×

aES备份缓解和备份快照
  

李一凡16713 1214

{{ttag.title}}
本帖最后由 李一凡16713 于 2023-12-5 18:11 编辑

一、备份缓解的技术原理及注意事项:
    1、aES在识别到可疑加密进程之后,对该进程部分文件修改或破坏操作进行实时备份;同时,在3~9秒内集合勒索行为检测给出该可疑进程的鉴定结果,如果鉴定结果为白,则丢弃这段时间的备份数据;如果鉴定为加密行为,则对该进程的备份数据可以避免用户损失这部分文件。
      2、aES备份缓解注意事项:
          1、勒索备份缓解依赖勒索诱饵防护策略配置,需要确保勒索诱饵防护策略开启(默认均开                     启);

          2、存储空间小于1G无法使用勒索备份缓解;

          3、备份单个文件大小:默认为50MB(支持设置1-100MB之间整数);

          4、备份区总空间大小:默认为2000MB(支持设置1000-10000MB之间整数)

二、勒索快照备份技术原理及注意事项

      1、卷影复制服务(VSS):是微软Windows的一项组件服务,从Windows Server 2003开始支          持,卷影复制服务是一项定时为分卷作快照拷贝的服务;

      2、分卷(Volume):可以通俗的理解为C盘、D盘这样单个盘符;卷设备位于文件系统下层,位          于磁盘驱动上层,而卷影复制实现在卷设备上,即VSS在技术上针对的是卷设备的快照,而非文件        级别的;

     3、请求程序(Requestor):请求程序可以理解为实现备份应用程序的控制端,主要负责启动备份        请求、处理备份指令、执行备份动作、删除卷影副本;

     4、编写程序(Writer)与组件Writer:应用程序或服务的组成部分,与 VSS 配合使用,使应用程        序的数据在卷影副本备份请求时保持一致状态;组件:一组选定要备份的文件或文件夹;

     5、提供程序(Providers):提供程序负责管理卷影副本备份中所涉及的卷,并创建卷影副本。提        供程序与操作系统(基于软件)或磁盘阵列(基于硬件)上的卷影副本创建功能交互作用。

         

        2、注意事项:

              1、快照为每天中午12点备份一次,备份频率与备份时间暂不支持手动修改(备份时间不超过                10s,占用磁盘 空间不超过10%)

              2、支持Win PC(不包括XP)、Win Server(不包括2003)定时备份快照,但仅Win                          Server支持在agent进行一键回滚快照,Win PC暂不支持

              3、目前仅支持非系统盘、以及系统盘的用户目录的备份回滚

              4、当前6.0.2版本该功能仅建议用于POC价值呈现使用,不建议生产业务使用(有可能回滚
              了中间状态,造成数据不一致),在后续版本会发布更加完善的快照备份方案,当前6.0.2版                  本该功能未默认开启。
三、授权介绍:
        

四、勒索攻击的路径:

           1、钓鱼邮件
                主要对象:个人PC
                传播方向:从外到内
                典型案例:Hermes,Petya

           2、蠕虫式传播
                主要对象:无定向,自动传播
                传播方向:横向传播
                典型案例:WannaCry,Petya变种

          3、恶意软件捆绑
               主要对象:个人PC
               传播方向:从外到内
               典型案例:Globelmposter

          4、暴力破解:通过暴力破解RDP端口,SSH端口,数据库端口
               主要对象:开放远程管理的Server
               传播方向:横向,从外到内

五、如何防护:

    1、主要是从传输途径上预防,勒索病毒是利用网络传播的,不打开不明网址,不接收来路不明的邮件和文件等
    2、关闭危险端口,445文件共享,3389远程桌面接口等
    3、及时升级杀毒软件
    4、定期异地备份重要数据和文件
    5、防火墙对用户发出的异常流量的监控控制(截断被攻克主机与C&C服务器的通信)

六、周边知识介绍:

          勒索病毒种类介绍:
         1、文件加密类勒索病毒
        该类勒索病毒以RSA、AES等多种加密算法对用户文件进行加密,并以此索要赎金,一旦感染,极难恢复文件。该类勒索病毒以WannaCry为代表,自2017年全 球大规模爆发以来,其通过加密算法加密文件,并利用暗网通信回传解密密钥、要求支付加密货币赎金等隐蔽真实身份的勒索病毒攻击模式引起攻击者的广泛模仿,文件加密类已经成为当前勒索病毒的主要类型。
       2、数据窃取类勒索病毒
该类勒索病毒与文件加密类勒索病毒类似,通常采用多种加密算法加密用户数据,一旦感染,同样极难进行数据恢复,但在勒索环节,攻击者通过甄别和窃取用户重要数据,以公开重要数据胁迫用户支付勒索赎金。据统计,截至2021年5月,疑似Conti勒索病毒已经攻击并感染全球政府部门、重点企业等300余家单位,窃取并公开大量数据。
       3、系统加密类勒索病毒
该类勒索病毒同样通过各类加密算法对系统磁盘主引导记录、卷引导记录等进行加密,阻止用户访问磁盘,影响用户设备的正常启动和使用,并向用户勒索赎金,甚至对全部磁盘数据进行加密,一旦感染,同样难以进行数据恢复。例如,2016年首次发现的Petya 勒索病毒,对攻击对象全部数据进行加密的同时,以病毒内嵌的主引导记录代码覆盖磁盘扇区,直接导致设备无法正常启动。
[size=18.6667px]      4、屏幕锁定类勒索病毒
该类勒索病毒对用户设备屏幕进行锁定,通常以全屏形式呈现涵盖勒索信息的图像,导致用户无法登录和使用设备,或伪装成系统出现蓝屏错误等,进而勒索赎金,但该类勒索病毒未对用户数据进行加密,具备数据恢复的可能。例如,WinLock勒索病毒通过禁用Windows系统关键组件,锁定用户设备屏幕,要求用户通过短信付费的方式支付勒索赎金。

打赏鼓励作者,期待更多好文!

打赏
1人已打赏

ie5000 发表于 2023-12-12 09:17
  
感谢楼主分享经验,有助于工作
发表新帖
热门标签
全部标签>
安全效果
每日一问
西北区每日一问
【 社区to talk】
技术盲盒
干货满满
技术笔记
产品连连看
新版本体验
标准化排查
技术咨询
信服课堂视频
每周精选
GIF动图学习
2023技术争霸赛专题
功能体验
技术晨报
自助服务平台操作指引
安装部署配置
故障笔记
排障那些事
技术圆桌
用户认证
资源访问
社区帮助指南
通用技术
畅聊IT
答题自测
专家问答
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
原创分享
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
玩转零信任
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
秒懂零信任
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
高手请过招
升级&主动服务
高频问题集锦
社区新周刊
POC测试案例
全能先锋系列

本版版主

10
17
3

发帖

粉丝

关注

124
74
30

发帖

粉丝

关注

26
8
0

发帖

粉丝

关注

70
36
1

发帖

粉丝

关注

6
14
0

发帖

粉丝

关注

18
10
5

发帖

粉丝

关注

本版达人