Voorbereiden op herstel van ransomware

pagani schreef op maandag 17 augustus 2020 @ 15:10:
Air gappen is leuk, maar praktisch alle moderne ransomware bereidt zich daarop voor

fRiEtJeSaTe schreef op maandag 17 augustus 2020 @ 15:00:
Wie kent het probleem en heeft mogelijk een oplossing?

[ Voor 46% gewijzigd door F_J_K op 17-08-2020 15:18 ]

fRiEtJeSaTe schreef op maandag 17 augustus 2020 @ 15:00:
We maken offline-backups van data en servers; air-gapped, redelijk veilig denk ik. Het gros van de servers draait virtueel in een cluster en is redelijk snel te herstellen.

Maar wat heb ik aan draaiende servers als alle clients naar een bitcoin-scherm (Petya) zitten te kijken? Juist hier zit voor ons het probleem. We hebben veel mensen in de buitendienst, die ik graag een mogelijkheid zou willen geven om op dat moment van afstand te kunnen herstellen, naar in ieder geval een soort basisniveau. Met MDT dwing ik iedereen per direct naar kantoor, geen wenselijke situatie.

Gomez12 schreef op maandag 17 augustus 2020 @ 15:32:
[...]
Je bent ermee bekend dat huidige ransomware rustig maanden in je software zit voordat je er iets van ziet, oftewel heb je ook air-gapped backups van maanden terug en heb je dan nog wel iets aan die data?

I_IBlackI_I schreef op maandag 17 augustus 2020 @ 16:38:
Vaak zie je dat alle bestanden al tijden ge-encrypt zijn, en gedurende runtime ontsleuteld worden. Na verloop van tijd gooit de ransomware de sleutel weg, en dan kom je er achter dat alles versleuteld is. Dus ook de bestanden in je backup.

fRiEtJeSaTe schreef op maandag 17 augustus 2020 @ 15:24:
[...]
Het gros van de users werkt met powertools zoals Revit. Deze in de cloud draaien is onderzocht maar geen optie i.v.m. mouse-lag en bestandsgrootte waarmee wordt gewerkt (1GB). Beleid is geen data opslaan op de laptop. Het 'cache' is dan ook voor eigen risico. Gaat er puur om dat de laptop z.s.m. weer in business is met zo min mogelijk handelingen voor IT (die het op dat moment het al druk genoeg heeft).

I_IBlackI_I schreef op maandag 17 augustus 2020 @ 16:38:
Vaak zie je dat alle bestanden al tijden ge-encrypt zijn, en gedurende runtime ontsleuteld worden. Na verloop van tijd gooit de ransomware de sleutel weg, en dan kom je er achter dat alles versleuteld is. Dus ook de bestanden in je backup.

fRiEtJeSaTe schreef op dinsdag 18 augustus 2020 @ 20:31:
[...]
Ik heb moeite om me voor te stellen dat er een extra laag draait die bestanden eerst decrypt, alvorens ze te openen. Neem aan dat dit niet gewoon Bitlocker is.

fRiEtJeSaTe schreef op dinsdag 18 augustus 2020 @ 23:37:
Ik kan er werkelijk niets over vinden. De pakkans lijkt me ook substantieel hoger.
Heb je concrete voorbeelden van ransomware die op deze wijze te werk gaat?

fRiEtJeSaTe schreef op dinsdag 18 augustus 2020 @ 20:31:
[...]
Ik heb moeite om me voor te stellen dat er een extra laag draait die bestanden eerst decrypt, alvorens ze te openen.
[...]

[ Voor 3% gewijzigd door Heroic_Nonsense op 19-08-2020 07:57 ]

fRiEtJeSaTe schreef op woensdag 19 augustus 2020 @ 18:30:
Of staat de decryptiesleutel niet op de fileserver maar in de cloud?

F_J_K schreef op maandag 17 augustus 2020 @ 15:35:
[...]

Dat valt dus te mitigeren door achter de air gap de backup structureel iedere keer te testen. Verspreid @random een paar honderd bestanden van variërende grootte op evenzoveel plaatsen en een dozijn belangrijkste bestandstypes. Check iedere keer de checksums met de aan jouw kant bekende checksums. Als er een verschil zit in 1 van die files: meteen piepen. (En oudere backups dan niet meer weggooien tot er duidelijkheid is )

Of loop ik achter?

Bockelaar schreef op woensdag 19 augustus 2020 @ 18:43:
[...]

en dat in een kleine MKB? met 2 man? succes

Daar zijn scripts voor uitgevonden, inderdaad niet met de hand kijken en met kroontjespen afvinken

fRiEtJeSaTe schreef op woensdag 19 augustus 2020 @ 18:30:
Ok helder, deels.
Ik focus even op de fileserver. Deze wordt als VM gebackupt, en regelmatig gecontroleerd op werking. Men ziet de ransomware over het hoofd omdat de bestanden benaderbaar blijven via de extra laag op de fileserver die onthefly decrypt. Het moment is daar de ransomware wordt actief, sleutel wordt verwijderd.

Als er dan een backup teruggezet wordt van de complete VM, dan zit die decyptiesleutel en laag er toch nog in en zijn de bestanden benaderbaar? Mits de datum in bet verleden blijft zodat de ransomware niet actief wordt? Of staat de decryptiesleutel niet op de fileserver maar in de cloud?

F_J_K schreef op woensdag 19 augustus 2020 @ 19:05:
[...]

Daar zijn scripts voor uitgevonden, inderdaad niet met de hand kijken en met kroontjespen afvinken

Wim-Bart schreef op woensdag 19 augustus 2020 @ 02:58:
Even over backup. Je kan Air Backed backups gewoon testen. Enige wat je nodig hebt is wat oudere hardware die los staat van de rest.

Wat je doet is dat je op een oude server met voldoende ruimte, ESX hebt draaien, gratis versie is geen enkel issue.
Daar restore je een aantal VM's naar toe, een domein controller (je PDC) een database server, een fileserver (of gedeelte daar van) wat applicatie servers. Kortom een kleine representatie van je omgeving. Belangrijk is om niets te wijzigen. Je past zelfs geen IP adressen aan.

Je zorgt ervoor dat het VM Netwerk waarin de servers staan geen verbinding naar buiten heeft. Zeer belangrijk, ook omdat je je IP nummers niet moet wijzigen. Je start nu alle VM's op, alsof het gewoon je productie omgeving is.

Hierna begin je de tijd van de ESX server in stapjes van een paar dagen te verhogen, dit kan je met een script doen. Gewoon iedere 30 minuten een dag er bij. Dat laat je gewoon draaien tot de omgeving 6 maanden vooruit loopt. Hieruit kan je dan zien wat er gaat gebeuren.

Na de test gooi je alles weer weg.

jimbo123 schreef op donderdag 20 augustus 2020 @ 10:25:
[...]


Dan ga je er wel vanuit dat de ransomware offline de datum/tijd checkt als er geen internetverbinding is. Denk dat ‘ie meestal gewoon blijft slapen als er geen verbinding met internet mogelijk is

Gomez12 schreef op woensdag 19 augustus 2020 @ 22:07:
[...]
Heb je wellicht wat links naar die scripts (of betaalde programma's) want met kleine MKB en 2 man op systeembeheer heb ik eerlijk gezegd weinig vertrouwen in iets zelfgebrouwen van die 2 man, het is simpelweg een specialisme op zich om het echt goed te krijgen etc.

Dan zou ik toch liever zien : Betaal x en het is gewoon geregeld en wordt onderhouden door experts...

1
2
3
4
5
6
7
8
9
10
11

# bron: https://stackoverflow.com/questions/11746287/compare-filehash-in-powershell
# Get the file hashes
$hashSrc = Get-Hash $file -Algorithm "SHA256"
$hashDest = Get-Hash $file2 -Algorithm "SHA256"

# Compare the hashes & note this in the log
If ($hashSrc.HashString -ne $hashDest.HashString)
{
  Add-Content -Path $cLogFile -Value " Source File Hash: $hashSrc does not 
  equal Existing Destination File Hash: $hashDest the files are NOT EQUAL."
}

[ Voor 0% gewijzigd door F_J_K op 20-08-2020 11:35 . Reden: bron opnemen in de [code= tag is onzinnig, nu dus als comment erbij ]

F_J_K schreef op donderdag 20 augustus 2020 @ 11:34:
[...]
Is met een paar regels powershell of bash te maken, licentie kopen lijkt me overkill.
...
Maar dan dus een vaste waarde ipv hashSrc (en in een loopje meer 'canary in the coal mine' files langslopen) en desgewenst Send-MailMessage ipv logfile aanvullen. Idem bijv. shasum onder Linux.

fRiEtJeSaTe schreef op maandag 17 augustus 2020 @ 15:00:
Ik werk voor een MKB-bedrijf met ongeveer 150 Windows devices, 2 man part-time op de IT-afdeling.
Nu vroeg ik mezelf af hoe (snel) wij recoveren van een ransomware-aanval, zoals die zo vaak in de media te vinden is de laatste tijd.

We maken offline-backups van data en servers; air-gapped, redelijk veilig denk ik. Het gros van de servers draait virtueel in een cluster en is redelijk snel te herstellen.

Maar wat heb ik aan draaiende servers als alle clients naar een bitcoin-scherm (Petya) zitten te kijken? Juist hier zit voor ons het probleem. We hebben veel mensen in de buitendienst, die ik graag een mogelijkheid zou willen geven om op dat moment van afstand te kunnen herstellen, naar in ieder geval een soort basisniveau. Met MDT dwing ik iedereen per direct naar kantoor, geen wenselijke situatie.

Ik begrijp dat Windows Autopilot mogelijk geschikt is, maar betekent dit een complete revisie van (Dell) hardware? (vergelijkbaar aan Apple MDM, bestaande toestellen kunnen niet worden toegevoegd?). Of kan ik ook bestaande hardware herstellen? Ransomware versleutelt alles, dus het apparaat zal toch een soort pre-boot omgeving moeten hebben? Of de pragmatische / low-tech oplossing; Autopilot i.c.m. een usb-stick die we aan alle buitendienst collega's verstrekken?

Wie kent het probleem en heeft mogelijk een oplossing?

Steven-b schreef op donderdag 14 januari 2021 @ 13:29:
Excuses voor de late reply, ik ben niet zo actief op het forum maar zag dit interessante topic toevallig voorbij komen tijdens het scrollen op het forum

Wijzelf gebruiken SAN's die het ZFS filesysteem draaien, de snapshot functionaliteit is fantastisch en je zet bij wijze van spreken je omgeving in een handomdraai terug afhankelijk van hoeveel data je moet restoren natuurlijk.

skai21 schreef op dinsdag 19 januari 2021 @ 21:55:
[...]

Maar niet airgapped, waar er dus kans is dat ook die versleuteld wordt. Wij hebben alles draaien op NetApps en hebben ook super uitgebreidde en snelle restore mogelijkheden. Maar daarnaast toch ook echt nog een of meerdere airgapped alternatieve.

Steven-b schreef op woensdag 20 januari 2021 @ 09:52:
[...]


Dat hangt er een beetje vanaf uiteraard hoe de infrastructuur ontworpen is, ZFS Snapshots zijn read-only dus daar valt weinig aan te torsen tenzij er iemand toegang heeft tot dat systeem en deze zou deleten.
Sommige KMO's die het budget ervoor hebben doen ook een offsite replicatie van hun snapshots en niets anders buiten het systeem dat de snapshots verzend heeft hier toegang toe.

Wij gebruiken de off-site replicatie meer om de snapshots langer te kunnen behouden bv. maanden en eventueel jaren (dat laatste is nu nog niet voorgevallen, maar het kan.)
Op de productiesystemen zelf staat er uiteraard een kortere retentietijd.

De storage zelf word gekoppeld via iSCSI naar de Windows/VMWare laag dus als er iets geencrypteerd zou worden is het de ZVOL maar niet de snapshots.

Nu moet ik eerlijk toegeven dat ik geen ervaring heb met NetApp, dus ik ken zijn snapshot/restore mogelijkheden niet.
Ook de term Airgapped begrijp ik maar had ik tot nu toe niet gehoord, ik ben er wel van overtuigd dat dit mogelijk is om een systeem te hebben dat backups bijhoud en niet verbonden is met het internet maar op een gegeven moment zal je toch niet anders kunnen dan ook hier toegang tot te voorzien om te maintenancen bevoorbeeld of de storage die gerepliceerd dient te worden (op dat moment onstaat er effectief een fysieke link tussen de productiesystemen en het airgapped systeem, deze link is een risico.)

Ik ken niemand die bv. een systeem volledig offline houd, updates binnenhaalt elders, deze eerst gaat verifiëren op een ander systeem om dan vervolgens deze te implementeren op het airgapped systeem.
Ook qua data ken ik niemand die dit manueel begint over te zetten:

Hiermee bedoel ik bv in het geval van ZFS een heleboel snapshots repliceren naar een aparte pool op aparte disks om dan vervolgens deze disks te verplaatsen naar het airgapped systeem om deze over te zetten.
Want alleen dan bekom je naar mijn mening een echt airgapped backup systeem maar ook hier kan er al vanalles ingeslopen zijn zonder dat je het beseft en kan je alleen hopen dat je genoeg retentie had om de klok terug te draaien.

Kan je meer details geven over de airgapped alternatieven? Ik ben hierin zeker wel zéér geintresseerd en kan hier vooral van bijleren.

skai21 schreef op woensdag 20 januari 2021 @ 10:11:
[...]


Veeam Immutable Backups zijn wel eens goed om je op in te lezen:
https://www.veeam.com/blo...ud-tier-immutability.html

Dit maakt een Amazon S3 bucket aan voor iedere backup, en zet daar een retentie op.
Tijdens die retentie kan niemand het weggooien of aanpassen, zelfs een full AWS admin niet.
Als je dus perongeluk een 7 jaar retentie immutable instelt, zit je dus letterlijk 7 jaar vast aan die backup.

Airgapped / immutable backups, zijn echt intressant leesmateriaal.

Mocht je denken dat je ZFS snapshots alleen voldoende "ge-airgapped" zijn, zou ik het volgende eens lezen:
https://www.reddit.com/r/...xi_ransomware_postmortem/
Het is een ander voorbeeld, en een gerichte aanval. Maar het geeft wel aan dat zolang het niet 100% losgekoppeld is. Je het altijd kunt beinvloeden, encrypten of verwijderen.
Bij een echte airgapped / immutable backup, is de enige mogelijkheid om het fout te laten lopen. Het systeem infiltreren, zorgen dat je malware/ransomware onder de radar blijft tot de volledige immutable retentie voorbij is. En dan pas enablen..

Al met al vind ik het intressante materie, en de grootste uitdaging is de beste middenweg vinden in bruikbaarheid/kosten/security.

Steven-b schreef op woensdag 20 januari 2021 @ 11:58:
[...]


Bedankt, dit is inderdaad interessante materie en doet me opnieuw nadenken op vele vlakken van security/disaster recovery etc.

Ik dacht zeker niet dat ZFS snapshots alleen voldoende zouden zijn maar toch al zeker een stap in de juiste richting indien men off-site gaat repliceren en zolang men zich geen toegang kan verschaffen tot deze infrastructuur of tot dit specifieke systeem.

AWS S3 Object Lock / Immutable backups/snapshots is inderdaad intressant, helaas bekijken vele klanten dit alleen maar als een extra kost, de ogen worden pas geopend nadat m'n serieus in de stront zit.
Dit is niet alleen zo bij de kleintjes maar ook bij de grotere heb ik uit eigen ervaring helaas al kunnen vaststellen.

Overigens zal ransomware alleen nog maar geavanceerder worden, er zijn er blijkbaar al die zich kunnen nestelen in je UEFI firmware (gelukkig nog geen ervaring mee gehad!) die je steeds opnieuw en opnieuw zal infecteren maakt niet uit welke snapshot/backup je dan ook restored.

Ook hier zou je van kunnen recoveren maar het maakt het voor de meeste toch een uitdaging en dit gaat ook op voor mezelf.