img

Backup Next Cloud

VMware vExpert 2021/VMCE/VMCA/VCP/AWS Solution Architect

虚化人生

Backup Next Cloud

欢迎访问虚化人生

VDP v12.1安全功能深度分析系列 (二)- 恶意软件扫描

| 阅读:

目录

接着昨天的,来说说第二大重磅更新功能,YARA Scan和Antivirus Scan。

VBR除了能对备份数据流进行在线扫描之外,现在还支持对备份下来的备份数据进行二次扫描。v12.1中具备两大扫描引擎,一个是使用Mount Server上的杀毒软件作为扫描引擎,另外一个是使用YARA作为扫描引擎。

YARA工具

YARA(全称:Yet Another Recursive Acronym)。官网链接:https://yara.readthedocs.io/en/latest/,Github仓库链接:https://github.com/virustotal/yara 。

YARA通常是用来帮助安全专家和研究人员识别和分类恶意软件,它主要用于恶意软件的研究和检测。它能够扫描文本或者二进制模式的代码。

YARA工具一般包含两部分,其中一部分是YARA扫描引擎本身,它可以安装在各种平台上。另外一部分是YARA规则,这个是使用者根据实际需求进行编写的匹配规则。在YARA使用时,简单逻辑是,YARA引擎调用YARA规则扫描对应的需要扫描的内容,输出扫描结果。

在VDP v12.1中,加入了YARA工具,备份和安全管理员,可以直接在VBR控制台调用编写好的YARA规则,对备份存档进行扫描。完全不需要自己去手工搭建YARA运行环境。

YARA规则

关于YARA规则,其实语法非常简单,可以参考官网的说明https://yara.readthedocs.io/en/stable/writingrules.html,在Github上能找到相关的规则模版https://github.com/Yara-Rules/rules 。

在VBR上,内置了3段经典的YARA规则模版,可以作为编写的参考。

当然现在也不用那么麻烦,各种GPT可以帮我们轻松写一段YARA规则,比如: pkiq6D1.png

YARA扫描工作原理

将以上Chat GPT帮我生成的内容存入到一个.yar或者.yara结尾的文件中,然后放到C:\Program Files\Veeam\Backup and Replication\Backup\YaraRules 目录下, VBR就能自动识别到这些规则。 pkiqhCD.png

启动扫描后,VBR会将备份存档挂载到Mount Server上,然后利用Mount Server上的YARA引擎加载选择的YARA规则进行扫描。

当然,这个扫描因为是文本和二进制扫描,它不仅局限于恶意代码的扫描,实际上它能够扫描任何我们想查找的关键信息。

杀毒软件扫描

在VBR v10开始就在Secure Restore功能中内置了杀毒软件的扫描,VBR会调用在Mount Server上的杀毒软件对备份存档进行扫描。v12.1中,这个功能被集成到了Scan Backup中,并且内置支持的杀毒软件也更加丰富了。

杀毒软件配置

在v12.1中内置了Symantec Protection Engine、ESET、Windows Defender、Kaspersky Security、Bitdefender Endpoint Security Tools、Trellix (以前鼎鼎大名的McAfee) 这6款杀毒引擎。

除了这6款软件之外,如果需要使用其他的杀毒软件,Veeam也支持通过AntivirusInfos.xml 配置其他的杀毒软件,只需要修改Mount Server上%ProgramFiles%\Common Files\Veeam\Backup and Replication\Mount Service这个目录下的xml文件,通过CLI命令行调用对应杀毒软件即可。更详细的xml配置方法,可以查看官网的详细xml语法属性说明https://helpcenter.veeam.com/docs/backup/vsphere/av_scan_xml.html?ver=120。

配置方法

在VBR上,有多种方式启动扫描。

  1. 选中受支持的备份存档,右键点击或者选择工具栏上的Scan Backup按钮,激活杀毒引擎扫描或者YARA扫描对话框。

pkiqW4O.png 启动Scan Backup后,会打开扫描对话框,这时候,可以用这两个引擎按照3中不同的扫描方式对整条备份链进行安全扫描。

pkiqRUK.png

  1. 在各种整机或者磁盘恢复的Secure Restore步骤中,勾选杀毒引擎扫描或者YARA扫描选项。 pkiqcHx.png

  2. 在Surebackup作业中,勾选杀毒引擎扫描或者YARA扫描选项。 pkiq2E6.png

查看扫描结果

如果扫描结果匹配到了需要查找的内容,VBR就会标记扫描到的备份存档为Infected状态,表示有恶意软件被发现。

完整的扫描存档会记录在VBR的这个目录下: C:\ProgramData\Veeam\Backup\FLRSessions\Windows\FLR__<machinename>_\Antivirus

和前面介绍的在线恶意攻击分析一样,在VBR的History中也会记录到详细的扫描状态,可以在History中查找扫描的结果。

pkiqyuR.png

以上这些就是VDP v12.1中新增的一些备份存档扫描检查方法,能够帮助管理员在发生问题后避免二次感染,确保恢复出来的数据是干净的系统存档。

打赏一个呗

取消

感谢您的支持,我会继续努力的!

扫码支持
扫码支持
扫码打赏,你说多少就多少

打开支付宝扫一扫,即可进行扫码打赏哦