Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Deel diensten Universiteit Maastricht offline door Clop-ransomware - update 2

De Universiteit Maastricht heeft te kampen met een ransomware-aanval. Daardoor zijn 'bijna alle Windows-systemen' offline en is het 'bijzonder moeilijk' om de e-maildiensten van de Uni te gebruiken. De wetenschappelijke databanken blijven mogelijk nog buiten schot.

De universiteit maakt dit bekend op zijn eigen website. Diensten die getroffen zijn, zijn onder meer de bibliotheek en het Student Portal. Tegenover 1Limburg zegt de onderwijsinstelling dat de wetenschappelijke databanken in een ander systeem zitten, dat extra beveiligd is. Onderzocht wordt of de aanvallers daartoe ook toegang hebben, maar de verwachting is dat dit 'heel moeilijk is'. Het is onduidelijk of het gaat om een ddos-aanval of een andersoortig digitaal offensief.

Hoewel het de kerstvakantie is, werkt een deel van de studenten door, vanwege deadlines in januari. Daardoor is de online bibliotheek ook in deze periode nodig. Op het moment kan de universiteit geen schatting geven over hoe lang de problematiek voort zal duren voordat de diensten weer hersteld zijn. Over de herkomst van de aanval kan momenteel alleen nog gespeculeerd worden.

Update, 16:22: een tweaker op een semi-privé deel van het forum stelt dat het zou gaan om een ransomware-aanval, te weten Clop. Alle dhcp-servers, Exchange-servers, domeincontrollers en netwerkschijven zouden versleuteld zijn. De Uni zou door de vakantieperiode moeite hebben met de nodige expertise verkrijgen om de zaak te verhelpen. Fox-IT zou in ieder geval overvraagd zijn en daarom is de Universiteit Maastricht naar de Universiteit Antwerpen gestapt, die ervaring heeft met Clop, beweert de tweaker. Hij of zij zou dit uit een interne e-mail hebben.

Update, 17:21: Een woordvoerder van de universiteit bevestigt dat het om de Clop-ransomware gaat. Clop werd begin februari 2019 ontdekt en is een variant van de CryptoMix-ransomware. Clop richt zich op volledige computernetwerken, en dus niet zozeer op individuele computers. Zodra het virus is binnengedrongen in een netwerk, versleutelt het zoveel mogelijk bestanden en voegt een .clop-extensie toe aan de bestandsnamen, wat dient als een zogeheten indication of compromise. Wanneer de encryptie succesvol is, plaatst de ransomware een readme-bestand in het netwerk. Doorgaans bevat de readme onder andere e-mailadressen. Slachtoffers kunnen via deze adressen contact opnemen voor betaalinstructies. De ransomware staat erom bekend vaak vlak vóór het weekend of grote feestdagen toe te slaan om de impact te maximaliseren.

De ransomware probeert allereerst Windows-processen af te sluiten, waaronder Windows Defender. Dit doet het virus om bij bestanden te komen die mogelijk worden gebruikt door dergelijke processen. Hiervoor heeft het virus een lijst met vaste hashes, waarmee het virus onder andere Steam, Microsoft Office-programma's en verschillende webbrowsers kan sluiten. Clop bevat ook een batch-bestand dat dataherstel via mogelijke shadow copies voorkomt. Momenteel is er nog geen decryptor beschikbaar voor gedupeerden.

Door Mark Hendrikman

Nieuwsposter

24-12-2019 • 15:55

316 Linkedin

Submitter: eagle00789

Lees meer

Reacties (316)

-13160300+1125+211+30Ongemodereerd108
Wijzig sortering
Zonder details is het afwachten wat de oorzaken zijn dat dit kon gebeuren, maar dit roept wel erg veel vragen op over de professionaliteit van de beviliging. DHCP, Exchange en DomainControllers EN de backups die je alleen als het noodzakelijk is toegankelijk wil hebben en nu last zouden hebben van ransomware? Hoe is het uberhaupt mogelijk dat ransomware op administrator niveau bij je belangrijkste bedrijfsvoorziening kan komen of zelfs maar bij je backups kan geraken?

Ik hoop niet dat dit een geval gaat zijn waarbij het netwerk nauwelijks scheiding had, updates van maanden geleden nog uitgerold moesten worden en en een foutje van een beheerder om op een bijlage te klikken dus al genoeg was om al die systemen inclusief de backups te besmetten
Ook met user rechten kun je door een tijdje latent bezig te zijn een hoop schade berokkenen. Voor de business kan een 3-dagen oude file al totaal waardeloos zijn. Dus als je de encryptie niet gelijk opmerkt ben je toch de klos.
Ik heb eens een ransomware aanval live meegemaakt bij een klant waar ik zat, en het is spectaculair beangstigend hoe in krap 20 minuten de steentijd zijn intrede doet op de werkvloer.
De lange recoverytijd zat hem er met name in, dat je je infra totaal niet meer kunt vertrouwen. Bij een normale outage start je de boel zsm weer op en ga je los zodra je kunt. Zo niet hier, je moet alles, maar dan ook alles uitpluizen, checken, patchen, testen en desnoods compleet vers optuigen.
En dat was een paar jaar terug. Ik kan mij voorstellen dat de huidige malware een stuk geavanceerder zijn werk doet.
Zelfs als een beheerder op een linkje heeft geklikt zou dit niet mogen gebeuren. Een gebruikers account zou nooit admin rechten ergens toe mogen hebben. Iedere SysAdmin zou altijd een user- en een beheeraccount moeten hebben zodat dit niet voor kan komen.

NB. Het is geen verwijt naar jou toe. ;-)
Een beheerder hoort op servers in een productieomgeving ueberhaupt niets te doen waarbij hij op een linkje kan klikken. Applicatieservers uitgezonderd, wellicht.
misschien in de ideale situatie niet, praktijk is vaak anders. Het hoeft niet aan de IT organisatie te liggen maar kan net zo goed aan het college van bestuur liggen. Als er geen geld voor wordt vrijgemaakt dan houdt het voor elke goed willende IT / Security Officer gewoon op.

spreiden van rechten / accounts kost tijd en kan niet altijd de juiste prioriteit hebben. Komt nog iets bij: een universiteit kent heel veel BYOD spul. die zijn standaard admin omdat het hun eigen device is.

[Reactie gewijzigd door Eminus op 24 december 2019 23:13]

Een BYOD kan een aanvalsvector zijn, maar dan moet er wel ergens een kwetsbare server open staan om een zodanig verstrekkende besmetting te veroorzaken.
waaorm? Een encryptie proces is windows native; sommige applicaties die dat uitvoeren echter niet (vb MSWORD die een encryptie uitvoert is niet ok en moet teruggedraaid worden). De server hoeft niet open te staan; een user account moet gecomprimeerd zijn. In principe kan een ieder met admin privileges via mimikatz al de accounts halen die hij wenst mits daar ooit op is ingelogd door een domainadmin.

Of we bedoelen hetzelfde en zeggen het alleen anders. Ook best mogelijk.
Daarom gebruiken wij Cyberark (cyberark.com) icm OTP zodat je niet passwords gestolen kunnen worden. Ik kom bij veel bedrijven over de vloer en nergens zijn accounts en toegang geregeld zoals het zou moeten.
cyberark is te duur voor veel bedrijven maar wel goed spul.

Best practise: houd je admin accounts gescheiden van user accounts OOK voor beheerders. Werk niet met beheeraccounts tenzij heel strikt noodzakelijk. Dan nog geldt dat een ransomware aanval elke netwerkmapping die een 'gebruiker' account heeft 'encrypt' Het voorkomt in ieder geval dat alle niet fileservers besmet raken.
Om bestanden op een dhcp, exchange of domainserver aan te tasten, moeten die servers openstaan op een manier die niet bij normaal gebruik van die servers hoort. Het spreekt voorzich dat je vanaf een BYOD alle bestanden op een bestandsserver kunt besmetten waar je normale toegangsrechten op hebt, over dat stukje zijn we het eens. Mimikatz draaien heeft hooguit zin op het werkstation van een admin.

[Reactie gewijzigd door mae-t.net op 26 december 2019 03:20]

Met normaal, bedoel ik bijvoorbeeld dat administratoraccounts rolgebonden zijn, dus als een domeinadmin per ongeluk vanaf een besmette computer inlogt niet meteen de credentials van een dhcp - of xchcg-serveradmin op straat liggen en dat admins hun eigen werkstations redelijkerwijs virusvrij proberen te houden, bijvoorbeeld ook door werkstationzijdig de functies te scheiden. Ook dat op servers geen onnodige services en applicaties draaien. Een DHCP-server heeft niet eens een GUI nodig en eigenlijk ook geen adminlogin als er een fatsoenlijke (web)interface op draait. Sterker nog, als ze eenmaal draaien zouden adminlogins bij de meeste serverrollen flink beperkt kunnen blijven.

En als bovenstaande punten niet allemaal haalbaar zijn, zorg op de adminaccounts voor 2-factor authenticatie.

Let wel, dit zijn vooral dingen waar een grote organisatie zoals een universiteit geen enkel excuus voor kan hebben om fout te doen. Binnen het MKB zijn dit soort dingen vaak veel moeilijker of onmogelijk om perfect te doen.

[Reactie gewijzigd door mae-t.net op 27 december 2019 19:51]

Het rijtje wat ik noem is om wat ik hoop dat niet geval is. Mede omdat het ik verwacht dat een netwerk wel gepaste scheidingen heeft, dat updates niet pas na maanden een uitrol krijgen of dat het openen van een documenten uit bronnen die niet te vertrouwen zijn beter niet via een administrator account gedaan kan worden dat een virus veel te veel toegang geeft.
zelfs al heb je standaard netwerk security best practise segmentatie dan nog encrypt de meeste ransomware op basis van SMB en netwerk koppelingen. Het lijkt erop dat dit is gebeurd. de netwerk shares zijn geraakt.

My 2 cents is dat ook de fysieke servers geraakt zijn omdat de domain administrator credentials zijn misbruikt. Immers in het artikel wordt gesproken over dhcp, email etc. Daar zijn doorgaans (hoop ik :) ) geen mappings voor aanwezig.
Een aanval gaat soms in meerdere stappen. Eerst installeren ze zich op het werkstation, daarna verzamelen ze gegevens, bv de admin credentials van een beheerder die zijn admin account gebruikt om iets te beheren. Daarna is het een fluitje van een cent om de DCs (=vaak DHCP) te encrypten.
Ik zeg niet dat in dit geval alles perfect geregeld was, maar veel van de hier genoemde maatregelen gaan echt niet alle attacks voorkomen. Windows Domain == Security nightmare.
Niet 2 accounts, maar meerdere: Gebruikersaccount, Werkplek beheer, Serverbeheer, Domeinbeheer.
Je wil niet weten hoeveel bedrijven vandaag de dag de volume shadow copies in Windows als primaire backup oplossing gebruiken. Maar als je die als hacker kan compromiteren heb je dus direct een behoorlijke slag geslagen.
.... Waarom worden de volume shadow copies van Windows als legitieme backups gebruikt? Tot zover ik weet gebruikt Windows die als echt een laatste reserve als de normale volumes flink corrupt zijn geraakt om toch een werkend systeem te hebben. Maar die zijn nooit bedoeld als full-backup deployments. Daarvoor zijn de volume shadow copies te kwetsbaar.
Wij gebruiken volume shadow copies voor snelle restores indien mogelijk (je krijgt geen garantie) en full backups voor echte backup. Heb me laten informeren, dit gaat naar speciale backup-unit die alle rechten eraf stript en uitsluitend backup systeem heeft toegang. Bij restore worden rechten ook restored.

Over het stukje 'een beheerder zal wel linkje geklikt hebben' er hoeft maar 1 zeroday exploit misbruikt te zijn en die troep elevate zichzelf aan rechten. Ook is het mogelijk maar minder makkelijk op afstand om elevated rechten in paar stappen te krijgen van gewone gebruiker opeens domain administrator.
Eh? Is de laatste alinea naar iemand anders gericht?
algemeen naar boven ja :+
Ik vermoed dat er wel backups zullen zijn nog maar dat draait ook allemaal niet op 1-2-3 weer als een zonnetje. Je moet uiteindelijk de root cause eerst vinden anders blijf je bezig.

That said dat ransomware nog steeds succes heeft is toch geen verrassing? Vaak zie je nog dingen als eem terminal server of zo in dezelfde vlan zitten als de rest van de servers, dan heb je maar 1 foute klik meer nodig.
Inderdaad. Er hoort op een goed uitgeruste serveromgeving met scheiding van taken, geen mogelijkheid te zijn om ransomware (of willekeurig wat voor andere externe software dan ook) uit te voeren op de infrastructuur zoals DHCP, mail en domaincontrollers. Bestandsservers en backups 'mogen' in zoverre gecompromitteerd zijn, dat de bestanden die erop staan aangetast kunnen zijn.
Dit kan alleen wanneer er geen scheiding van rollen is. Beheerders hebben met hun user account admin rechten in plaats van een separaat admin account. En waarschijnlijk zelfs domain admin rechten in plaats van rol based rechten.
Ik mag hopen dat jij geen beheerder bent of een beslissend mandaat hebt als je dit soort uitspraken doet :/

Natúúrlijk is (het gebrek aan) updates een onderdeel van dit probleem. Kijk een naar de gigantische exploits die de afgelopen maanden uit zijn gekomen; als jij je daar niet tegen patched heeft een hacker of virus binnen no time SYSTEM rechten. En dat is op een werkstation nog tot daar aan toe, maar zodra dat op een machine met een hogere privilege terecht komt heb je toch écht wel een probleem.

[Reactie gewijzigd door Benedykt op 24 december 2019 22:56]

We hebben het hier over een universiteit waar wellicht enkele duizenden mensen dagelijks op het netwerk aanmelden met allerlei apparaten (want eduroam). Mogelijkerwijs heb je potentieel honderden systemen die maanden achterlopen met patches.

Ja systemen in eigen beheer moeten gewoon bij zijn, maar can de BYOD apparaten kun en mag je dat niet aannemen. Sterker nog. Ga er maar met gestrekt been in en neem aan dat ze gewoon niet bij zijn. Dus alle network discovery opties uit en alle systemen hun eigen gescheiden netwerkje geven. Systemen die dan binnen het intranet beschikbaar moeten zijn via lokale dns beschikbaar stellen via een veilig entrypoint enzo, firewalls, VPN. Dat soort spul. Scheelt je gewoon een hoop gezeik.

De kans is vrij groot dat er mensen zijn die nog windows 7 draaien met root account of SMB 1 nog aan. Dat soort ongein.

Een universiteitsnetwerk is een hele mooie om een besmetting op te starten. In een dag of 2 heb je potentieel duizenden netwerken gecompromitteerd. Studenten hebben thuis namelijk in uitzonderlijke gevallen de boel wel op orde. In studentenhuizen kan het zijn dat iedereen basically op hetzelfde netwerk zit.
stap terug: je praat over een universiteit en security / it beheer heeft HELEMAAL niets te zeggen over de devices. Het zijn studenten devices. Met hun eigen local admin.. met hun eigen patch niveau .. en scanner (of niet)

succes met je security policy. Het enige wat je kan doen is een gigantisch dmz creeeren (apart VLAN) wat je notair NIET vertrouwt en vanuit die redenatie verder gaan. Tussen het (studenten) dmz en je kantooromgeving (ook een apart VLAN) en je datacenters (ook apart VLAN) dubbele firewalls neerzetten

De grote vraag die ik eigenlijk heb is of de studenten machines toegang hebben tot bijv. fileservers / netwerkmappings. Dat zou niet moeten.
Nee exact. Dus die byod devices ga je standaard van uit dat ze compromised zijn. Die houd je zo ver mogelijk weg van je eigen netwerk. Lekker geïsoleerd op een netwerk pleuren waar de pest in principe uit mag breken zonder dat intern er last van heeft.

Zoals ik al aangaf zijn studenten machines echt het laatste waar nagedacht is over security en patches. Ook de netwerken waar ze in terecht komen zijn niet altijd even goed. Studentenhuizen met passwordloze toegang enzo.
Ik denk dat je enigzins vastzit in theorie en de praktijk op een universiteit onderschat. Wat is je "eigen" netwerk? Een student die op de vakgroep met zijn eigen laptop zit wil gewoon daar de printer kunnen gebruiken. Of bij een Samba-share op een machine daar kunnen. Wetenschappers zijn niet de mensen die je achter een dichtgetimmerde desktop zet, die installeren hun eigen software om hun werk te doen, die apparaten zijn daarmee in beginsel ook niet vertrouwd.

In de regel zet een universiteit belangrijke systemen zeker in een apart afgeschermd netwerk en ik heb geen reden om aan te nemen dat dat hier niet zo is. Voor de rest heerst er op een universiteit een hele grote boze binnenwereld, waar een beveiligingsteam vaak de handen vol aan heeft om gevaren op te sporen.
ik vertrouw default nooit machines of mensen (maar dat is dan ook mijn werk :) ) maar dat maakt het ontzettend lastig om te vechten tegen ransomware.
Daar zijn losse printservers voor die Daarna weer delegeren naar de betreffende printers (of zo’n follow me systeem met pasje) dat zijn dus die dichtgetimmerde endpoints waar ik het over had.

Samba shares worden in principe helemaal niet zoveel gebruikt anders dan binnen infra van losse onderzoeksgroepen bijvoorbeeld. Alle opdrachten en materialen lopen via externe systemen zoals blackboard. Juist om dergelijk scheidingen in te regelen.
Was bij mij ook al bekend en ik weet ook wat er plat ligt zover er bericht is. Echter is dit TLP: RED en TLP:Amber in de SCIRT mailing list gemeld. Wens de mensen van UM wel heel veel sterkte toe want dat zal men hard nodig hebben.
Helaas heb ik nog geen toegang tot de lounge, heeft daar iemand een screenshot geplaatst?
dit is het bericht dat degene die dit heeft gepost geqoute heeft. op advies van @Catch22 heb ik de mogelijk privacy gevoelige informatie weggelaten met <omschrijving van wat er stond>
Beste <iets>

Ik ben door <naam> van Universiteit Maastricht op de hoogte gebracht van een zeer zware ransomeware aanval op hun systemen.
Zoals het er nu uitziet zijn alle DHCP, Exchange, Domein Controllers, netwerkschijven en daarop staande backups geencrypt.
Het betreft: <software>


Gelet op de vakantieperiode is het zeer lastig om de juiste expertise te krijgen op zaken op te lossen.
Zelfs <ict bedrijf> heeft geen capaciteit omdat er meer van dergelijke gevallen zijn waar ze aan werken.
Op dit moment heeft UM contact met <andere universiteit> omdat zij eerder dit jaar getroffen zijn geweest.

Medewerkers van UM zijn alleen via app of sms bereikbaar.
Advies is om alert te zijn bij alle instellingen.
Mochten er experts binnen jullie instelling zijn die mee kunnen denken om dit op te lossen laat het dan aan <naam> (<nummer> liefst eerst per sms of app) weten.

[Reactie gewijzigd door dec0de op 24 december 2019 16:42]

Dit kan je beter niet openbaren. Deze gebruiker heeft dat mogelijk bewust in een besloten deel geplaatst

[Reactie gewijzigd door Catch22 op 24 december 2019 16:38]

Zo besloten is dat niet, je krijgt toegang als je minstens 100 posts hebt en 30 dagen lid bent, dus echt heel geheimzinnig is het niet, maar inderdaad is het wel zo netjes.

ontopic:

Lekker zoiets in de kerstperiode, hopen dat men dit ontdaan krijgt, ben wel benieuwd wie hier achter zit.

[Reactie gewijzigd door [Remmes] op 24 december 2019 16:57]

Kerstperiode is de gouden tijd voor hackers, veel systeembeheerders zijn weg, alleen nog een skeleton crew over, en dienstverleners zijn overbelast. Oftewel zowel de tijd dat je het minste kans hebt gepakt te worden, en de tijd dat je langer binnen kan blijven ook al word je gevonden.
Besloten, in de zin van: met een zoekmachine niet door de eerste de beste van buitenaf te vinden.
Mwah. De geredacreerde info staat gewoon in het artikel vermeld. Zoals andere universiteit en het bedrijf fox it.

Edit: dat was misschien eerst dus niet het geval.

[Reactie gewijzigd door supersnathan94 op 25 december 2019 21:41]

ik zal de prive delen weg halen, is dat oke?
Besloten deel? Je moet minimaal 100 posts hebben maar dag lijkt me verder geen criteria 'prive'. .

Edit: tweakers meld het nu zelf ook al :)

[Reactie gewijzigd door Joost124 op 24 december 2019 17:15]

Het gaat er vooral om of het wel of niet via een zoekmachine te vinden is, zeker met namen, emailadressen, etc.
Ik heb dat bericht ook ontvangen op werk :-) werk alleen niet bij die Uni
In middels kun je de naam van de software, ICT bedrijf en andere universiteit in je bericht zetten. Dit staat ook in het nieuws artikel en maakt het iets leesbaarder :)
Goed moment om te zien of het disaster recovery plan bij alle betrokkenen bekent is en werkt :+

Iets wat je meerdere malen per jaar test uiteraard

[Reactie gewijzigd door HKLM_ op 24 december 2019 16:02]

Nice try, maar als je complete office infra niet meer te vertrouwen is, en je netwerk setup mogelijk besmet is, en je authenticatie (LDAP/AD) plat ligt, en je file shares eruit liggen en je VPN oplossing, en je fabriekshal staat stil met vrachtwagens aan de poort. En iedereen is met kerstverlof. Waar begin je dan?
Bedrijven testen een DRP voor 1 landschap tegelijk, niet voor een multitude aan simultane rampen op hetzelfde moment.

Je kunt ook niet zomaar dingen aanzetten, want je weet niet wat besmet is. Voor hetzelfde geld wordt door een zeroday kwetsbaarheid ook je backup landschap verwoest als je te hard van stapel loopt. Je kunt pas dingen aanzetten als ze zeker weten vrij blijven van ellende. Dat is wel iets anders dan bv bij een stroomstoring, waar je geen risico op (her)infectie hebt.
Juist om die reden heb je je backup zoveel mogelijk te scheiden van de rest van je netwerk. Zeker bij een virtuele omgeving spreek je dan het SAN aan ipv de vm's zelf. Raken de vm's besmet dat raakt je backup server minder makkelijk besmet. Wij doen naast de backup to disk ook een backup naar tape juist voor het geval de backup to disk corrupt mocht raken.

In onze omgeving zou bij een besmetting van dit niveau alles uit gaan en schoon vanuit een van de backups terug geplaatst worden. Al hoop ik dat het nooit nodig zal zijn.
De crux zit 'm in het feit dat de centrale infra ook geraakt is, en je dus alles in een known good state moet brengen. De servers en VM'en zelf zijn vaak nog wel safe, omdat ze achter een firewall staan, danwel niet kwetsbaar waren op een andere manier (bv Linux, Mac).

Maar: hoe kom je erbij, als je werkstations en je centrale netwerk infra eruit liggen? Dat kost dagen om stap-voor-stap dingen te ontsluiten. Je kunt niet eens authenticeren omdat je AD eruit ligt, etc.

Ik heb 't bij een klant gezien van heel nabij. De ERP systemen en Sharepoint stonden allemaal keurig te ronken achter de firewall en/of bij een externe partij, maar niemand kon erbij. Dus eerst een paar stepping stone machines ingericht voor de must-have en must-do processen, en zo steeds een stapje verder. En dan de klus om bij de fileshares te achterhalen welke versies besmet waren en welke niet. De Genesis-besmetting was ruim een maand oud. Toch hebben ze de nieuwere backups een voor een doorgelicht om te zien wat er te recoveren viel.

Het lastige is dat de business veel zaken in een gehele keten nodig heeft: een ERP systeem waar de laatste orders keurig in staan, maar een audit-file van een maand oud, daar moet je iets mee doen. En dan kom je er bijboorbeeld achter dat je prioriteiten ook niet kloppen:

Iemand van IT riep dat printen lage prioriteit heeft, en men moest eerst fabricage en shipping op orde zien te brengen. Maar dan blijkt dat je niks mag shippen zonder geprinte douanepapieren... Oh, en nu de internetconnectie eruit ligt, hoe log je in op de site van de douane om uberhaupt je shipment aan te melden?
Mijn AD draait ook gewoon als VM met een member op een fysieke. In dat geval zou dus echt alles uit gaan en gaan de virtuele AD controllers terug naar de vorige goede staat. Als de backup to disk niet geraakt is dan is het een kwestie van een kwartiertje en mijn virtuele AD controllers staan terug. Nagenoeg al onze servers zijn virtueel op de backup server, een AD server en wat IPXE servers na. Mijn centrale infra staat dus in notime weer terug naar een werkbare situatie. Indien de backup to disk ook geraakt zou zijn dan is het de backupserver schoon installeren en komt het van LTO-8. Het zal dadn iets langer in beslag nemen maar is nog steeds te overzien. Alle servers beschikken ook over een lokaal account voor in het geval van nood dus inloggen is altijd mogelijk ook zonder AD.

Voor de werkstations zou data niet lokaal moeten staan. Wie dat wel heeft gedaan heeft sowieso wat uit te leggen. Maar zal wat lokaal stond dus zelf opnieuw mogen doen. Opnieuw inrichten is een kwestie van de WDS schoon de lucht in te brengen en daarna automatisch te te laten richten.

Voor calamiteiten met de internet verbinding is er een backup verbinding beschikbaar juist om niet van 1 route afhankelijk te zijn.

De leveranciers die hun zaakjes wel op orde hebben zijn er vaak goed tussenuit te pikken. Waar de ene partij het maar lastig vind wat er aan beveiligingen actief is en alle vragen die je daar over stelt lepelt de andere partij zo alle gevraagde gegevens aan en snappen ze de noodzaak van de aanwezige beveiligingen
Ja, en je AD staat dan geisoleerd te snorren in een data center in de US, gerecovered en wel. Nice.

De lokale sites in NL en FR en DE liggen plat: de netwerken zijn bewust fysiek down gebracht teneinde verdere infecties te voorkomen. Internet- en intranetverbindingen met het corporate netwerk van welke aard dan ook zijn per decreet verboten totdat HQ de boel veilig verklaard heeft. Dus ook tijdelijke hotspots via de 4G en andere fratsen.

Op de lokale sites zitten alleen lokale admins, niemand kan op domain level zaken inrichten. Want dat was safety policy 666 lid 2. Daarvoor moest je speciale one-time only admin accounts aanvragen die een paar uur geldig waren. En die hadden AD nodig en een approval via de workflow...

Oh wacht, de benodigde firewalls en workflow servers liggen plat. Die wilden we nu immers opnieuw inspoelen zodat we weer aan de AD kunnen. Geen probleem, we hebben de Windows nood-imaging servers net ingericht, dan maken we een nieuw image aan. Die machines hoeven we alleen nog maar aan te melden in het domein... euh... barst. De enige admin die dat wel met de hand kan doen zit nu in Stockholm. Oh, New York, Parijs en Frankfurt belden dat ze met hetzelfde issue zitten en dat zijn de grotere sites. Wij in NL zijn pas na hun aan de beurt.

Prima, dan zetten we de images toch op stick en richten we alvast een paar lokale noodmachines in. Oh wacht, was er niet een policy dat USB aansluitingen permanent disabled moesten worden?
Ja, en je AD staat dan geisoleerd te snorren in een data center in de US, gerecovered en wel. Nice.
Die heb ik niet dus dat is makkelijk. We zitten niet in tig landen maar gewoon in Nederland. Dat mag een onderwijsinstelling trouwens ook niet, die data hoort binnen de grenzen van de EU te blijven. De disaster recovery hardware draait in afgeslankte versie gewoon op een andere les locatie.

Leuk dat fictieve scenario maar dat slaat nergens op. Het artikel gaat over een onderwijsinstelling niet over een shell, een google, een microsoft, etc.

De rest van de onzin in je verhaal heb ik niets mee van doen. Servers worden volledig meegenomen in de backup het imagen is dan ook niet nodig. Zoals aangegeven bij een besmetting van die omvang gaat alles uit en volgt een restore van het AD vanaf de backup. Daar is geen domain controller voor nodig. Daarna analyseer je of de VM's terwijl ze niet kunnen communiceren met de rest van het netwerk of haal je ook die terug van een backup. De extra accounts voor een DR staan fysiek ergens geborgd juist voor dit soort situaties.
Anderhalf jaar geleden zat ik midden in zo'n situatie bij een grote multinational, genaamd fictief onzinverhaal.
Ik ben geen core infra administrator, dus dat stuk zou niet zo nauwkeurig kunnen zijn inderdaad. Ik opereer in een ander stuk van IT, ERP. Maar de strekking klopte wel degelijk: diverse kip-ei situaties en lokaal vs corporate issues.
Hoe snel analyseer jij een paar duizend VM's? Samen met je vijf collega's op de werkvloer?
"gaan de virtuele AD controllers terug naar de vorige goede staat"

Succes daarmee. Gaat niet met Domain Controllers. Je kan het er met 1 doen, de rest moet je dan rebuilden (lees: alle oude eruit slopen en nieuwe neerzetten). Als je er 40 hebt.. duurt ff..
Je krijgt idd 1 primaire welke echt terug gaat. De rest rol je vanuit de backup terug voor een clean OS met inderdaad aansluitend een rebuild. Ik heb er dan gelukkig ook geen 40 draaien :P
Ik vraag me weleens af of heel dat proces niet valt te automatiseren.
Natuurlijk moet je dat niet op een bestaand systeem proberen te implementeren. Maar from scratch misschien?
Naast de complexiteit van infecties breed over de infrastructuur zal een sluimerende infectie zich ook op een van de backup's kunnen bevinden.
Dat maakt de recovery een heikel karwei.
Men zal elke systeem na recovery ook direkt moeten scannen!
Deel van je BCP bied daar antwoord op. Welke zijn de processen waarop we ons gaan focussen in het geval dat....

Randsomware is een van de risico's die je opneemt en waarvan je impact en likelyhood gaat vastleggen
Gelukkig staan hier ook weer de beste stuurlui aan wal. Wie zegt dat ze nu niet heel hard aan het werken zijn om het weer live te krijgen? Zo'n DRP kan tig malen getest worden, maar op het moment supreme kan het zomaar zijn dat er iets niet helemaal werkt zoals gedacht. Helaas werkt het echte leven niet altijd zoals het droomleven dat sommigen in hun hoofd hebben. Gelukkig maken andere mensen blijkbaar nooit fouten....
Wat wil je daar mee zeggen? Een DRP hoort gewoon actueel te zijn en je business rete snel weer in de lucht te hebben. Dat heeft niks met beste stuurlui of een droomleven te maken.
Wanneer heeft een IT-afdeling tijd om een complete DRP te testen? En dan heb ik het over het daadwerkelijk terughalen van data etc? Geeneen, echt niet. 80% is theorie uitgeschreven.
Als je als business en IT samen optrekt ipv. elkaar het leven zuur te maken. Heb het wel meegemaakt: 1x per jaar een drp drill met failover en een tape die met piepende banden werd aangeleverd vanaf de offsite backup locatie.
Wanneer je je risico-analyse en budgetten in orde hebt.
dat heeft te maken met business keuzes; in hoeverre wil de business investeren in IT-BCM/DR.

Als ze dat niet belangrijk genoeg vinden; prima maar breng de risico's in kaart en communiceer dit. (makkelijker gezegd dan gedaan)
Lol, welk disaster recovery plan :+
Backup terugzetten.
Helaas schijnt ook de backup versleutelt te zijn...
Dan is het geen goede backup, een backup dient ook een offline variant te hebben. Vooral voor kern domeinzaken zoals hier het geval is, is dat kritiek, zodat je in ieder geval je controle weer terug hebt.
Een beetje ransomware nestelt zich eerst langere tijd in je systemen voor deze actief wordt. Dan zit het ook in je offline backups.
Dan worden er opeens grote incrementals gemaakt (want veel dat veranderd) en slaat je detectie software alarm.

Er bestaan al systemen die live de netwerk activiteiten in de gaten houdt en bij afwijkingen automatisch in kan grijpen.

Maar het blijft een kat en muis spel, de volgende generatie mal/ransomware zal daar ook rekening mee houden (eerst netwerk verkeer monitoren en daar binnen een marge activiteit overheen leggen, low frequently accessed data eerst om detectie te minimaliseren en dan de high frequent accessed data in 1 klap aanpakken omdat je binnen de organisatie alle pc’s aan je botnet hebt toegevoegd (bijv op de eerste dag na oud en nieuw als alle medewerkers de laptop/werkplek aan gezet hebben en gezellig de nieuwjaars toespraak van de baas zitten aan te horen).
Ik snap dit nooit helemaal. Zijn en blijven die offline backups niet read-only? Het enige wat dan zou kunnen is dat je geencrypte bestanden schrijft naar een backup. Maar met versiebeheer zou als het is goed is de hash niet hetzelfde moeten zijn, dus wordt er niks overschreven (als je bijvoorbeeld X aantal bewaard)?

Wat wel overigens zou kunnen en misschien bedoel je dit, is dat het hele backup systeem wordt geencrypt, waar dus hoogstwaarschijnlijk de data is opgeslagen en inderdaad dan ook op slot zit.

[Reactie gewijzigd door foxgamer2019 op 24 december 2019 22:36]

Hangt er een beetje vanaf hoe je het inricht natuurlijk. Wij hebben ook voor de offline backups een veelvoud aan tapes welke gebruikt worden. We hebben 2 week tape sets welke elkaar afwisselen en welke pas overschreven kunnen worden wanneer het weer hun beurt is. Los daarvan zijn er ook maand en jaar tapes. Waarbij de maand tapes pas na 11 maanden weer overschreven kunnen worden en de jaartapes gaan permanent op lock (software en hardware). Dit uiteraard naast de backup to disk backups met backups welke tot een maand terug lopen.

Volgend jaar komt daar zelfs nog een site to site backup bij zodat op een andere locatie zowel de data als een basis set aan hardware altijd standby staat in geval van een brand waarbij al je hardware wordt verwoest.
Overigens is een site to site een leuke oplossing. Je storage doet een replicatie onderwater, waarna er een snapshot komt van deze data. En set wordt op tape gezet. Heb je ook geen last van een backup window. Full backup in weekeinde, Incrementals voor de rest week.

En met beetje pech ben je maximaal een paar dagen kwijt of soms zelfs maximaal een uur wanneer je gewoon met snapshots werkt van de replica.
De bestaande backup blijft naast die site to site. Als de hoofd locatie af zou fikken dan laat ik alles verwijzen naar de nieuwe locatie. De hardware daar is in staat om alles over te nemen al is het minder krachtig.

Backup window heb ik nu ook al geen last van. De incrementals nemen bij de backup to disk met deduplicatie al amper tijd in beslag. En de echte full met deduplicatie in het weekend (voeg geen incrementals samen maar echte full) is ook in een paar uurtjes klaar. Tape gaat op basis van een kopie van wat er op disk staat. Ik ben in het ergste geval net geen dag kwijt, de hoeveelheid waarvan de organisatie heeft aangegeven dat het acceptabel is.
Das een hoop onzin, offline backup is data. Niet iets dat runt. Of je data was al encrypted toen het de backup in ging (en dus de cryptolocker al langer actief) of niet en heb je gewoon een backup van de data.

Natuurlijk zou het kunnen dat ransomware deze data ook encrypt, maar dan zou je opeens met je incremental backup veel langer bezig zijn en zou er bij een systeembeheerder al veel eerder een belletje moeten gaan rinkelen. Ik geloof er helemaal niets van dat er dagelijks een fullbackup wordt gemaakt.

[Reactie gewijzigd door Cergorach op 24 december 2019 17:43]

Er bestaan meerdere ransomwares die net dat doen. Bestanden encrypten maar wel de decryptie in stand houden gedurende enkele weken zodat backups terugzetten ook niet echt helpt. Enige waar je dan als ransomware nog mee moet oppassen is reboots van het systeem. Je moet jezelf ook in het opstartprocess zien te nestellen zodat je de decryptie ook daar kunt inladen zolang je jezelf verborgen wenst te houden. Daarom dat je tegenwoordig ook malwarescanners ziet die enkele willikeurige bestanden aanmaken en in het oog houden om te zien of ze worden aangepast om dan na te gaan of er malware actief is.
Daarom dat je tegenwoordig ook malwarescanners ziet die enkele willikeurige bestanden aanmaken en in het oog houden om te zien of ze worden aangepast om dan na te gaan of er malware actief is.
Heb je niet perse een malwarescanner voor nodig. Wij hebben op diverse servers een gemonitorde map staan waarvan iedereen weet dat je daar vanaf moet blijven. Zodra er een poging wordt gedaan om daar iets in te wijzigen of weg te schrijven krijgen we automatisch direct een alert.
Er bestaan meerdere ransomwares die net dat doen. Bestanden encrypten maar wel de decryptie in stand houden gedurende enkele weken zodat backups terugzetten ook niet echt helpt.
Dat zou op moeten vallen in je incremental backups waarbij je in ene een ongewone hoeveelheid aan gewijzigde data hebt.
...tegenwoordig ook malwarescanners ziet die enkele willikeurige bestanden aanmaken en in het oog houden om te zien of ze worden aangepast om dan na te gaan of er malware actief is.
Welke?
Stel je hebt als onderneming enkele duizenden terabyte aan informatie staan. Hoe wil je die offline in een backup steken?
LTO tapes. Dat is letterlijk hun use case.
Heeft wat hogere kosten vooraf aangezien de drives duur zijn, maar de tape media is spotgoedkoop in prijs per GB. Zeker in vergelijking met andere opslagmethodes.

Die worden trouwens ook gebruikt door de grote jongens zoals MS, Google, Amazon, Nasa, etc...
Tapes zijn niet altijd de oplossing. Offline backup is simpelweg niet altijd handig of mogelijk. De grote jongens vertrouwen voor vele systemen gewoon op een enorme redundantie en voldoende scheiding in hun netwerk om te voorkomen dat er een cascade effect kan optreden of in het onwaarschijnlijke geval dat er toch malware binnekomt deze enkel in een klein deel van het netwerk kan verspreiden.

Natuurlijk hebben ze ook offline backup oplossingen voor bepaalde zaken, maar je kan nu eenmaal niet alles op tape zetten. Je kan niet alles op offline backup zetten.
Natuurlijk hebben ze ook offline backup oplossingen voor bepaalde zaken, maar je kan nu eenmaal niet alles op tape zetten. Je kan niet alles op offline backup zetten.
Ligt er niet aan hoe waardevol je data is en hoe de strategie is uitgedacht? Het gebruik maken van redundantie is geen backup op het gebied van data, eerder uitval tegen gaan als er een storing op hardware (of netwerkverbinding) ontstaat.

Gebruik maken van de wat nieuwere LTO tapes en een goed uitgedacht backup oplossing kan je (mits je compressie en incrementals toepast) behoorlijk wat opslaan.

[Reactie gewijzigd door vali op 24 december 2019 21:41]

Redundantie is geen backup. Dat is toch wel een dogma dat elke IT'er kent dacht ik?

Dit is exact het soort geval waar dit verschil maakt.
Stoer hoor, die 'grote jongens'.
Als je 'enorme redundantie' hebt, betekent dat dan niet dat er eigenlijk op een schimmige manier een backup op harde schijven plaatsvindt?
Klinkt een beetje ongedefinieerd en tijdrovend om in geval van een 'event' de boel in kaart te brengen en te herstellen.
LTO tapes werken prima. Wij doen een directe SAN naar backup to disk en een backup to disk naar backup to tape. De tapes hebben daarbij een overwrite protectie tot ze weer nodig zijn. De hogere aanschaf hangt vooral af van hoeveel data je wil backuppen binnen welk backupwindow.

De simpele tape libraries zijn niet veel duurder dan een enkele LTO drive. Pas bij de grotere libraries met een flink aantal LTO drives wordt het prijzig. Als MBO onderwijsinstelling hebben wij een fractie van het budget in vergelijking tot een universiteit en voor ons was het prima te realiseren.
De backup alleen is het probleem niet. Hoe ga jij met die 3 FTE in het data center je recovery doen als er 3500 man tegelijkertijd aan je staan te trekken, en je moet maandag aanstaande alles weer hebben draaien? Oh, en de machines waar het op gerestored moet worden, die moeten eerst besteld en ingericht worden, want je kunt de huidige natuurlijk niet zomaar meer gebruiken.
Als je als bedrijf geen geld heb voor een goede backup voor een dergelijke hoeveelheid data, dan heb je imho niets te zoeken met dergelijke hoeveelheden data... Dat is kort door de bocht, maar deze situatie is exact de reden waarom dit WEL belangrijk is.
Wanneer wij als MBO onderwijsinstelling een degelijke backup kunnen bekostigen dan moet een Universiteit dat al helemaal kunnen. Wij hebben maar een fractie van het budget van een universiteit.

Het hangt er natuurlijk wel vanaf of de direct mee werkt met een IT afdeling of ze tegenwerkt. Genoeg scholen en onderwijsinstellingen waar de IT of uit wordt besteed of waar eerst 10 personen er een plasje overheen moeten doen voordat iets uitgevoerd mag worden
LTO met compressie. Met een paar libraries en 24 of 48 tapes per library kom je ver. 6TB per tape x 48 x.... Komt gewoon goed hoor en vooral als je met incrementals werkt.
LTO-8 doet gewoon al Native/raw 12TB aan data capaciteit. Vaak doe je bij zulke hoeveelheden aan data ook nog deduplicatie waardoor de backup op tape maar een fractie is van de oorspronkelijke omvang. Met incrementals erbij is dat inderdaad al helemaal bizar.
Klopt, eigenlijk is er gewoon geen enkel excuus om niet te back-uppen op tape.
Voor de kosten hoef je het ook niet te laten. Wel is het belangrijk dat je ook een goed backup schema ontwerpt. En in overleg met de organisatie stel je vast hoeveel tijd aan werk er maximaal verloren mag gaan. Bij de ene organisatie is het van belang dat er nagenoeg niet teruggevallen wordt waar bij het andere bedrijf het risico van maximaal een dag terug vallen ook prima is. En daar naast is het natuurlijk van belang hoe lang je data bewaard dient te worden voor bijvoorbeeld een wettelijke basis.

Bij grote hoeveelheden aan data is het alleen aan te raden om een copy to tape te doen van je backup to disk zodat je niet 2 keer dezelfde data op moet halen en moet dedupliceren.

Uiteraard wil je wel ook van je tapes periodiek een test doen om zeker te gaan dat de backups wel gelukt zijn
Tja alleen is dat een heel ander verhaal als je 175.000 servers hebt met ieder 24 Tb aan data.

Dat is gewoon onbegonnen werk om te backuppen vandaar dat veel cloud providers dan ook backupless zijn. Ze gebruiken allways on replicatie en doordat de files altijd locked (open in write lock ) zijn krijgt een crypto locker bijna geen kans. En als dat wel gebeurd is dat maar op 1 van de kopieen en slaat de alarmering meteen aan doordat er massive encryptie / IO gestart word wat afwijkt van het normale server gedrag..
Niet echt een probleem hoor. Ook daar zijn gewoon LTO libraries voor waarbij deze een hele muur beslaat met daar in tig tapes en tig drives. Daarbij spreek je tegenwoordig met de backupserver vaak ook niet meer de VM's zelf aan maar gewoon direct de data op je SAN. Bij een omgeving van de door jouw geschetste omvang zullen er genoeg SAN's zijn waar de data op staat. Daarbij zijn er in het storage landschap ook nog genoeg mogelijkheden voor extra backups op basis van doorlopende snapshots van de data. Er zijn immers meerdere wegen die naar Rome gaan.
ehh nee, 0 SAN alles DAS op sata 7200 disks met JBOD en 0 backup :) .

[Reactie gewijzigd door Scriptkid op 24 december 2019 23:33]

Die aantallen is totaal geen issue. Met block deduplicatie haal kan je met eenvoud 10K aan servers reduceren tot een backup footprint van niks. Standaardisatie en patchlevels gelijk houden en je backup van 1 server of 100 of 1000 servers maakt niks uit. Ooit eens bij een klant een dedup gehad van 200 Citrix servers was de ratio net geen 200:1 maar iets van 200:1,1. En heel veel data is mega comprimeerbaar. Ik zie dagelijks SQL databases welke op disk 5 TB of groter zijn maar op backup iets van 250GB. Onderschat Deduplicatie en Compressie niet, vooral wanneer ze samenwerken.
175.000 servers met ieder 24 TB aan unieke data? Dat lijkt me ongelooflijk veel. Wat is de informatie-inhoud dan nog?
Moet je even kijken op ignite sessies van microsoft how we run exchange online.
Dan is er bij de aanschaf al iets flink misgegaan. Als je zoveel servers, maar vooral zoveel storage aanschaf, dan moet je hierover nadenken.

Geen excuus mogelijk. Moet gewoon onderdeel van je architectuur zijn.
lol denk dat je dan toch even de sessie van ignite moet gaan bekijken en ms vertellen dat je een beter idee hebt. :)

[Reactie gewijzigd door Scriptkid op 25 december 2019 14:50]

Waar is de scheiding van rollen, beheer- versus useracounts. Blijkbaar hebben beheerders met hun user account beheer rechten want anders was de schade niet zo groot.
true; echter

veel ransomware wordt verspreidt met een exploitkit waaronder ook bijv. mimikatz / pass the has / psexec etc etc etc. Veel van deze 'beheer' tools zijn natuurlijk niet te gebruiken met user credentials. Totdat je je realiseert dat het hier gaat om een Universiteit. Die hebben vaak nogal wat BYOD(T) Studenten hebben daar local admin by default (Het zijn immers hun apparaten) Als daar ooit door een domain admin (voor bijv. Office - Universiteits app) is inlogt .. kan je een probleem krijgen als Mimikatz dat account het gelicht of.. bijv. via pass-the-hash naar een file server kan springen.

Universiteiten zijn echt lastig. Om het goed te doen moet je bijna met een gigantisch DMZ werken met alleen webtoegang naar 'universiteitskritische' applicaties. (normaal zou ik zeggen installeer overal Sophos InterceptX maar ook dat is lastig bij BYOD)
Maar wanneer je BYODeath zonder firewalls en proxies bij je domein infra kan komen dan denk ik dat er iets fundamenteels fout is.
dat kunnen ze niet. Maar dan ga jij ervan uit dat alle proxy/FW een goede ransomware aanval kunnen voorkomen? Teveel porten worden nog door legacy applicaties gebruikt om in een FW dicht te gooien.

Ik kan je uit eigen ervaring vertellen dat het zeker NIET het geval is. Ik ken maar één effectief middel tegen ransomware en dat heet hitmanpro (en nu InterceptX) Getest, bewezen en 'geschikt' bevonden. Helaas dan komt het BYODeath (zoals je het zo sprekend noemt) om de hoek kijken; je kan studenten moeilijk verplichten interceptx op hun machine te zetten.
Er zijn tegenwoordig een hoop NextGen technieken om je daar wel bij te helpen in de verschillende lagen van je netwerk. Ook via diensten zoals Cisco Umbrella is een hoop mogelijk. De spullen die wij actief hebben in het netwerk halen er meerdere keren per week genoeg bagger uit onder 3500 studenten en hun BYOD devices. Bij detectie heeft de student ook per direct tijdelijk geen toegang meer tot het netwerk totdat de schadelijke software is verwijderd. Daarbij adviseren wij hoe ze van de besmetting af kunnen komen en hoe ze deze zo veel mogelijk kunnen voorkomen/waar ze op moeten letten. Vaak genoeg heeft de antivirus (als ze die al hebben) op hun BYOD helemaal niets gedetecteerd. Studenten zijn bij ons daar naast gescheiden van het interne netwerk en spreken alleen via webinterfaces de verschillende diensten aan
ik ben niet zo'n fan van umbrella. (of de gewoon de betaalde versie van OpenDNS met categorieën) Er is weinig of niets mogelijk met de virtual appliances en ze vallen amper te effectief te monitoren en managen. Het zijn gesloten 'dozen' . Call back via DNS had in dit geval niet eens gewerkt; immers er wordt gecommuniceerd via email (als ik de use case goed begrijp) en umbrella blocked niets in email.

zscaler en anderen hebben (veel) meer mijn voorkeur.
Was ook maar bedoeld als een voorbeeld van de vele beschikbare technieken waarmee je meerdere lagen van bescherming van je infrastructuur en omgeving kan realiseren. Er zijn inderdaad nog een veelvoud van andere oplossingen die allemaal op hun eigen wijze een extra laag aan bescherming weten te realiseren.
Daarom moet een goede firewall ook niet aan de rand maar midden in je netwerk staan. Daarmee kun je niet alleen het verkeer van en naar het internet scannen en filteren, maar ook het verkeer tussen de vlans onderling.
uiteraard. Een gemiddelde onderneming (en ik neem aan de universiteit ook) heeft waarschijnlijk perimiter firewalls en firewalls tussen data centra/server segmenten. Wat niet wegneemt dat de gemiddelde ransomware aanval moeilijk te detecteren en mitigeren is door een firewall. Ik ging er eigenlijk al vanuit dat je de segmenten van je netwerk, en zeker je server gedeelte, scheidt door firewalls. Het is network security 101.

Een betere oplossing blijft voor mij InterceptX op de servers installeren. Die heeft een optie om te checken of er een remote encryptie proces plaatsvindt. Er zijn ongetwijfeld ook andere soortgelijke producten maar ik ken alleen HitmanPro en interceptX die daar heer en meester in is.
Veel van deze issue zouden voorkomen zijn daar het gebruik van paw
De besmetting hoeft niet door een admin account veroorzaakt te zijn. Een 0-day lek kan ook prima de veroorzaker van de besmetting zijn. Er zijn genoeg 0-day lekke geweest waarbij via de lek onder een normale user de besmetting toch de nodige rechten weet te verkrijgen ;)
eens. En zelfs dan; zolang bluekeep actief misbruikt kan worden (rdp zonder vpn) gaat het vroeg of laat altijd fout.
Wij maken voor verbindingen van buitenaf oa gebruik van steppingstones. Waarbij je met een ander wachtwoord dan je VPN in moet loggen op een intern systeem. Vanuit daar kan je dan beperkt verder met weer andere accounts.

100% waterdicht zal je het nooit krijgen maar je kan het wel zo dicht mogelijk proberen te krijgen.
Dit kan ik pareren. Iedere beheerder logt in met een normaal AD account. Er is voor iedere beheerder een apart beheerdersaccount beschikbaar.
Hoe kan het dan verspreiden buiten de User context in de admin context? Er moet in de User context ergens meer rechten zijn gegeven dan nodig zodat de admin context aangevallen kan worden.

[Reactie gewijzigd door Wim-Bart op 24 december 2019 21:15]

Er is een theorie over hoe en wat, maar vanuit NDA oogpunt kan ik mij daar verder niet over uit laten.
Er is een theorie over hoe en wat, maar vanuit NDA oogpunt kan ik mij daar verder niet over uit laten.
Dat kan ik begrijpen. Maar ik denk dat er het nodige zal veranderen en mensen zich meer bewust worden van de impact van bepaalde acties die vroeger zo gewoon waren maar tegenwoordig niet meer kunnen :)
Daarom is er ook het spreekwoord van het kalf en de put.
Vaak moet er altijd iets gebeuren, voordat er verdere actie wordt ondernomen op bepaalde gebieden. Wat dit inhoud bij het UM weet ik alleen niet.
Mooi afstudeer project om de beheer organisatie en bijbehorende procedures eens door te lichten en de knelpunten er uit te halen.

Maar wanneer je ziet hoe veel beheerders bij bedrijven bijvoorbeeld lid zijn van 300 groepen omdat ze dan makkelijk rechten kunnen aanpassen op bepaalde plaatsen en door overerving van rechten ook toegang hebben op plaatsen waar het niet zou moeten bijvoorbeeld. Dan is het best wel schrikken.
Maar wanneer je ziet hoe veel beheerders bij bedrijven bijvoorbeeld lid zijn van 300 groepen omdat ze dan makkelijk rechten kunnen aanpassen op bepaalde plaatsen en door overerving van rechten ook toegang hebben op plaatsen waar het niet zou moeten bijvoorbeeld. Dan is het best wel schrikken.
Daar ben ik het helemaal met je eens.
Binnen de AD is het vaak dan ook niet alleen gewoon nesting van accounts, maar ook nog eens group nesting.
Ik heb een project gehad, waar ik bijna 1 week bezig was met het uitpluizen van alle nestings. Als je dan ziet hoe dingen anders en vaak ook veiliger ingericht kunnen worden, dan schrik je er toch van.
Vooral bij opruimen in de AD durft men niet echt op te ruimen en daardoor blijven er rechten bestaan waardoor men het overzicht verliest met alle gevolgen van dien.
Juist om makkelijk een AD op te kunnen ruimen gebruiken wij ook daadwerkelijk het notitieveld van groepen. Daarin staat kort waarvoor de groep dient en waar het rechten op geeft. En indien voorgekomen uit een melding een verwijzing naar de betreffende melding.

In een ver verleden werkte bij ons alle beheerders onder hetzelfde account en draaide zelfs processen, scripts en databases onder dat account. Tegenwoordig heeft iedereen persoonlijke admin accounts, draaien software/scripts/processen onder separate accounts en heeft niemand meer rechten dan nodig voor de functie. Ik heb zelf iets van 15 beheer accounts met afwijkende wachtwoorden en gebruikersnamen juist om te voorkomen dat als er 1 buit gemaakt wordt dan dan direct alles buitgemaakt is. Waar mogelijk hebben die accounts ook MFA.
Ook dat is niet meer van deze tijd. Met Privileged access management krijg je tijdelijke (elevated) credentials voor een bepaald systeem, stuk lastiger om dat te hacken (2FA) voor zo een virus/malware. Een vast admin account met vaste passwords zijn ook te onderscheppen.

[Reactie gewijzigd door mjl op 24 december 2019 21:51]

Alleen de backups op de betreffende systemen, offline backups zullen dus niet aangetast zijn.
De online backup lijkt getroffen te zijn. Dat is meestal de laatste 6 of 23 uur.
Een windowsnetwerk is blijkbaar ook niet door gecertificeerde IT'ers te onderhouden. Te kwetsbaar iedere keer weer en velen die er niet van leren.
Deze universiteit werkt ook al met diverse Linux'en en DE website draait prima onder Linux/nginx (en drupal). Ik schat in dat er wat plannen wat sneller doorgevoerd gaan worden.
Als ik zou mogen kiezen tussen een malware- of font probleem wist ik het wel maar managers bepalen en zolang ze het niet zelf hoeven op te lossen wordt het dus malware.
Arme studenten zijn weer de klos en de de grote gelegenheidsverschaffer blijft buiten schot.

[Reactie gewijzigd door souplost op 24 december 2019 22:39]

Je bent wel erg optimistisch als je denkt dat Linux een aanval als deze gaat tegenhouden. Volgens TrendMicro verspreid de malware zich niet door middel van 0days of bekende lekken maar wordt het virus van binnenuit geopend. Lees: phishing mail met macro's. Als je mensen kan overtuigen dat ze de inhoud van het bestand willen zien en ze instructies geeft (ook om bijvoorbeeld de execute bit aan te zetten) dan doen ze dat wel.

Als iemand op Windows in Word door alle macromeldingen heen klikt, doen die dat op Debian in LibreOffice ook. De tijd van malware.pdf.exe is al een tijdje voorbij.

Het virus heeft de domeincontrollers bereikt dus heeft het toegang gekregen tot de wachtwoorden van een van de hoofdsysteembeheerders. Ook dat kan gewoon op Linux, evenals remote inloggen en commando's uitvoeren. Alle snapshots van harde schrijven kunnen met een shell script ik plaats van een batchbestand worden verwijderd en antivirus hoef je je niet eens druk over te maken.

Als dit een uitgebreide aanval was op kritieke infrastructuur door een geavanceerde staat, had een goed geconfigureerd Linuxnetwerk misschien wat uitgemaakt. Hier hebben we waarschijnlijk gewoon te maken met iemand die op internet een virus heeft gekocht en voor twintig euro spam phishingmail heeft laten sturen. Het enige voordeel dat je hebt is dat weinig grote organisaties daadwerkelijk Linux gebruiken op de desktop, maar dat voordeel verdwijnt vanzelf zodra meer mensen overstappen.

Begrijp me niet verkeerd, ik gebruik met plezier op zoveel mogelijk apparaten Linux en ik ben ook groot voorstander van programma's om het naar de massa te brengen, maar dit soort virusuitbraken zijn niet te voorkomen door van OS te wisselen. Sterker nog, met een goed ingestelde group policy, logging en een redelijke SIEM is het beheren van een veilig Windowsnetwerk makkelijker dan bij Linux (code signing, wat is dat?) puur omdat er betere tooling voor is.
Als je mensen kan overtuigen dat ze de inhoud van het bestand willen zien en ze instructies geeft (ook om bijvoorbeeld de execute bit aan te zetten) dan doen ze dat wel.
Het execute bit is de reden waarom een drive-by infectie (wat windows zo ontzettend kwetsbaar maakt) onder Linux nog nooit heeft gewerkt omdat alles readonly wordt gedownload. Een windows werkplek is daarom bij Google verboden. Inmiddels is Linux de meest gebruikte kernel ter wereld. Juist de meest kritische systemen draaien onder Linux. Voor hackers dus het meest interessant. Windows is alleen maar kantoorautomatisering. Ongetwijfeld zitten daar de meeste idioten die overal op klikken. Dat juist daar het zwakke windows voor wordt gebruikt heeft alleen maar met vendor locks te maken.\
is het beheren van een veilig Windowsnetwerk makkelijker dan bij Linux (code signing, wat is dat?) puur omdat er betere tooling voor is.
Google,Facebook,IBM denken er anders over. IBM meldt zelf flinke besparingen na de overstap van windows naar Linux en Apple. (werkplekken).
IK heb zelf in het verleden een groot windows netwerk mogen beheren. Er is blijkbaar niet veel veranderd.
Linux beheer je anders, maar als je het toch op de windows manier wil doen kan je de werkplekken ook in je windows domain opnemen via policies of gewoon freeipa gebruiken.
Antivirus onder Linux wordt alleen gedaan omdat de opdrachtgever, die er geen verstand van heeft , het eist . Een belangrijk punt ook is dat problemen onder Linux veel sneller worden opgelost op een transparante manier via updates die wel werken en snel uitgerold kunnen worden en dan hebben we het nog niet over flexibiliteit.

[Reactie gewijzigd door souplost op 26 december 2019 00:21]

Macro's doen het nog steeds in libreoffice dus drive by downloads kunnen prima onder Linux. De andere manier waarop veel mensen willekeurige code op hun systeem krijgen is exploits op browsers en kantoortools en daar heb je op Linux ook enorm weinig aan.

Antivirus is geen onvernietigbaar schild om je systemen heen zoals de makers van die troep het vaak willen afdoen, maar het is wel een waardevolle laag in je defence in depth. Je kunt de kans op infectie verkleinen door van OS te switchen maar je wilt nog steeds een indicatie in je logs hebben van wanneer een infectie gebeurt zodra dit eenmaal voorkomt. Op het moment zijn er weinig goede antivirusproducten op Linux die dat kunnen. Livebescherming is een uitdaging die op Windows (en gedeeltelijk op macOS) opgelost is maar nog niet goed op Linux.

De apparaten die tegenwoordig Linux draaien zijn niet heel interessant voor hackers want de printer gijzelen of bitcoin minen op een netwerkswitch is niet heel productief. We hebben het hier over een cryptolocker, het maakt hackers niet uit welk OS mensen draaien als het maar populair is.

Het artikel van IBM dat ik gelezen heb ging eigenlijk alleen over Mac workstations, over Linux werd amper een woord gerept.

Over het doorklikken van meldingen: als je in je netwerkomgeving nog niet het uitvoeren van onbekende executables hebt uitgezet ben je gewoon onhandig bezig, of je nou Windows draait of Linux. Ik weet dat je met group policy gewoon executables kan blokkeren die niet op een whitelist staan, op Linux ben ik niet heel bekend met corporate tooling maar het zal vast bestaan. Denk je echter dat de It-beheerders dat wel uit zouden hebben gezet als ze een ander platform hadden gedraaid?

Voorkomen van infectie is tegenwoordig meer een mensenprobleem dan een technisch probleem. Mensen klikken niet op die leuke screensaver omdat ze jou het leven zuur willen maken, mensen klikken erop om een bepaald doel te bereiken. Als je mensen wil hacken, moet je ze laten denken dat ze een bepaald doel willen behalen (het openen van die geheime notulen die per ongeluk naar je toe zijn gemaild bijvoorbeeld) en daar duidelijke instructies voor geven (hoe je macro's aanzet bijvoorbeeld).

De grootste securityvoordelen van Linux zijn dat mensen die het draaien meestal technischer onderlegd zijn, dat binary compatibility voor Linux af en toe wel eens moeilijk kan zijn (sommige officiële executables zijn amper te runnen als je Red Hat ipv Debian draait) en dat mensen amper Linux draaien waardoor een cryptolocker voor een Linuxnetwerk niet rendabel is. Alle voordelen did je eruit haalt werken alleen totdat je methode ook bij het grotere publiek aanslaat. Daarom is stellen dat Linux om de een of andere reden inherent veiliger zou zijn dan Windows in een volledige bedrijfssetting gewoon niet waar. Het werkt incidenteel.

Daarnaast heb je ook natuurlijk nog de problemen van grote organisaties en het niet hebben van een supportcontract, de onwil van mensen om een nieuw systeem te leren en de baas die vraagt waarom zijn favoriete spelletje niet meer opstart. Ook is die ene WPF-applicatie die twee jaar terug voor twee miljoen is gekocht/die vage smartcard die iedere medewerker heeft/die ene cloudpprovider me alleen Windows tools nog een factor om überhaupt het voorstel van het plan flink in de web te zitten.

In een perfecte wereld zou Linux het in de praktijk misschien net iets beter doen dan Windows. In de echte wereld zou je er hooguit een paar vastgeroeste Windows-gebruikers mee kunnen irriteren als je switcht. Als die virus in dat document dat ze op de mail hadden het niet doet op de werk-pc, sluit men wel hun Windows laptop aan op de WiFi en opent men het daarop.
Macro's doen het nog steeds in libreoffice dus drive by downloads kunnen prima onder Linux.
Dat is geen drive by download. Hier is een user interactie voor nodig.
Ik denk dat er meer aan de hand is, maar Linux is niet de oplossing, de oplossing zit in het juiste OS voor de juiste taak. Soms is Linux, soms is het Windows maar alles valt en staat met beleid en de kosten.

Maar hoe mooi het beleid ook is, hoe mooi de procedures ook zijn. Wanneer een beheerder SELinux uit zet omdat het soms zo vervelend is, of zichzelf zijn office user account domein admin maakt met zijn beheer account omdat het zo vervelend is om steeds via je beheer omgeving rechten te zetten, of een beheerder die het handig vindt om PermitRootLogin op yes te zetten omdat sudo en su zo verveeld zijn... Daar doe je niets tegen wanneer je dit niet controleert en er geen represailles tegenover staan.

En organisaties welke role based admin en rbac nog niet snappen, tja,... Wat moet je dan.

[Reactie gewijzigd door Wim-Bart op 25 december 2019 01:22]

En organisaties welke role based admin en rbac nog niet snappen, tja,... Wat moet je dan.
Een consult inhuren die mag gaan puinruimen. De reden waarom er genoeg werk is (vooral voor open-source minded mensen).
Open source heeft er niks mee te maken. Open source is schijn veiligheid, je kan in de code kijken en de enige die dat doen zijn hackers. Op ieder project waar ik open source tegen kom vraag ik altijd, jullie hebben gekozen voor dit product, hebben jullie de code al gecontroleerd... En altijd het zelfde antwoord, dat hebben anderen al gedaan. En ik denk dan, tja, assumption is the m........
Open source is schijn veiligheid, je kan in de code kijken en de enige die dat doen zijn hackers.
Schijnveiligheid? Je hebt dezelfde schijnveiligheid als je gebruikt maakt van closed sourced oplossingen. Koop eens een kant en klare doos en onderzoek eens wat voor Linux versie erop draait. Genoeg keren meegemaakt dat er een zeer oude Debian of andere distro erop draait met een zeer oude kernel. Moest daar aanpassingen maken om überhaupt veilig te zijn aangezien de leverancier te beroerd was om patches te leveren.

Verder haal je het voordeel uit Open-source door het draaien van upstream oplossingen zonder hier extreem veel voor te betalen (de kosten zitten weer in het personeel, niet in de support kosten). Hiermee doel ik op ala centos, okd, kubernetes, spacewalk, Forman, awx, Rancher, nginx en ga zo maar door. Stabiel en de code controle? Als jij dat zo graag wil doen om zeker te zijn voor je veiligheid kan je dit prima doen. Genoeg grote tokos die het ook doen.

Dat je de indruk hebt dat alleen hackers dat hebben is mijns inziens niet echt tweakers waardige uitspraak...

[Reactie gewijzigd door vali op 26 december 2019 13:34]

Kosten van OS zijn verwaarloosbaar. Het zijn de kosten om het veilig neer te zetten en te onderhouden. De insteek moet zijn, ieder OS is onveilig, wat de bron van het OS ook is. Het is een kwestie van gelaagdheid bij de beveiliging, van toegang richting het OS op netwerk en console niveau tot aan de services welke het OS bied. Hoe meer services hoe onveiliger. Neem Ubuntu, zie bij bedrijven zo veel installaties waar imbicielen een GUI hebben geinstalleerd op een Internet facing web server. Of mensen Windows DC's met GUI in plaats van Core editions. Allemaal omdat men het makkelijk wil maken. En daar maakt het niet uit of het closed source (onveilig) of open source (onveilig) is. Voor ieder OS geldt gewoon, Firewall aan, beperken local access tot nagenoeg no access, achter een firewall in het netwerk, minimaal aantal services, auditing en alerting op security (direct een alert wanneer iemand bijvoorbeeld sudousers aanpast, of een groep in een local admin group op Windows zet). En dat zijn nog maar basale zaken. En toch is dat het meeste werk, iedere sukkel kan een OS installeren, maar het gaat om het uitwerken en implementeren van de juiste rules waarin het OS komt te staan. En dan maakt Open Source of Closed Source niks uit.
Kosten van OS zijn verwaarloosbaar
De kosten zitten hem ook in de ondersteuning in de vorm van licenties, het OS is inderdaad te verwaarlozen.
De insteek moet zijn, ieder OS is onveilig, wat de bron van het OS ook is. Het is een kwestie van gelaagdheid bij de beveiliging, van toegang richting het OS op netwerk en console niveau tot aan de services welke het OS bied.
Hier ben ik het niet helemaal mee eens. Als je de standaarden van Linux volgt en beveiligen zoals selinux aan laat staan wordt je gedwongen om op een veilige manier te werken aangezien de applicatie anders nooit goed gaat werken. Dat je bij bedrijven komt waar men een GUI aanzet op een Apache/Nginx server is het misschien het idee om de Root rechten van die mensen in te trekken en als dat niet gebeurd serieus afvragen waarom je daar nog zou willen werken.
En toch is dat het meeste werk, iedere sukkel kan een OS installeren, maar het gaat om het uitwerken en implementeren van de juiste rules waarin het OS komt te staan. En dan maakt Open Source of Closed Source niks uit.
Zeker mee eens, maar het moeilijkste gedeelte is de tools gebruiken waar ze voor bedoelt zijn. Hier hebben vele jammer genoeg erg veel moeite mee en prutsen maar een boel bij elkaar. .

[Reactie gewijzigd door vali op 27 december 2019 23:37]

[...]
Hier ben ik het niet helemaal mee eens. Als je de standaarden van Linux volgt en beveiligen zoals selinux aan laat staan wordt je gedwongen om op een veilige manier te werken aangezien de applicatie anders nooit goed gaat werken. Dat je bij bedrijven komt waar men een GUI aanzet op een Apache/Nginx server is het misschien het idee om de Root rechten van die mensen in te trekken en als dat niet gebeurd serieus afvragen waarom je daar nog zou willen werken.
[...]
Windows Server is per definitie net zo veilig als Linux, tot beheerders er mee gaan spelen en alle beveiliging gaan uitzetten. Wat voor Linux geldt geldt ook voor Windows. Er is geen verschil. Daarom laat ik liever ook geen anderen aan mijn Linux en Windows systemen zitten.
Over deze uitspraak zou je vele boeken kunnen schrijven aangezien de meningen verdeeld zijn :)

[Reactie gewijzigd door vali op 28 december 2019 08:18]

Misschien wel, maar voor mij is alles met een Linux kernel Linux, je hebt heel veel bloat er omheen zoals X, tools, apps, maar het blijft Linux in 100-den smaken, iets met een Windows Kernel is een Windows variant, iets met een BSD Kernel is een BSD variant, net zoals VMs, of AIX, of HP/UX etcetra. Het zou toch raar zijn wanneer ik bijvoorbeeld een vanilla Linux variant neem, daar allemaal tools op schrijf en dat het dan opeens geen Linux meer is.
Universiteit Maastricht heeft geen last gehad van een beheerder die de poort heeft opengezet omdat hij anders niet kon werken. Hier is duidelijk sprake van een drive-by download incident, hetgeen onder Linux nog steeds onmogelijk is gebleken. Momenteel het grote windows syndroom.
Vulnerability management is onder windows ook een enorme uitdaging omdat Microsoft bij haar updates alleen Microsoft producten test.
Je moet eens kijken naar impact van Joomla en WordPress op Linux systemen wanneer die gehacked worden. Heb in mijn leven genoeg Linux systemen moeten redden of afschrijven omdat ze bij een simpele drive by gecompromiteerd waren. Moet je eens duiken in een simpele omgeving als Metasploit.
Een drive by infectie werkt niet onder Linux. Malware komt hooguit read only binnen. Het execute bit moet eerst nog gezet worden. Ik ken Metasploit.
In e juiste context werkt het wel, alleen er zijn weinig mensen die er tijd in steken. Maar kijk maar eens naar de grootste Linux implementatie die er bestaat, Android.....

En ik ben zelf een groot fan van Linux, ooit begonnen met 0.94 en de transitie meegemaakt naar GUI en maar liefst ongeveer 1000 regels aan code heb verzorgd (Intel platform VGA ondersteuning) voor versie 0.95 (waar de eerste X in werkte).

[Reactie gewijzigd door Wim-Bart op 26 december 2019 17:44]

Android is geen Linux implementatie. Linux is alleen een kernel (POSIX implementatie). Android bevat alleen een LInux kernel.
Ik heb het hier natuurlijk over een (enterprise) Linux desktop (distro) niet over een Android telefoon.
De kernel is wat het OS bepaald, volgens jou zou ik dus de Kernel van Ubuntu kunnen vervangen door een Windows kernel en dan nog steeds Linux noemen. Die vlieger gaat niet op, Android is gewoon een Linux variant.
Je hebt er helaas niet veel van begrepen. Ubuntu met een windows kernel is geen Linux, maar heet toevallig wel Windows Substeem voor Linux. Linux is alleen een kernel!
Android als desktop heb ik nog nergens gezien en heb ik zeker niet als alternatief aangedragen. Android lijkt in de verste verte ook niet op een Linux distro. https://www.howtogeek.com...-but-what-does-that-mean/
Kortom een Enterprise Linux desktop (distro) bv van Redhat, Suse of Canonical wordt nog steeds niet geplaagd door driveby downloads, zelfs niet in het Lab.
Volgens mij heb jij mij niet begrepen, ik stel heel simpel: Alles met een Linux kernel is Linux. Dus lees even goed wat ik schreef.
Ik snap nog altijd niet dat cruciale systemen niet gewoon dagelijks een systeemkopie ondergaan en 2 maal daags een data backup word gemaakt.

Dan is het een kwestie van format en kopie terugzetten en je ben weer online. Ok het kost je meer voor extra opslag maar minder dan lang offline zijn als er wat gebeurd.
Risico was de afgelopen jaren best laag, Risico analyze wordt waarschijnlijk te weinig bijgewerkt.

Ondanks dat nu al een paar jaar op een rij een stijging van ingewikkeldere ransomware, welke in sommige gevallen network wide werken, plaats vind.

Daarnaast kunnen de kosten voor een off-site cloud backup best hoog zijn.

Daarnaast wordt er door veel consultancy bureau’s te weinig aandacht gegeven aan de old school tape backups.

[Reactie gewijzigd door Jonathan-458 op 24 december 2019 19:33]

Tja ik weet niet hoeveel data deze instanties verwerken en opslaan maar als het enigsinds binnen de werken is kan je kijken naar 2 data storage units en deze afwisselen zodat je zelfs als er een backup besmet raakt je nog een andere backup heb.
En dat gaat dan om puur data. Operating systems van de servers kunnen ze makkelijk backuppen omdat deze zo groot zelf niet zijn.
Hou bij wat er na de backup aan de server gewijzigd is of maak een nieuwe backup van de server met behoud van de oude op een hotplugable drive en dan is in ieder geval je server weer snel online.
Als je netwerk goed in elkaar zit word er lokaal zo min mogelijk opgeslagen dus de pc's aan het netwerk herstellen kan ook vrij vlot dan.
op een hotplugable drive en
Grapjas. We hebben het hier niet over je thuisnetwerk maar waarschijnlijk over honderden servers op tientallen locaties.

Als je met een dergelijk probleem zit heb je vaak geen andere keus dan alles uit te zetten en opnieuw op te bouwen. Een backup terug zetten heeft geen enkele zin als die binnen seconden weer versleuteld is. Je bouwt je hele netwerk weer helemaal schoon op. Backups van servers etc zijn per definitie verdacht omdat je niet weet hoelang het virus al op de loer lag. Vaak hebben dit soort aanvallen een sublading die na een paar weken actief word. Dit is recentelijk nog in Spanje gebeurt. Firma had na drie weken kei en keihard werken alle backups terug gezet (meer dan 900 terra) om de volgende ochtend weer alles versleuteld terug te vinden. Wist je dat bij de malware aanval op Nordic er meer dan 7500 disks verwisseld zijn? Denk alleen al aan het handwerk dat dat kost. In een desktop gaat het nog maar om dat op honderden laptops te doen...

Maar denken aan hot pluggable drives.... nee we hebben het hier echt over een hele andere schaal. We hebben het over alle disks uit een server halen, het OS opnieuw installeren en dan aan de configuratie beginnen. Voor ALLE servers. Meestal wordt ook de stap genomen om alle disks uit alle desktops te halen omdat je herbesmetting moet voorkomen, kan je meteen zien of er USB drives aan hangen etc.. Gelukkig kunnen desktops/laptops tegenwoordig snel geconfigureerd worden.

Met wat pech zit je weken zonder volledig netwerk want een it'er kan maar een beperkt aantal systemen per dag configureren.

[Reactie gewijzigd door falconhunter op 24 december 2019 18:52]

Als je met een dergelijk probleem zit heb je vaak geen andere keus dan alles uit te zetten en opnieuw op te bouwen. Een backup terug zetten heeft geen enkele zin als die binnen seconden weer versleuteld is. Je bouwt je hele netwerk weer helemaal schoon op.
Het is echt maar hoe je infra is opgezet. Zelf meerdere omgevingen met ZFS gezien/opgezet en daar is het zeer makkelijk om alles weer op te bouwen. Verder kan je als je het goed uitdenkt kan je behoorlijk wat maanden terug en het terug zetten van een snapshot kost amper wat tijd. Zulke omgevingen kan je prima Petabytes aan data beheren.
Backups van servers etc zijn per definitie verdacht omdat je niet weet hoelang het virus al op de loer lag.
Als je goede backup strategie hebt kan je in ieder geval hierop voorbereiden. Het testen of een backup goed gelukt is kan je ook automatiseren (als er bv bepaalde applicatie op draait) en verdacht verkeer zoals het locken van cryptoware bestaan er ook monitoring oplossingen die verdachte processen kunnen identificeren en hierop alarm te slaan. Ook is niet gek om nog steeds gebruik te maken van tapes.
Met wat pech zit je weken zonder volledig netwerk want een it'er kan maar een beperkt aantal systemen per dag configureren.
Ik denk dat het goed moment is dat het bedrijf investeerd in goede automatisering.. Als je als bedrijf maar per dag een aantal systemen kan configueren dan is er serieus iets mis (hiermee doel ik ook op het netwerkdeel. Ook krijg ik de indruk (en ja kleine aannamen) dat er bij Universiteit Maastricht teveel bezuinigd is en veels te veel Microsoft services draaien. Misschien nu keer tijd om meer naar Opensource oplossingen te kijken :) Tot heden meerdere cryptoware aanvallen kunnen herstellen.

Verder boeit het mij verder het OS of hoeveel servers er draaien vrij weinig. Zolang GIT veilig staat en de data veilig wordt opgeslagen installeer ik liever geautomatiseerd de server(s) volledig opnieuw. Liefst maak ik gelijk van het moment gebruik (aangezien het toch opnieuw uitgerold moet worden) om er een container van te maken. Scheelt weer wat beheer.

[Reactie gewijzigd door vali op 25 december 2019 10:36]

Ik heb het meegemaakt bij een grote klant waar ik werk.

Het kostte dagen om een noodnetwerk op te tuigen van gepatchte machines die niet kwetsbaar waren, met als doel de meest elementaire processen weer in gang te zetten. Er werd binnen een dag een pallet(!) nieuwe laptops betrokken van een externe leverancier. Er werden ter plekke noodservers neergezet om nieuwe geschikte images te maken voor die laptops om te kunnen werken. Lokale servers en routers etc zijn 1 voor 1 opgestart en gescand om te kijken of ze beschadigd waren etc.

Ondertussen waren andere teams op zoek naar de point-of-entry. Toen dit bekend was, wist men ook welke backups schoon waren en welke mogelijk niet. Vanaf daar zijn mensen wekenlang bezig geweest om de boel zo goed mogelijk te reconstrueren. Vergis je niet hoe waardeloos sommige files kunnen worden als ze ook maar een dag aan data missen.
Ironisch genoeg was heel veel wat extern gehost was (in de cloud of externe leverancier) veilig, ivm firewalls en dergelijke.

Maar voordat je je active directory weer up-and-running hebt ben je best wat tijd kwijt. En het is verbazend hoeveel tijd. Met name omdat veel tussenliggende servers met een tijdelijke one-time admin account werkten, en die hadden nodig -jawel- een werkende AD. Je core infra moet 100% safe zijn voor je verder kunt.

Edit: typo's en hergeformuleerd.

[Reactie gewijzigd door curkey op 24 december 2019 23:15]

Erg vervelend om mee te maken en ik heb er tot nu toe twee keer serieuze aanvallen meegemaakt. De wat grotere gelukkig zeer gemakkelijk kunnen oplossen door een snapshot van ZFS terug te zetten. Alle laptops werden volledig gewiped en dag later werkte iedereen weer. De Linux/, windows en Unix server werden niet geraakt (security staat aardig strikt). Na deze aanval hebben we gekeken naar oplossingen om een cryptoware aanval te voorkomen en er zijn zeker hier goede oplossingen voor te vinden.
Vergis je niet hoe waardeloos sommige files kunnen worden als ze ook maar een dag aan data missen.
Ironisch genoeg was heel veel wat extern gehost was (in de cloud of externe leverancier) veilig, ivm firewalls en dergelijke.
Klopt, daarom is belangrijk als je veel data beheerd een goede laag tussen het OS, data en eventueel de databases maakt. Verder is automation een must en het zorgt ervoor dat het opnieuw optuigen van een omgeving zonder enige stress verloopt.
Maar voordat je je active directory weer up-and-running hebt ben je best wat tijd kwijt. En het is verbazend hoeveel tijd. Met name omdat veel tussenliggende servers met een tijdelijke one-time admin account werkten, en die hadden nodig -jawel- een werkende AD. Je core infra moet 100% safe zijn voor je verder kunt.
Kan mij dit zeker voorstellen maar ik ben al lange tijd (gelukkig) geen Microsoft engineer meer. Vooral bij disaster recovery mis je gewoon de kracht wat, in mijn ogen, Unix en Linux bieden om snel weer alles up and running te krijgen. Heb wel verschillende Microsoft teams geholpen met het uitdenken van verschillende backup oplossingen en ook geïmplementeerd. Als hierop teveel bezuinigd wordt is aanval zoals hier plaatsvind toch wel iets wat je als engineer niet wilt meemaken.

Het is te hopen dat veel Managers meekijken naar dit artikel en het budget voor 2020 alvast aanpassen.

[Reactie gewijzigd door vali op 25 december 2019 00:02]

Zeker, en een van de aanbevelingen die wij hadden was ook om te zorgen dat mensen wisten wie ze moeten bellen. Gewoon papieren lijsten dus ergens in een safe. Met alle infra op zwart zaten lokale sites letterlijk in het donker. Sommigen hadden al problemen opgelost waar andere sites nog niet in de gaten hadden dat ze daar ook een probleem hadden.
Hervatten van de communicatie is echt key point. En je moet dus een plan maken voor het geval je helemaal niets meer hebt behalve pen en papier. Letterlijk.
Hervatten van de communicatie is echt key point
Helemaal mee eens! Vind het (ook al is het echt een kut situatie) altijd zeer machtig om te zien hoe een stel idioten (tja we blijven nerds ) bij zo'n situatie 1 front vormen en zeer gecoördineerd te werk gaan. Vrij snel vormt selectief groepje de communicatie voor binnen en buiten en gaat de rest stapsgewijs te werk om het te fixen :)

[Reactie gewijzigd door vali op 25 december 2019 00:06]

Disaster recovery onder windows is makkelijk te verkrijgen.
Je kan gratis veeam end point protection downloaden. Als je klaar bent met inrichten draai je het aanmaken van een boot iso en een eenmalig een backup naar usb disk.
Zodra er via change management een aanpassing gedaan wordt op de server doe je dt zelfde trukje weer.
usb diskje voorzien van servernaam en je hebt altijd een dr van de machine.


Moet de machine gerestored worden, met de iso opstarten en de restore starten.

En het auditen van boot parities, er zijn voldoende audit software pakketten die dat kunnen doen.
Zelf maak ik altijd een B drive aan waar alle temp meuk naar toe mag met behulp van een symbolic link. Dit om sommige domme programeurs tevreden te houden.
Mag ik vragen waarom je nog disaster recovery maaktop zo'n manier? Los van het feit dat disaster recovery niet hetzelfde is als hedendaagse backup (vreemd genoeg halen mensen het door elkaar).

Bij het maken van een backup van een server zorg ik ervoor dat de data en eventueel de database (liefst een cluster) altijd veilig staan. Het OS neem ik niet eens mee in de backup aangezien die veel sneller met automation opnieuw uitgerold kan worden. Scheelt een hoop storage en het maken van een backup gaat ook nog eens sneller ook.
Omdat applicatie servers meer tijd in beslag nemen om weer opnieuw op te bouwen.
Restore is dan sneller.
Juist niet. Als je automation goed opzet en je scripting goed beheerst kost het aanzienlijk minder tijd dan het terug zetten van een backup.

[Reactie gewijzigd door vali op 25 december 2019 13:19]

scripting kost ook veel tijd, je moet het immers uittesten. En als er dan een change komt moet je je scripting weer aanpassen. Als je veeam aanschaft is zelfs een server ongeacht de grootte van de schijven, exchange of sql server binnen een minute weer op and running.

https://helpcenter.veeam....tal_restore.html?ver=95u4
en
https://helpcenter.veeam....nt_recovery.html?ver=95u4
Het bouwen van de script hoort bij de implementatie van het project thuis. Ook wil je verder dat een change via code wordt uitgevoerd aangezien je dan handmatig werk voorkomt en je zorgt ervoor dat elke server gelijk is (maakt migreren naar een nieuwe versie van de applicatie ook stukken gemakkelijker). Bij enterprise omgevingen is dit helemaal een must en uiteraard ook als je samenwerkt met developers.

Verder vind ik veeam, om eerlijk te zijn, een geschikt product voor omgevingen onder de 100 servers maar daarboven is het echt een ramp. De scripting tegen het product is zeer beperkt en onderdelen zoals tagging is serieus dramatisch uitgedacht. Ook vind ik hun incremental forever principe niet zo goed werken tegenover TSM of Rubrik.

[Reactie gewijzigd door vali op 25 december 2019 23:21]

Daarom dus Ansible. Maar als ik daarover begin in Windows-land, word ik te vaak glazig aangekeken. Gelukkig begint het wel te komen.
Of naast ansible puppet gebruiken. Werkt voor default config prima en ideaal i.c.m. Ansible :)

[Reactie gewijzigd door vali op 24 december 2019 19:30]

Ook al ben ik gecharmeerd van beide tools, toch zie ik niet heel veel in een combinatie. Als je Tower/awx implementeert, mis je in Ansible eigenlijk alleen nog Hiera. In mijn ervaring is met dat gemis wel te leven, al vind ik Hiera wel een heel elegante oplossing.
Ik kom best wel aardig vaak de combinatie tegen. Vooral wordt puppet veel gebruikt om snel een VMware omgeving automatisch uit te rollen.

In wat tradionele omgevingen zie je puppet veel met Forman of Satellite en daar zie je dat de configuratie van belangrijke bestanden van een Windows bak ook via puttet lopen (inplaats via een GPO) .

Awx of tower is zeker geen slechte optie en het is tegenwoordig veel meer volwassener geworden (in tegenstelling tot een paar jaar terug).

[Reactie gewijzigd door vali op 24 december 2019 23:24]

Ansible is ook niet zo makkelijk op Windows. Met veel software installaties moet je door een GUI wizard heen lopen (Next->Next->Finish) en zijn dus niet zo makkelijk te automatiseren. Natuurlijk komt dit wel steeds meer in de latere windows versies.

Dit is juist een van de krachten van Linux met configuratie in tekstfiles en repositories. Het is niet altijd zo makkelijk omdat er geen config file standaard is, maar het is wel lekker te automatiseren als je er wat werk in steekt.

Overigens begint windows wel steeds meer automatisering met uitrollen te krijgen. Denk aan Intune (Nu Microsoft Endpoint Manager) die een heleboel al klaar kan zetten voor de gebruiker op gewone desktops.
Ansible niet makkelijk op windows? Daar ben ik echt totaal niet mee eens. Je moet juist de kracht van ansible en powershell bundelen, en dan heb je niks te maken met "next next finished".

[Reactie gewijzigd door vali op 25 december 2019 12:40]

Ik snap nog altijd niet dat cruciale systemen niet gewoon dagelijks een systeemkopie ondergaan en 2 maal daags een data backup word gemaakt.
Ik denk dat je niet snapt wat de omvang van dergelijke systemen is. Een systeemkopie maken is vaak gewoon volslagen onmogelijk. Een dagelijkse backup is vaak al problematisch want je zit gewoon met de maximale throughput van je systemen, vaak zijn het de netwerken die daar de bottleneck blijken te zijn.
Een systeemkopie betreft alleen het OS en dergelijke niet alle data dat zijn andere systemen.
Een compleet systeem met alle data back-uppen lijk me niet echt mogelijk als ik al zie hoe lang mijn 14TB erover doet om te back-uppen.
Een compleet systeem met alle data back-uppen lijk me niet echt mogelijk als ik al zie hoe lang mijn 14TB erover doet om te back-uppen.
Volgens mij moet je dan bekijken of je wel de juiste hardware gebruikt waar je het opslaat en/of het netwerk niet de bottleneck is. 14 TB met op basis van incremental backup hoeft helemaal niet zo lang te duren.
Dan is je backup systeem dus niet adequaat, ófwel je hebt je backup polocy aangepast aan je backup systeem en dat zou nooit zo moeten zijn. 14TB is toch helemaal niet veel. Misschien wel als je alles over een gigabit link wil trekken. Maar wat dacht je van synthetische full backups? Om maar een zijstraat te noemen, dan dan heb je aan je incremenals genoeg. Als je het zelfs dan nog niet redt is er echt was mis met je backup omgeving, die schiet dan echt enorm tekort.

Data verdient het fatsoenlijk gebackupped te worden. En dat kost geld. Data kwijtraken kost meer.
mogen we weten met welke hardware jij die 14TB back-upt?
Mijn backup is dan ook gewoon voor thuis. Ik backup ook gewoon naar 2 usb drives omdat mijn data niet zo veel waard is als die van een bedrijf. Maar alsnog @ 90-160MB per seconde duurt dit nog behoorlijk lang. Alle andere oplossingen zijn voor mij thuis niet echt geschikt omdat het teveel kost voor wat de data waard is.
Ik zoek al tijden naar een mooi stukje software die incremental backups kan doen van geselecteerde folders naar geselecteerde folders maar dat lijkt een beetje een alles of niets situatie bij de meeste kant en klare software. Veel software is meer voor buisnesses dan thuisgebruik.
Helaas is mijn huidige thuis methode gewoon een complete overwrite ver van optimaal dus.
Incremental forever zou je al met rsync kunnen realiseren. Erg snel en betrouwbaar. Uiteraard zijn er genoeg pakketten die je het met een mooie GUI kunnen realiseren. :)

[Reactie gewijzigd door vali op 25 december 2019 19:52]

TimeMachine werkt prima voor veel thuis situaties, en de meeste NAS oplossingen ondersteunen het.

Zelfs mijn ouders van boven de 75 kunnen het snappen.
Ik heb alleen hun NAS en mijn NAS zo ingericht dat ze eens in de week een copie voor elkaar maken, als off-site, en dat TimeMachine niet encript.

Ze gebruiken Windows in VMware, waar ze dat nodig hebben, waarvan de bestanden op het onderliggende MacOS geschreven worden, en dus netjes in de backup komen.

Voor een simpele thuis oplossing werkt het erg goed, ik gebruik het nu al bijna 10 jaar. Twee keer een machine vanaf backup terug moeten zetten, geen enkel probleem.
Onzin. Backups zijn gewoon te draaien en offline te brengen, gewoon een kwestie van goed design en implementatie. En een beetje backup systeem wordt niet warm van een paar Peta bytes.
Gaat niet. Moderne virussen verbergen zich eerst 6 maanden voordat ze zich openbaren. Moderne virussen heten niet voor niets retentiefuckers.
In onze virtuele omgeving worden doorlopend snapshots gemaakt op op het allerlaagste nivo, die zijn ook onmiddellijk en snel terug te zetten. Spul van DELL heb ik begrepen, daarnaast dagelijks een backup van alle systemen, die naar een co-locatie gekopieerd worden.
Is daar echt alles windows? Dat je exchange doet dat snap ik, maar een dhcp bak kan toch ook prima een RHEL machine zijn??
DHCP zit vaak in de DC, welke Windows draait.
Nee, dat is DNS. DHCP is iets wat je normaliter juist niet op een DC draait. Je moet er zelfs extra stappen voor ondernemen om het te beveiligen wanneer het op een DC draait.
Dat authorize doe je op elke server in een domein. Niet alleen als je het op de dc zet.
Als je alles met Windows doet, volumelicenties hebt en je beheer volledig op MS richt, waarom zou je dan enkele kleine dingen zoals DHCP of DNS (wat verweven zit met je AD controller) op een ander platform zetten? Dat maakt heel je setup complexer, zorgt dat je bijkomende beheerstools moet gaan ondersteunen en dat je servers in je kerninfrastructuur hebt die je ook apart moet gaan onderhouden.
Natuurlijk gaan voor die monocultuur! Nu zitten ze met de gebakken peren.
Misschien, maar dan hoor je je onder Windows alsnog wel aan 'best practice' te houden. Dat moet niet moeilijk zijn als je volledig op Windows gericht bent.

Is dat wel moeilijk, dan moet je diensten inhuren en dan maakt de setup compleet niet uit (die hangt af van waar de ingehuurde partij mee werkt).
practische uitdaging: mensen. Als je Microsoft 'only' heb je vaak MS engineers in dienst. En daarom draai je alles op 1 platform.

of het goed is laat ik verder in het midden maar het is wel de realiteit van IT en budgetering. Volgens mij hebben hier best mensen een idee van nullen en enen; al wat minder van dezelfde nullen en enen in een ECHT bedrijf maar veel minder mensen over wat de nullen en enen in bedrijfsomgeving nou daadwerkelijk kosten.
Met de prijzen die je als educatieve instelling betaalt voor Windows licenties, waarom zou je dan die ellende van Linux op de hals halen? Veel minder personeel voor te krijgen, meer diversiteit in je netwerk, veel meer support en je hoeft geen aparte beheertools te gaan draaien. Ik zie juist geen goede reden om daarvoor dan ineens Linux te gebruiken.
Dus jij wil zeggen dat prijs en gemak bij jou boven veiligheid gaan? Juist..
Veel minder personeel voor te krijgen
Dat valt wel mee
meer diversiteit in je netwerk, veel meer support en je hoeft geen aparte beheertools te gaan draaien
Wat is er mis met diversiteit? Veel meer support valt ook mee, bij ons op het werk (middelbare school) is de DHCP stack Linux (en een aantal andere servers ook). Die hebben, statistisch, het minste beheer nodig. Security updates gaan automatisch, backups ook, restoretests ook (ander deel van het cluster). De beheertools draaien allemaal in de browser, dus dat is ook niet echt meer een issue he?
Standaatdiseren op 1 distributie, daar de passende beheertooling bij en klaar ben je. Ellende? Verklaar je nader zou ik zeggen.
Echt bizar dat kennelijk ook de back-ups versleuteld zijn. Een back-up die niet op de één of andere manier rechtstreeks in verbinding met je productiesystemen is toch wel één van de eerste dingen waar je aan denkt als systeembeheerder.
Maar niet altijd mogelijk. Honderden terabytes aan data kan je niet zomaar snel even op externe storage zetten om de paar dagen om dan op een andere plaats te bewaren.
Daar zijn tegenwoordig prima oplossingen voor. Bijna alle servers draaien tegenwoordig gevirtualiseerd, met een backup op VM niveau en netjes gescheiden netwerken was dit probleem waarschijnlijk voorkomen.

Tenzij die cryptolocker gebruik heeft gemaakt van één of andere CPU exploit (wat volgens mij nog nooit IRL gebeurd is) is er denk ik best wel een fuckup in de inrichting gemaakt daar.
Maar je hebt nog altijd geen cold storage backup. Je backup is nog altijd een hot backup die vaak nog eens op dezelfde storage cluster (of een kopie ervan op een andere locatie) maar dus nog altijd een backup in je productieomgeving die dus worst case ook kan gecompromiteerd worden.
Jij hebt nog nooit van tape gehoord zeker?
Ik wel, maar zo'n apparaat moet ook gevoed. Dat is lang niet altijd simpel als RTO nog iets betekent.
Ben het helemaal met je eens. Systemen als dit zouden gewoon een rotatie van meerdere backups offline moeten hebben. een backup aan je systeem is geen backup en 1 backup is ook geen backup.

Met een goede backup gooi je alles offline and format/swap je de drives en klaar is kees. Worst case ben je dan een dag of 2 data 'kwijt' die je later kan recoveren maar je systeem kan werkelijk in een uurtje of 2 weer online zijn. Met perfecte systeem kopieën zelfs in minder als een uur.

Zelfs voor mijn thuis systeem heb ik een drive met gekloonde windows. Mocht ik randsomware krijgen trek ik alle schijven los hetstel de systeemkopie wipe de drives en zet mijn offline backup terug. systeem draait dan werkelijk binnen 10 minuten weer. Data terug zetten duurt wel een dag maarja beter als niets meer hebben.

Enige vraagstuk blijft hoe is dit binnen gekomen. Vaak is daar toch wel een menselijke fout voor nodig.
Ben het helemaal met je eens. Systemen als dit zouden gewoon een rotatie van meerdere backups offline moeten hebben. een backup aan je systeem is geen backup en 1 backup is ook geen backup.
En waar haal je vandaan dat dat niet zo was?

Het probleem met backups is dat je het goed en langzaam kan doen of goed en traag. Bij een aanval van een dergelijk omvang ben je bijna altijd data van de laatste uren kwijt. Een universiteit kan je niet continue backuppen em zeker niet naar een offline storage.

Waarom wachten we niet gewoon af tot er meer informatie is voordat we de wildste verhalen verzinnen? De hoeveelheid stuurmannen aan de wal is weer indrukwekkend. En niemand heeft wat aan platitudes als 'een backup aan je systeem is geen backup' (nee, duhhhh dat noem je namelijk anders).
Hoe lang is je data al tainted? Dat zul je eerst moeten uitzoeken voor je je images kunt terugzetten.
En met formatteren, ben je er dan? Zit er dan niks in een BIOS? Heb je niet ergens een zeroday over het hoofd gezien, waardoor je in no time weer geinfecteerd raakt?
Wat heb je aan offline draaiende servers? Bar weinig. Hoe zorg je dat je Duitse site weer wat kan doen, terwijl je AD in de US staat te ronken? Hoe krijg je je netwerk lokaal goed omgeleid als degene die dat normaliter doet in Stockholm zit?
Oh, en je kunt niet eenvoudig bellen want de VOIP ligt eruit, evenals het corporate adressenboek.
Een los systeempje weer in de lucht krijgen is het probleem niet. Maar een totale collapse van je centrale infra, inclusief je authenticatie, DNS, etc. Dat is een geheel andere orde.
Ja en nee. Deze malware nu bekend is welke het is is gek genoeg met doodsimpele tools te scannen, verwijderen en voorkomen dus terugzetten datum terugzetten in geval dat het time trigger is en scannen die meuk.

Het kan dus mogelijk zijn dat het makkelijker op te lossen is dan er gedacht word.
Er staat niet dat *alle* backups encrypted zijn. Alleen de backups *op de getroffen systemen* worden genoemd. Wellicht zijn er nog meer backups. Maar het hebben van werkende backups is nog geen garantie voor succes, of in ieder geval heeft dat de nodige tijd nodig. En moet er tegelijkertijd ook nog bewijs worden verzameld en allereerst de aanval beteugeld worden.
Als je files goed encrypt en je maar lang genoeg wacht, is je backup ook encrypted (tenzij je ver terug in de tijd gaat), dus dat is niet bizar.
Dat is natuurlijk onzin. Als ik een bestand backup wat nog niet versleuteld is, dan kan ik het gewoon onversleuteld uit de backup halen.
Hij bedoelt dat als een bestand encrypted is deze ook encrypted wordt gebackuped. En als je dat niet in de gaten hebt dan kan het voorkomen dat al je backups van die bestanden dus ook encrypted zijn. En zo kan het voorkomen dat je geen niet-encrypted backup meer hebt.
Precies, of een oud bestand van een half jaar oud waar je niks meer aan hebt.
Euhm, een backup staat toch altijd rechtstreekt in verbinding met je productiesysteem? Een backup is namelijk van je productiesysteem.
Is bij gevirtualisuerde omgevingen niet het geval als alles goed is ingericht, de backup omgeving en de productie omgeving kunnen volledig van elkaar gescheiden zijn.
Zelfs dan. Dan backup je het virus gewoon mee. Zeker met de retentiefuckers heb je nog steeds een virus in je backup.
niets bizars aan; bestanden op de schijven zijn gewijzigd en dus registreert de incremental backup dat hij ze moet meenemen in de backup. Volgens mij IT logical 101
backups zijn vaak incremental; de bestanden (op de server) zijn versleuteld en dus gewijzigd en dus wordt de backup meeversleuteld. Als de ransomware plaatsvond op het moment dat er nauwelijks mensen op de campus aanwezig zijn en er is geen NOC/SOC .. dan wordt het te laat gedetecteerd en begint de backup te lopen.
Cryptolocker op AD, Exchange, DHCP server. Das niet best.

Ik hoop voor de beste ITers daar dat ze kunnen restoren van backup en herhaling kunnen voorkomen.

AD en Exchange/Mail zou ik daarna maar rap afnemen als managed service.

[Reactie gewijzigd door Jay-v op 25 december 2019 03:48]

en dus duidelijk dat de zaken daar niet op orde zijn.
Dat is veel te kort door de bocht! Wellicht is het daar prima op orde, maar wordt er misbruik gemaakt van een onbekende exploit en dan specifiek van bv. beheer software.

Als ze data niet kunnen restoren van backup is er inderdaad iets goed mis, maar de als je hele (recente) images gaat restoren is het altijd de vraag wanneer de infectie exact heeft plaatsgevonden (en hoe) en of deze al op de betreffende image aanwezig is.

AD/Exchange afnemen via bv. Office 365 is natuurlijk juist om dit soort zaken enorm interessant (naast minder beheer), minder bewegende onderdelen in je IT infra is imho alleen maar voordelig!
Ransomware aanvallen zoals clop zijn te detecteren. Zo is het bijvoorbeeld mogelijk om het account wat deze acties uitvoerd te deactiveren. Daarnaast wordt clop gedetecteerd door de meeste Anti Malware software.

Gezien de impact naar Exchange, AD lijkt het behoorlijk significant.

Je hebt gelijk, ik weet niet of er een zeroday gebruikt is. Dat lijkt echter onwaarschijnlijk.
en dus duidelijk dat de zaken daar niet op orde zijn.
Dus jij weet nu al dat er geen onbekende aanval is gedaan?

Zoals altijd staan tweakers weer klaar om een oordeel te vellen zonder ook maar enige informatie te hebben.
"zaken niet op orde" in meervoud vind ik inderdaad wat overdreven zonder details te kennen, maar ik hoop dat je het met me eens bent dat er "iets" mis is gegaan dat niet hoort te kunnen. Alleen op endpoints en applicatie/terminalservers kun je zoiets nooit 100% voorkomen tenzij er een gigantische zero day in een essentiële service van Windows server zit.

[Reactie gewijzigd door mae-t.net op 24 december 2019 23:56]

Nee, weet ik niet. Het is misschien een beetje op een botte manier gezegd, ik zal het weghalen.

In elke organisatie worden er natuurlijk fouten gemaakt, dat is prima. Belangrijk is dat de organisatie er van leert en herhaling voorkomt.
Cryptolocker op AD, Exchange, DHCP server. Das niet best, en dus duidelijk dat de zaken daar niet op orde zijn.

Ik hoop voor de beste ITers daar dat ze kunnen restoren van backup.

AD en Exchange/Mail zou ik daarna maar rap afnemen als managed service.
Ik hoop dat de IT'ers daar er af blijven want die hebben te veel rechten waardoor het allemaal zo fout heeft kunnen lopen.
Overstappen van je huidige AD naar Azure AD is niet een traject wat je zomaar in een maandje geregeld hebt.... Voor een universiteit...
Hopelijk heeft de IT afdeling hun zaken gewoon op orde. Het is nog steeds verbazingwekkend dat bij bedrijven tegenwoordig patching, malware bescherming en rechten nog steeds niet op orde blijken te zijn. In deze tijd met alle afhankelijkheden lijkt me dit niet te verkopen als IT afdeling of dienstverlener.
Het is ook het juist opvoeden van medewerkers & studenten.
En dan nog heb je nog wat meer nodig... er gaat altijd wel iemand een keer de fout in, goede detectie en diverse andere controls helpen in de schade beperken.

Het is niet de vraag of maar wanneer je het als bedrijf een keer overkomt. Ook op hoger management nivo is dat ook wel doorgedrongen (nonpetya heeft heel wat awareness gekweekt).
Een zeroday kwetsbaarheid die admin rechten verwerft en dan de DNS server te pakken neemt en zo alle hosts in het bedrijf weet te vinden? Letterlijk 2 minuten en alles is kaputt.
En aangezien je voor elke rol netjes een ander admin account gebruikt dat in een JIT en JEA syteem hangt zoals het hoort en die admin accounts worden alleen gebruikt vanaf PAW werkstations zoals het hoort. dan zal er zeer weinig schade zijn als een admin account compromised is.

Daarbij kan een locker or malware slechts een maand gebruik maken van dat account aangezien je de admin accounts in een JEA / JIT elke maand zou moeten recyclen.

Kort om het komt allemaal neer op moderen security alleen zijn helaas veel bedrijven nog niet zover.
Binnen een maand kun je een hoop ellende veroorzaken. Plus, als zo'n zeroday een systeemservice weet binnen te dringen die onder system credentials draait, ben je klaar. Dan kun je nog zo'n prachtig JIT/JEA setup hebben. De voordeur was op slot maar helaas kwamen de inbrekers via het dakraam binnen.
Ddann gaat het dus nogsteeds maar om 1 systeem. Als ze een admin hebben is de max peroide 1 maand kan ook zijn dat ze dus maar 2 dagen hebben waarna ze weer locked icm met jea jit is het passwoord nooit langer dan 8 uur hetzelfde. Het passwoord lezen is zogoedals onmogelijk omdat het alleen op een paw gebruikt wordt.

Een exploit of zero day hebben bijna altijd al permissions / footprint nodig om echte dingen te kunnen doen op een systeem en dat is bijna altijd alleen dat systeem.

Kortom als je jea/jit en paw implementeerd en je patched netjes ben je zo goed mogelijk beschermed en meeste. Breaches zijn dan maar van korte duur en doen weinig damage.
Gat in de markt: wordt dienstverlener die dit perfect gaat regelen!
Aan dienstverleners is geen gebrek. Aan managers die begrijpen waarom het dan zoveel kost wel. Ze slaan je liever af, tot zij een keer in de penarie komen zoals nu.
Eerlijk is eerlijk er word gewoon fors misbruik van gemaakt.
Je betaald de hoofdprijs voor de hardware en software en dan betaal je ook nog eens absurde bedragen voor arbeidsloon. De salarissen in de IT zijn gewoon best wel belachelijk te noemen in vergelijking met veel andere lonen.
Mijn baas all the way back in 2003 vroeg al 45-60 per uur voor bepaalde services en on call services wil ik niet eens weten ik denk dat dat alleen maar extremer is geworden de afgelopen 16 jaar.

Als je dan maanden bezig ben lopen dat soort kosten al snel de spuigaten uit en dus worden en dingen simpeler gedaan om het betaalbaar te houden en dat kan helaas verkeerd uitpakken.
Ik heb ook best wat zaken gedaan toen ik nog in de IT werkte waarvan ik dacht hmm is dit wel slim. Maar aan de andere kant snap ik het ook wel als een goede oplossing met data veiligheid en 100% uptime dan 3x zo veel kost. Als je het niet kan betalen moet je soms helaas risico nemen als het niet door te berekenen is. Sommige kwamen ermee weg anderen weer niet.
45 tot 60 euro per uur is absoluut niet duur voor een vakman. Andere diensten kosten dat ook of zijn duurder. Aan de andere kant ben je dan ook aan je klant verplicht om het gewoon goed te doen.

[Reactie gewijzigd door mae-t.net op 24 december 2019 19:58]

45-60 is peanuts. Bij een garage betaal je al meer dan dat om aan je auto te laten sleutelen. Waarom zou sleutelen aan de IT waar je hele bedrijf van afhankelijk is minder moeten kosten?
Prijzen zijn aardig omhoog gegaan (zelf project gehad voor € 95,- p.u.), maar na de grote bubbel plop is het uurtarief gedaald naar € 45 - 65.
Da's goedkoop. Ik kostte extern meer dan €200/uur...
Zit je dan op project basis of wordt je dan voor langere tijd weggezet? ;)
Voor korte tijd ingehuurd. Vroeger.
Dan is het niet heel gek hoor. Interne mensen goed opleiden en wachten totdat ze de juiste ervaring hebben opgedaan is stukken duurder.
Ik vond het wel jammer dat ik er maar zo'n klein deel van kreeg. Maar 't heeft me wel inzicht in m'n waarde gegeven.
Zeker waar en herkenbaar.
Daar is een hele mooie oplossing voor en die noemen we saas en iaas. Je cloud provider doet de backend security zodat jij dat niet hoeft
Bedankt voor deze tip! Ik ga meteen beginnen.
_/-\o_
Ik wil wel weten welke firewall, DPI en IDS oplossing ze hebben draaien en over welke Windows versie we het hebben.
Op de Universiteit van Antwerpen, zie je veel security maatregelingen, alles zit achter DPI, twee hosts op WiFI kunnen niet met elkaar communiceren, een hele rits aan websites zijn geblokkeerd.
Maar bv. de AP's waren ook vrij snel allemaal gepatched na het krack lek.
Maar toch hebben ze ook Clop binnen gekregen (inclusief sommige laptops...).

Ik weet dat ze DPI gebruiken, omdat mijn OpenVPN over TCP en poort 443 geblokkeerd wordt.
Overigs, mail draait hier via Office 365 (toch zeker van de studenten) en kort na de ransomware is daar safelinks op aangezet.

Bron: informatica student aan de UA
thanks voor de info
Ik wens de heren (en eventueel ook dames) veel succes met de herstelwerkzaamheden.
Inderdaad... niet leuk om zo vlak voor de feestdagen met een dergelijke disaster te maken te krijgen. Succes aan de admins.

Op dit item kan niet meer gereageerd worden.


Apple iPhone SE (2020) Microsoft Xbox Series X LG CX Google Pixel 4a CES 2020 Samsung Galaxy S20 4G Sony PlayStation 5 Nintendo Switch Lite

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2020 Hosting door True