt zijn archieven met AES encryptie (als je dat goed instelt).

De schijven zelf zijn niet versleuteld, maar je kan dus niet zonder wachtwoord bij de gegevens. Synology ondersteunt helaas geen full disk encryption. Als ze dat nou eens zouden inbouwen in plaats van een nieuwe photo station.

Ach ja, blijft consumenten spul.

PS
Ik zet er ook liever een echte Linux server neer, maar dat is om verschillende redenen onhandig:
1. Hardware is al gauw duurder in aanschaf / installatietijd.
2. Bepaalde collega's hebben beperkte kennis van Linux.
3. Bij ellende ben ik dan altijd het haasje.

[ Voor 46% gewijzigd door Lethalis op 09-01-2020 20:51 ]

maratropa schreef op donderdag 9 januari 2020 @ 20:51:
@Lethalis maar moet je niet een van de tools op de syno gebruiken die heel veel versies van een bestand aan kan zoals hyperbackup of drive om gewoon lokaal een versioned backup op te bouwen die heel ver in de tijd terug kan, in nood?

Er is mij specifiek gevraagd dat ze snel de hele machine terug kunnen zetten ipv alleen bepaalde bestanden.

Ik heb wel naar Active Backup for Business gekeken echter, maar ben tijdens het testen tegen dingen aangelopen.

Sowieso is de software niet ingericht op verwisselbare media, en een backup maken van een repository en die terugzetten heb ik nare ervaringen mee.

Privé heb ik bijvoorbeeld een tijd lang backups gemaakt met Hyper Backup en de repository daarvan naar USB gekopieerd.

Bij een test is het mij niet gelukt alle data terug te krijgen, omdat de software van Synology (Hyper Backup Explorer) elke keer maar "partially restored" meldde.

Vervolgens vond ik via Google dat mensen dat al sinds jaren aan Synology melden, maar dat het niet wordt opgelost. Zo kun je ook geen hele shares terugzetten, maar alleen submappen met de Explorer.

Oftewel: compleet waardeloos voor mijn toepassing.

Thuis gebruik ik inmiddels een Windows machine die met Robocopy de bestanden naar een met Bitlocker versleutelde schijf kopieert.

En thuis heb ik ook spijt van mijn Synology aankoop... want met mijn Linux server kon ik met LUKS en rsync alles wat ik wou.

Ik liet me vooral verleiden door de zuinige en kleine hardware (en mogelijkheden tot cloud backup). Maar ga waarschijnlijk gewoon weer een server bouwen, desnoods met een mini itx bord.

Maar goed, dat even terzijde... ik heb dus meer vertrouwen in de backup software van Macrium (of bijvoorbeeld Veeam) dan in die van Synology... als ik straks in een noodsituatie alles weer aan de gang moet krijgen.

@Verwijderd
Hoe maak jij met een Synology dan een versleutelde USB backup? Daar liep ik in mijn privé situatie tegenaan.

Ik maak nu met Windows en Macrium een USB backup ipv met mijn Synology, omdat ik daar dus geen oplossing voor zie.

Voor de klanten kopieer ik simpelweg hun versleutelde Macrium backup image naar USB.

Dat mijn mening anders is dan die van jou, komt omdat ik thuis met mijn Linux bak an sich weinig issues had.

Het is alleen dat ik graag kleine en zuinige hardware wou en daardoor bij een NAS eindigde. Inmiddels heb ik nu dus de taken verdeeld... ipv alles met de Synology willen oplossen, doe ik nu ook dingen op een Intel NUC en gebruik ik de NAS puur voor file storage / sharing (omdat ik toch echt graag mijn USB backups encrypt).

Ik ben vooral fan van de hardware, de software wat minder

[ Voor 10% gewijzigd door Lethalis op 17-01-2020 13:50 ]

ThinkPadd schreef op vrijdag 17 januari 2020 @ 16:07:
[...]

Ik gebruik thuis de gratis variant van Veeam. Werkt wel OK en kan ook notificaties per mail geven. Ik laat hem backuppen naar een share op de NAS waar alleen Veeam bij kan (je kunt bij het aanmaken van de job credentials voor de netwerkshare meegeven).

Ik vind dat best spannend, omdat ransomware zoals Clop - die de universiteit van Maastricht heeft aangevallen - controleert welke shares gemount zijn door het OS / de huidige gebruiker.

Al zie jij de share niet in de verkenner, dan betekent dat niet automatisch dat het ook veilig is. Daarom sluis ik de Macrium backups op de Synology weg, naar een locatie waar Windows simpelweg niet bij kan.

Bron:
https://www.mcafee.com/bl...fee-labs/clop-ransomware/

Zorg er iig voor dat de taak in Veeam ook onder een andere user draait Maar ik ga er voor de zekerheid van uit dat ze overal bij kunnen in de Windows omgeving als hij eenmaal gehackt is.

PS
Die McAfee blogs zijn interessant om te lezen. Soms ook wel grappig... bijvoorbeeld dat er ransomware is die het niet meer doet op Windows XP (omdat het de nieuwe crypto functies van het OS gebruikt). Dus ironisch genoeg ben je dan veiliger

En tsja, als je met een Russische keyboard layout kunt leven ben je ook safe

Daarnaast heb ik inmiddels geleerd dat je binaries kunt uploaden naar virustotal.com en het dan door ~50 virusscanners wordt gescand. Best leerzaam ook hoe het werkt (op hash en heuristics).

Ik had vroeger altijd een hekel aan antivirus software (vanwege performance impact), maar anno nu toch geen slecht idee.

[ Voor 34% gewijzigd door Lethalis op 18-01-2020 15:50 ]