aES备份缓解和备份快照

只看该作者 · 发表于 2023-12-5 15:27

本帖最后由李一凡16713 于 2023-12-5 18:11 编辑

一、备份缓解的技术原理及注意事项：

1、aES在识别到可疑加密进程之后，对该进程部分文件修改或破坏操作进行实时备份；同时，在3~9秒内集合勒索行为检测给出该可疑进程的鉴定结果，如果鉴定结果为白，则丢弃这段时间的备份数据；如果鉴定为加密行为，则对该进程的备份数据可以避免用户损失这部分文件。

2、aES备份缓解注意事项：

1、勒索备份缓解依赖勒索诱饵防护策略配置，需要确保勒索诱饵防护策略开启（默认均开启）；

2、存储空间小于1G无法使用勒索备份缓解；

3、备份单个文件大小：默认为50MB（支持设置1-100MB之间整数）；

4、备份区总空间大小：默认为2000MB（支持设置1000-10000MB之间整数）

二、勒索快照备份技术原理及注意事项

1、卷影复制服务（VSS）：是微软Windows的一项组件服务，从Windows Server 2003开始支持，卷影复制服务是一项定时为分卷作快照拷贝的服务；

2、分卷（Volume）：可以通俗的理解为C盘、D盘这样单个盘符；卷设备位于文件系统下层，位于磁盘驱动上层，而卷影复制实现在卷设备上，即VSS在技术上针对的是卷设备的快照，而非文件级别的；

3、请求程序（Requestor)：请求程序可以理解为实现备份应用程序的控制端，主要负责启动备份请求、处理备份指令、执行备份动作、删除卷影副本；

4、编写程序（Writer）与组件Writer：应用程序或服务的组成部分，与 VSS 配合使用，使应用程序的数据在卷影副本备份请求时保持一致状态；组件：一组选定要备份的文件或文件夹；

5、提供程序（Providers）：提供程序负责管理卷影副本备份中所涉及的卷，并创建卷影副本。提供程序与操作系统（基于软件）或磁盘阵列（基于硬件）上的卷影副本创建功能交互作用。

2、注意事项：

1、快照为每天中午12点备份一次，备份频率与备份时间暂不支持手动修改（备份时间不超过 10s，占用磁盘空间不超过10%）

2、支持Win PC（不包括XP）、Win Server（不包括2003）定时备份快照，但仅Win Server支持在agent进行一键回滚快照，Win PC暂不支持

3、目前仅支持非系统盘、以及系统盘的用户目录的备份回滚

4、当前6.0.2版本该功能仅建议用于POC价值呈现使用，不建议生产业务使用（有可能回滚

了中间状态，造成数据不一致），在后续版本会发布更加完善的快照备份方案，当前6.0.2版本该功能未默认开启。

三、授权介绍：

四、勒索攻击的路径：

1、钓鱼邮件

主要对象：个人PC

传播方向：从外到内

典型案例：Hermes，Petya

2、蠕虫式传播

主要对象：无定向，自动传播

传播方向：横向传播

典型案例：WannaCry，Petya变种

3、恶意软件捆绑

主要对象：个人PC

传播方向：从外到内

典型案例：Globelmposter

4、暴力破解：通过暴力破解RDP端口，SSH端口，数据库端口

主要对象：开放远程管理的Server

传播方向：横向，从外到内

五、如何防护：

1、主要是从传输途径上预防，勒索病毒是利用网络传播的，不打开不明网址，不接收来路不明的邮件和文件等

2、关闭危险端口，445文件共享，3389远程桌面接口等

3、及时升级杀毒软件

4、定期异地备份重要数据和文件

5、防火墙对用户发出的异常流量的监控控制（截断被攻克主机与C&C服务器的通信）

六、周边知识介绍：

勒索病毒种类介绍：

1、文件加密类勒索病毒

该类勒索病毒以RSA、AES等多种加密算法对用户文件进行加密，并以此索要赎金，一旦感染，极难恢复文件。该类勒索病毒以WannaCry为代表，自2017年全球大规模爆发以来，其通过加密算法加密文件，并利用暗网通信回传解密密钥、要求支付加密货币赎金等隐蔽真实身份的勒索病毒攻击模式引起攻击者的广泛模仿，文件加密类已经成为当前勒索病毒的主要类型。

2、数据窃取类勒索病毒

该类勒索病毒与文件加密类勒索病毒类似，通常采用多种加密算法加密用户数据，一旦感染，同样极难进行数据恢复，但在勒索环节，攻击者通过甄别和窃取用户重要数据，以公开重要数据胁迫用户支付勒索赎金。据统计，截至2021年5月，疑似Conti勒索病毒已经攻击并感染全球政府部门、重点企业等300余家单位，窃取并公开大量数据。

3、系统加密类勒索病毒

该类勒索病毒同样通过各类加密算法对系统磁盘主引导记录、卷引导记录等进行加密，阻止用户访问磁盘，影响用户设备的正常启动和使用，并向用户勒索赎金，甚至对全部磁盘数据进行加密，一旦感染，同样难以进行数据恢复。例如，2016年首次发现的Petya 勒索病毒，对攻击对象全部数据进行加密的同时，以病毒内嵌的主引导记录代码覆盖磁盘扇区，直接导致设备无法正常启动。

[size=18.6667px] 4、屏幕锁定类勒索病毒

该类勒索病毒对用户设备屏幕进行锁定，通常以全屏形式呈现涵盖勒索信息的图像，导致用户无法登录和使用设备，或伪装成系统出现蓝屏错误等，进而勒索赎金，但该类勒索病毒未对用户数据进行加密，具备数据恢复的可能。例如，WinLock勒索病毒通过禁用Windows系统关键组件，锁定用户设备屏幕，要求用户通过短信付费的方式支付勒索赎金。