Soluzioni Corporate di backup Alessandro Stesi

Soluzioni Corporate di backup Test di auto-protezione

Tempo di lettura: 4 min

Introduzione

Alla luce del crescente numero di attacchi ransomware in cui i cryptolocker interrompono i processi di database per sbloccare i file di database per la crittografia (Cerber, GlobeImposter, Rapid, Serpent) e possono crittografare backup locali e di rete per richiedere il pagamento di un riscatto (Rapid, Spora), abbiamo deciso di testare le capacità di auto- protezione delle migliori soluzioni di backup utilizzate negli ambienti aziendali disponibili per la prova.

Il test mira a controllare la sostenibilità dei processi e dei servizi dei prodotti contro gli attacchi tipici al software di sicurezza descritti di seguito, nonché l’auto-protezione del backup locale e dei file dei prodotti. Il ransomware può crittografare i file di configurazione e i file di backup locali che appartengono a un programma di backup disabilitando il ripristino dei file. Inoltre, una volta ottenuto l’accesso ai processi dell’agente o del server, l’utente autore dell’attacco può eliminare le copie di backup dei file non solo a livello locale, ma anche nel cloud per conto di una soluzione di backup.

Questo documento è un riepilogo del report di test delle soluzioni di backup aziendali e include la descrizione dell’ambiente di test, l’elenco delle soluzioni testate e delle relative versioni, la panoramica degli scenari di test, nonché i risultati e le conclusioni basati su questi risultati. Non classifichiamo le soluzioni testate e non assegniamo alcun premio, ma forniamo i risultati “così come sono” a solo scopo informativo.

 

Ambiente di test

I test sono stati condotti sulle macchine virtuali di:

  • Windows 8.1 SP1 32 bit build 9600

  • Windows 10 Enterprise 64 bit Build 16299

  • Windows Server 2012 R2 Standard 64 bit

    v. 6.3.9600 Build 9600

Abbiamo testato soluzioni di backup su piattaforme
a 32 e 64 bit perché le tecniche di iniezione di processo utilizzate negli scenari di test differiscono su queste piattaforme. Inoltre, le build di prodotto a 32 e 64 bit possono contenere una diversa serie di funzionalità, tra cui quelle di auto-protezione, e la loro implementazione può dipendere dall’architettura del sistema operativo.

 

Prodotti testati

Sono state testate le versioni più recenti dei seguenti prodotti disponibili al momento del test:

Nome prodotto

Componenti

Versione

Acronis Backup

Management Server

Agent

12.5 9010

12.5 9010

Arcserve

Unified Data Protection Server

Unified Data Protection Client

6.5.4175 Aggiornamento 2 Build 667

6.5.4175.791 v.r6.5

Veeam

Backup & Replication

Agent for Microsoft Windows

9.5 Aggiornamento 3

2.1.0.423

Veritas Backup Exec

Server

Agent Utility pour Windows

16.0 Rev. 1142

16.0 Rev. 1142-1632

 

Ogni prodotto è stato installato con le impostazioni predefinite e aggiornato prima dell’esecuzione del test.

 

Scenari dei test

La suite di test comprende 31 test che simulano attacchi a file di backup locali, file dei prodotti, processi, servizi e un cloud storage che mirano al blocco del servizio di backup e ripristino. La categoria di test “Protezione dei file dei prodotti” contiene semplici test volti a distruggere i file di backup e di applicazione rendendo impossibile il recupero dei dati crittografati da ransomware.

Il secondo gruppo di test “Protezione dei processi e dei servizi dei prodotti” è essenziale per l’auto-protezione poiché il malware può iniettare il codice dannoso in un agente di backup e agire per conto di una soluzione di backup ottenendo tutti i privilegi necessari per controllare i file di backup. Per volere di un aggressore, un processo dannoso può interrompere processi e servizi con conseguente blocco dell’applicazione di backup e ripristino

o eliminazione di file di backup per conto di una soluzione di backup. L’ultima serie di test è “Protezione del backup e del ripristino del cloud” ed è indirizzata alle interfacce di comunicazione con lo storage cloud. L’attacco di poisoning del DNS o l’uso improprio della CLI possono causare l’interruzione del servizio di backup del cloud.

 

Conclusioni

 

Lo scopo del test consisteva nel verificare le capacità di auto-protezione del software di backup per proteggere i relativi file, processi, servizi e cloud storage dagli scenari che possono essere potenzialmente eseguiti dal ransomware.

I risultati hanno mostrato che la maggior parte dei prodotti testati non è pronta in molti casi a contrastare gli attacchi di tipo ransomware consentendo a un potenziale aggressore di bloccare i backup dell’utente e disabilitare i servizi di backup e ripristino. Soltanto Acronis Backup ha mostrato buoni risultati con un tasso di efficacia dell’87% e dell’81% per prodotti a 32 bit e 64 bit, fornendo in modo analogo funzionalità complete di auto-protezione e sostenibilità dei servizi.

Scarica il reparto completo qui: Nio Guard Independent Study_IT

 

Articoli correlati:

Acronis Cyber Cloud Active Protection: Racconto di due attacchi di ramsoware

Acronis Data Cloud 7.7 | Backup locale

Acronis Data Cloud 7.7 | Tutte le novita’ della versione 7.7

Protezione dati moderna: La differenza e’ nel Cloud

Condividi


RSS

Piu’ articoli…

Categorie …

Tags

RSS CSIRT

RSS Dark Reading:

RSS Full Disclosure

  • Trojan-Dropper.Win32.Googite.b / Unauthenticated Remote Command Execution Giugno 18, 2021
    Posted by malvuln on Jun 18Discovery / credits: Malvuln - malvuln.com (c) 2021 Original source: https://malvuln.com/advisory/4a8d6bc838c09c6701abfa8b283fd0de.txt Contact: malvuln13 () gmail com Media: twitter.com/malvuln Threat: Trojan-Dropper.Win32.Googite.b Vulnerability: Unauthenticated Remote Command Execution Description: The malware listens on TCP ports 3388, 4488 and 10002 and drops executables under both Windows and SysWOW64 dirs. Third-party attackers who can...
  • Trojan.Win32.Alien.erf / Directory Traversal Giugno 18, 2021
    Posted by malvuln on Jun 18Discovery / credits: Malvuln - malvuln.com (c) 2021 Original source: https://malvuln.com/advisory/57ab194d8c60ee97914eda22e4d71b68_C.txt Contact: malvuln13 () gmail com Media: twitter.com/malvuln Threat: Trojan.Win32.Alien.erf Vulnerability: Directory Traversal Description: The malware deploys a Web server AM6WebMgr.exe (JAO build 809) listening on TCP port 1789. Third-party attackers who can reach an infected host can read any […]
  • Trovent Security Advisory 2105-01 / CVE-2021-32612: VeryFitPro unencrypted cleartext transmission of sensitive information Giugno 18, 2021
    Posted by Stefan Pietsch on Jun 18# Trovent Security Advisory 2105-01 # ##################################### Unencrypted cleartext transmission of sensitive information ########################################################### Overview ######## Advisory ID: TRSA-2105-01 Advisory version: 1.0 Advisory status: Public Advisory URL: https://trovent.io/security-advisory-2105-01 Affected product: VeryFitPro Android mobile application (com.veryfit2hr.second) Tested versions:...
  • Trojan.Win32.Alien.erf / Remote Stack Buffer Overflow Giugno 18, 2021
    Posted by malvuln on Jun 18Discovery / credits: Malvuln - malvuln.com (c) 2021 Original source: https://malvuln.com/advisory/57ab194d8c60ee97914eda22e4d71b68_B.txt Contact: malvuln13 () gmail com Media: twitter.com/malvuln Threat: Trojan.Win32.Alien.erf Vulnerability: Remote Stack Buffer Overflow Description: The malware deploys a Web server AM6WebMgr.exe (JAO build 809) listening on TCP port 1789. Third-party attackers who can reach an infected host can […]
  • Trojan.Win32.Alien.erf / Remote Denial of Service Giugno 18, 2021
    Posted by malvuln on Jun 18Discovery / credits: Malvuln - malvuln.com (c) 2021 Original source: https://malvuln.com/advisory/57ab194d8c60ee97914eda22e4d71b68.txt Contact: malvuln13 () gmail com Media: twitter.com/malvuln Threat: Trojan.Win32.Alien.erf Vulnerability: Remote Denial of Service Description: The malware deploys a SMTP server JAOSrv821.exe listening on TCP port 25. Third-party attackers who can reach an infected host can trigger a denial […]
  • Email-Worm.Win32.Kipis.a / Unauthenticated Remote Code Execution Giugno 18, 2021
    Posted by malvuln on Jun 18Discovery / credits: Malvuln - malvuln.com (c) 2021 Original source: https://malvuln.com/advisory/aa703bc17e3177d3b24a57c5d2a91a0c.txt Contact: malvuln13 () gmail com Media: twitter.com/malvuln Threat: Email-Worm.Win32.Kipis.a Vulnerability: Unauthenticated Remote Code Execution Description: The malware listens on TCP port 1029 and writes incoming packets to an executable file that is renamed as "winlogins.exe". Third-party attackers...
  • Re: popo2, kernel/tun driver bufferoverflow. Giugno 18, 2021
    Posted by Robert Święcki on Jun 18Hi, wt., 15 cze 2021 o 09:56 KJ Jung napisał(a): While I agree that it might be not the best of programming patterns to accept length of a local stack buffer from the parent function (this can easily be misused over time), there's probably no bug here, as all […]
  • Re: popo/popo2 linux kernel vulns Giugno 18, 2021
    Posted by RaziREKT via Fulldisclosure on Jun 18Hello KJ Jung, neither of the mails you sent contain bugs. The kernel code is sound and the vulnerabilities you reported don't seem to exist. In your first mail (popo:: linux kernel vulns of it), you point out a flaw in bond_do_ioctl() and bond_set_dev_addr(). It is impossible to […]
  • [SYSS-2021-007]: Protectimus SLIM NFC - External Control of System or Configuration Setting (CWE-15) (CVE-2021-32033) Giugno 18, 2021
    Posted by Matthias Deeg on Jun 18Advisory ID: SYSS-2021-007 Product: Protectimus SLIM NFC Manufacturer: Protectimus Affected Version(s): Hardware Scheme 70 / Software Version 10.01 Tested Version(s): Hardware Scheme 70 / Software Version 10.01 Vulnerability Type: External Control of System or Configuration Setting (CWE-15) "Time Traveler Attack" Risk Level: Medium Solution Status: Open Manufacturer Notification: 2021-02-04 […]
  • Backdoor.Win32.Zombam.gen / Information Disclosure Giugno 15, 2021
    Posted by malvuln on Jun 15Discovery / credits: Malvuln - malvuln.com (c) 2021 Original source: https://malvuln.com/advisory/ff6516c881dee555b0cd253408b64404_D.txt Contact: malvuln13 () gmail com Media: twitter.com/malvuln Threat: Backdoor.Win32.Zombam.gen Vulnerability: Information Disclosure Description: Zombam malware listens on TCP port 80 and deploys an unsecured HTML Web UI for basic remote administration capability. Third-party attackers who can reach an infected...

Customers

Newsletter