Soluzioni Corporate di backup Alessandro Stesi

Soluzioni Corporate di backup Test di auto-protezione

Tempo di lettura: 4 min

Introduzione

Alla luce del crescente numero di attacchi ransomware in cui i cryptolocker interrompono i processi di database per sbloccare i file di database per la crittografia (Cerber, GlobeImposter, Rapid, Serpent) e possono crittografare backup locali e di rete per richiedere il pagamento di un riscatto (Rapid, Spora), abbiamo deciso di testare le capacità di auto- protezione delle migliori soluzioni di backup utilizzate negli ambienti aziendali disponibili per la prova.

Il test mira a controllare la sostenibilità dei processi e dei servizi dei prodotti contro gli attacchi tipici al software di sicurezza descritti di seguito, nonché l’auto-protezione del backup locale e dei file dei prodotti. Il ransomware può crittografare i file di configurazione e i file di backup locali che appartengono a un programma di backup disabilitando il ripristino dei file. Inoltre, una volta ottenuto l’accesso ai processi dell’agente o del server, l’utente autore dell’attacco può eliminare le copie di backup dei file non solo a livello locale, ma anche nel cloud per conto di una soluzione di backup.

Questo documento è un riepilogo del report di test delle soluzioni di backup aziendali e include la descrizione dell’ambiente di test, l’elenco delle soluzioni testate e delle relative versioni, la panoramica degli scenari di test, nonché i risultati e le conclusioni basati su questi risultati. Non classifichiamo le soluzioni testate e non assegniamo alcun premio, ma forniamo i risultati “così come sono” a solo scopo informativo.

 

Ambiente di test

I test sono stati condotti sulle macchine virtuali di:

  • Windows 8.1 SP1 32 bit build 9600

  • Windows 10 Enterprise 64 bit Build 16299

  • Windows Server 2012 R2 Standard 64 bit

    v. 6.3.9600 Build 9600

Abbiamo testato soluzioni di backup su piattaforme
a 32 e 64 bit perché le tecniche di iniezione di processo utilizzate negli scenari di test differiscono su queste piattaforme. Inoltre, le build di prodotto a 32 e 64 bit possono contenere una diversa serie di funzionalità, tra cui quelle di auto-protezione, e la loro implementazione può dipendere dall’architettura del sistema operativo.

 

Prodotti testati

Sono state testate le versioni più recenti dei seguenti prodotti disponibili al momento del test:

Nome prodotto

Componenti

Versione

Acronis Backup

Management Server

Agent

12.5 9010

12.5 9010

Arcserve

Unified Data Protection Server

Unified Data Protection Client

6.5.4175 Aggiornamento 2 Build 667

6.5.4175.791 v.r6.5

Veeam

Backup & Replication

Agent for Microsoft Windows

9.5 Aggiornamento 3

2.1.0.423

Veritas Backup Exec

Server

Agent Utility pour Windows

16.0 Rev. 1142

16.0 Rev. 1142-1632

 

Ogni prodotto è stato installato con le impostazioni predefinite e aggiornato prima dell’esecuzione del test.

 

Scenari dei test

La suite di test comprende 31 test che simulano attacchi a file di backup locali, file dei prodotti, processi, servizi e un cloud storage che mirano al blocco del servizio di backup e ripristino. La categoria di test “Protezione dei file dei prodotti” contiene semplici test volti a distruggere i file di backup e di applicazione rendendo impossibile il recupero dei dati crittografati da ransomware.

Il secondo gruppo di test “Protezione dei processi e dei servizi dei prodotti” è essenziale per l’auto-protezione poiché il malware può iniettare il codice dannoso in un agente di backup e agire per conto di una soluzione di backup ottenendo tutti i privilegi necessari per controllare i file di backup. Per volere di un aggressore, un processo dannoso può interrompere processi e servizi con conseguente blocco dell’applicazione di backup e ripristino

o eliminazione di file di backup per conto di una soluzione di backup. L’ultima serie di test è “Protezione del backup e del ripristino del cloud” ed è indirizzata alle interfacce di comunicazione con lo storage cloud. L’attacco di poisoning del DNS o l’uso improprio della CLI possono causare l’interruzione del servizio di backup del cloud.

 

Conclusioni

 

Lo scopo del test consisteva nel verificare le capacità di auto-protezione del software di backup per proteggere i relativi file, processi, servizi e cloud storage dagli scenari che possono essere potenzialmente eseguiti dal ransomware.

I risultati hanno mostrato che la maggior parte dei prodotti testati non è pronta in molti casi a contrastare gli attacchi di tipo ransomware consentendo a un potenziale aggressore di bloccare i backup dell’utente e disabilitare i servizi di backup e ripristino. Soltanto Acronis Backup ha mostrato buoni risultati con un tasso di efficacia dell’87% e dell’81% per prodotti a 32 bit e 64 bit, fornendo in modo analogo funzionalità complete di auto-protezione e sostenibilità dei servizi.

Scarica il reparto completo qui: Nio Guard Independent Study_IT

 

Articoli correlati:

Acronis Cyber Cloud Active Protection: Racconto di due attacchi di ramsoware

Acronis Data Cloud 7.7 | Backup locale

Acronis Data Cloud 7.7 | Tutte le novita’ della versione 7.7

Protezione dati moderna: La differenza e’ nel Cloud

Condividi


RSS

Piu’ articoli…

Categorie …

Tags

RSS CSIRT

RSS Dark Reading:

RSS Full Disclosure

  • APPLE-SA-2021-09-13-5 Safari 14.1.2 Settembre 17, 2021
    Posted by Apple Product Security via Fulldisclosure on Sep 17APPLE-SA-2021-09-13-5 Safari 14.1.2 Safari 14.1.2 addresses the following issues. Information about the security content is also available at https://support.apple.com/HT212808. WebKit Available for: macOS Catalina and macOS Mojave Impact: Processing maliciously crafted web content may lead to arbitrary code execution. Apple is aware of a report that […]
  • APPLE-SA-2021-09-13-4 Security Update 2021-005 Catalina Settembre 17, 2021
    Posted by Apple Product Security via Fulldisclosure on Sep 17APPLE-SA-2021-09-13-4 Security Update 2021-005 Catalina Security Update 2021-005 Catalina addresses the following issues. Information about the security content is also available at https://support.apple.com/HT212805. CoreGraphics Available for: macOS Catalina Impact: Processing a maliciously crafted PDF may lead to arbitrary code execution. Apple is aware of a report […]
  • APPLE-SA-2021-09-13-3 macOS Big Sur 11.6 Settembre 17, 2021
    Posted by Apple Product Security via Fulldisclosure on Sep 17APPLE-SA-2021-09-13-3 macOS Big Sur 11.6 macOS Big Sur 11.6 addresses the following issues. Information about the security content is also available at https://support.apple.com/HT212804. CoreGraphics Available for: macOS Big Sur Impact: Processing a maliciously crafted PDF may lead to arbitrary code execution. Apple is aware of a […]
  • APPLE-SA-2021-09-13-2 watchOS 7.6.2 Settembre 17, 2021
    Posted by Apple Product Security via Fulldisclosure on Sep 17APPLE-SA-2021-09-13-2 watchOS 7.6.2 watchOS 7.6.2 addresses the following issues. Information about the security content is also available at https://support.apple.com/HT212806. CoreGraphics Available for: Apple Watch Series 3 and later Impact: Processing a maliciously crafted PDF may lead to arbitrary code execution. Apple is aware of a report […]
  • APPLE-SA-2021-09-13-1 iOS 14.8 and iPadOS 14.8 Settembre 17, 2021
    Posted by Apple Product Security via Fulldisclosure on Sep 17APPLE-SA-2021-09-13-1 iOS 14.8 and iPadOS 14.8 iOS 14.8 and iPadOS 14.8 addresses the following issues. Information about the security content is also available at https://support.apple.com/HT212807. CoreGraphics Available for: iPhone 6s and later, iPad Pro (all models), iPad Air 2 and later, iPad 5th generation and later, […]
  • AMD Chipset Driver Information Disclosure Vulnerability [CVE-2021-26333] Settembre 17, 2021
    Posted by disclosure on Sep 17We recently discovered a critical information disclosure vulnerability that affected the AMD Platform Security Processor (PSP) chipset driver for multiple CPU architectures. The vulnerability allowed non-privileged users to read uninitialised physical memory pages, where the original data was either moved or paged out. https://zeroperil.co.uk/cve-2021-26333/ Regards, Kyriakos Economou | Co-Founder kye […]
  • Microsoft Windows Command-line Interpreter "cmd.exe" / Stack Buffer Overflow Settembre 17, 2021
    Posted by hyp3rlinx on Sep 17[+] Credits: John Page (aka hyp3rlinx, malvuln) [+] Website: hyp3rlinx.altervista.org [+] Source: http://hyp3rlinx.altervista.org/advisories/MICROSOFT-WINDOWS-CMD.EXE-STACK-BUFFER-OVERFLOW.txt [+] twitter.com/hyp3rlinx [+] ISR: ApparitionSec [Vendor] www.microsoft.com [Product] cmd.exe is the default command-line interpreter for the OS/2, eComStation, ArcaOS, Microsoft Windows (Windows NT family and Windows CE family), and ReactOS operating...
  • Backdoor.Win32.WinterLove.i / Hardcoded Weak Password Settembre 14, 2021
    Posted by malvuln on Sep 14Discovery / credits: Malvuln - malvuln.com (c) 2021 Original source: https://malvuln.com/advisory/c6c81e8ba0a7b9da6216a78dfeccec8d.txt Contact: malvuln13 () gmail com Media: twitter.com/malvuln Threat: Backdoor.Win32.WinterLove.i Vulnerability: Hardcoded Weak Password Description: The WinterLove malware requires authentication for remote user access. However, the password "plunix" is weak and hardcoded in plaintext within the...
  • Backdoor.Win32.Wollf.h / Unauthenticated Remote Command Execution Settembre 14, 2021
    Posted by malvuln on Sep 14Discovery / credits: Malvuln - malvuln.com (c) 2021 Original source: https://malvuln.com/advisory/d0fd60516d53b2ad602c460351dbaa85.txt Contact: malvuln13 () gmail com Media: twitter.com/malvuln Threat: Backdoor.Win32.Wollf.h Vulnerability: Unauthenticated Remote Command Execution Description: The malware listens on TCP port 7614 installs a service named WRM. Third-party attackers who can reach the system can get a shell with […]
  • Backdoor.Win32.VB.awm / Authentication Bypass - Information Leakage Settembre 14, 2021
    Posted by malvuln on Sep 14Discovery / credits: Malvuln - malvuln.com (c) 2021 Original source: https://malvuln.com/advisory/2271d942a23a89d7adea524d4ac3c13f.txt Contact: malvuln13 () gmail com Media: twitter.com/malvuln Threat: Backdoor.Win32.VB.awm Vulnerability: Authentication Bypass - Information Leakage Description: The "Cryptech Heat" malware listens on TCP port 3786 and has an option to set an remote access password. The malware also runs […]

Customers

Newsletter