VBR 12.1 – Scannez vos sauvegardes avec YARA

VBR 12.1 – Scannez vos sauvegardes avec YARA

Commentaires 1 commentaire

Bonjour à tous,

Dans ce 3ème article sur les 4 nouvelles fonctionnalités antimalware introduites par VBR 12.1, nous allons creuser le scan des sauvegardes par l’antivirus et les règles YARA. Quel scan ? Qu’est-ce que c’est YARA ? Et mon Antivirus ? Aller c’est parti !

Veeam Backup & Replication : la protection par l’analyse

Dans quel scénario le scan renforce la protection de vos données ?

Veeam Backup & Replication s’appuie sur une approche de détection sophistiquée basée sur des règles YARA et sur un logiciel antivirus pour analyser les points de restauration. La tâche Scan Backup joue un rôle central dans la résolution de divers scénarios :

1. Récupération après une attaque de logiciel malveillant
– Localisez le dernier point de restauration propre après une récente attaque de logiciels malveillants.

2. Résolution de la date d’attaque inconnue
– Recherchez le dernier point de restauration propre lorsque la date de l’attaque du logiciel malveillant est inconnu.

3. Identification des données sensibles
– Recherchez des informations spécifiques, telles que des données sensibles : carte bleu, numéro de sécurité social, signature malware etc… dans vos sauvegardes.

Comprendre les mécanismes : Comment fonctionne l’analyse de la sauvegarde

La détection des logiciels malveillants via Scan Backup suit un processus méticuleux :

1. Montage de disques pour l’analyse

– Veeam Backup & Replication monte les disques de la machine sur le serveur de montage.

2. Opérations du service de montage Veeam

– Vérification de la configuration antivirus ou YARA.
– Montage de disque à partir des sauvegardes vers le serveur de montage.
– Initialisation d’une nouvelle session de scan.

3. Scénarios et résultats

Analyse du logiciel antivirus
– Succès : point de restauration propre trouvé, aucun événement de détection de malware.
– Échec : point de restauration propre introuvable, événement de détection de malware créé.

Analyse des règles YARA pour les données sensibles
– Échec : données sensibles trouvées, événement de détection de malware créé.
– Succès : données sensibles introuvables, aucun événement de détection de malware.

> Remarque : cette fonctionnalité est limité aux OS windows pour le moment

Comment fonctionne le scan YARA ?

YARA est le nom d’un outil principalement utilisé dans la recherche et la détection de logiciels malveillants.

Il fournit une approche basée sur des règles pour créer des descriptions de familles de logiciels malveillants basées sur des expressions régulières, des modèles textuels ou binaires. Une description est essentiellement un nom de règle YARA, où ces règles sont constituées d’ensembles de chaînes et d’une expression booléenne. (source wikipedia 🙂)

Vous pouvez lui faire rechercher des failles CVE, des cryptos ou des informations sensibles pour vous prémunir contre l’exfiltration de données comme des numéros de cartes bleu, de sécurité social, de RIB etc…

source : https://virustotal.github.io/yara/

Pendant la tâche de Scan backup, l’analyse YARA fonctionne de la manière suivante :

  1. Sur le serveur de montage, Veeam Backup & Replication exécute le Veeam Mount Service pour effectuer les étapes suivantes :
    1. Vérifiez si le fichier YARA se trouve dans le dossier C:\Program Files\Veeam\Backup and Replication\Backup\YaraRules.
    2. Monte les disques de la machine à partir des sauvegardes sur le serveur de montage sous le dossier C:\VeeamFLR\<machinename>.
    3. Lancez une nouvelle session d’analyse.
  2. Si vous recherchez le dernier point de restauration propre, tenez compte des éléments suivants :
    1. Si un point de restauration propre est trouvé, le travail d’analyse de sauvegarde se terminera avec l’état Succès. L’événement de détection de malware ne sera pas créé.
    2. Si aucun point de restauration propre n’est trouvé, la tâche de scan de sauvegarde se terminera avec l’état Échec. L’événement de détection de malware sera créé pour chaque point de restauration. Les objets seront marqués comme infectés.
  3. Si vous vérifiez le point de restauration pour les données sensibles, tenez compte des points suivants :
    1. Si des données sensibles sont trouvées, la session de scan de sauvegarde se terminera avec l’état Échec.
    2. Si des données sensibles ne sont pas trouvées, la session de travail de numérisation de sauvegarde se terminera avec le statut Succès.
      Dans les deux cas, l’événement de détection de malware ne sera pas créé.

Vous pouvez trouvez de nombreuse règles YARA déjà écrite sur le repository github.

Pour un deep dive sur les règles YARA, Ian a écrit un excellente article en anglais.

Comment fonctionne le scan antivirus ?

  1. Sur le serveur de montage, Veeam Backup & Replication exécute le Veeam Mount Service pour effectuer les étapes suivantes :
    1. Vérifiez si l’antivirus est installé sur le serveur de montage et si le fichier de configuration AntivirusInfos.xml se trouve dans le dossier %ProgramFiles%\Common Files\Veeam\Backup and Replication\Mount Service. Pour plus de détails, consultez Fichier de configuration XML de l’antivirus.
    2. Montez les disques de la machine à partir des sauvegardes sur le serveur de montage sous le dossier C:\VeeamFLR\<machinename>.
    3. Lancez une nouvelle session d’analyse.

  1. Si l’antivirus ne trouve pas de point de restauration propre, la tâche d’analyse de sauvegarde se terminera avec l’état Échec. L’événement de détection de malware sera créé pour chaque point de restauration. Les objets seront marqués comme infectés.
    Vous pouvez accéder à la machine restaurée ou à ses disques dans l’environnement isolé et nettoyer l’infection manuellement.
  2. Si l’antivirus trouve un point de restauration propre, le travail d’analyse de sauvegarde se terminera avec l’état Succès. L’événement de détection de malware ne sera pas créé.

Configuration de votre tâche de Scan Backup

La maîtrise du job de scan implique une série d’étapes :

1. Ouverture de la fenêtre de Scan Backup

– Naviguez dans la vue Inventaire ou Accueil pour accéder à la fenêtre « scan backup ».

2. Choix des modes de scan

– Optez pour la recherche du dernier point de restauration propre, dans une plage, ou pour analyser tous les points de restauration.

3. Sélection du moteur (mount serveur)

– Sélectionnez le moteur antivirus et/ou utilisez une règle YARA pour l’analyse.

4. Configuration de la plage de scan

– Spécifiez la plage, du point de restauration le plus récent au plus ancien.

5. Options avancées

– Activez l’analyse continue après la première détection de malware.

Est-il possible de l’automatiser ?

Oui ! Sinon pourquoi poserais-je la question ? 😏

VBR 12.1 introduit une nouvelle fonctionnalité dans SureBackup : Backup verification and content scan only

Avec ce SureBackup « lite » vous pouvez lancer vos scan antivirus et YARA de façon automatique.

Conclusion : renforcer la sécurité de vos données

En approfondissant les nuances du Scan Backup de Veeam Backup & Replication, vous disposez d’un outil robuste pour la sécurité des données. Vous êtes maintenant maître dans l’art de la détection 😁

Lien vers l’user guide VBR 12.1

à bientot !

Une réaction au sujet de « VBR 12.1 – Scannez vos sauvegardes avec YARA »

  1. Ping : Guide de détection des logiciels malveillants dans Veeam Backup & Replication 12.1 - Baptiste Tellier

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.