Skip to main content

Hallo zusammen,

heute erhielt ich vom VBS per Mail eine Meldung “Potential malware activity detected (1 malware events)”, die einen Status “suspicious” vermeldet. Allerdings beinhaltet die Mail keinen brauchbaren Hinweise außer, dass ein bestimmter gesicherter Server die Quelle des Problems sein soll.

Die Untersuchung der entsprechenden Meldung in der VEEAM-Konsole (Home > History > Malware Events) bleibt auch jeden Hinweis schuldig. Ein Doppelklick auf das Event zeigt weder die betroffene Datei an, noch wird ein Hinweis auf ein Protokoll oder ein log-Datei gegeben.

Laut Referenz soll sich das Protokoll im Pfad i%ProgramData%\Veeam\Backup\Malware_Detection_Logs\suspicious_...log] befinden. Der Ordner Malware_Detection_Logs existiert bei mir nicht. Eine Suche nach Ordnern oder Dateien mit dem Suchbegriff *suspicious* ergab überhaupt nichts.

Der Befehl eScan Backup] für den betreffenden Backup-Satz ergab auch keinen Fund. Ein Scan auf der entsprechenden VM fand ebenfalls nichts.

Kann es sein, dass die neue Funktion solche Malware-Detect-Meldungen ohne Grund “raushaut”? Kennt jemand von Euch dieses Verhalten?

Guten Morgen,

soweit ich weiß, benötigst du für die genauere Analyse der Meldungen Veeam ONE. Würde auch dahingehend Sinn ergeben, dass Veeam das Feature mehr oder minder kostenfrei mit dem Update auf v12.1 veröffentlicht / ergänzt hat und für den vollen Funktionsumfang auf Veeam ONE verweist.

Dort siehst du übrigens auch, wie lange der entsprechende Workload “Clean” war und seit wann diese Anomalie bzw. dieser Fund auftritt, also ab welchem Restore Point etwas nicht passt.


Folgenden Artikel habe ich hierzu noch gefunden, der das bestätigt:

Malware Detection - User Guide for VMware vSphere (veeam.com)

“Requirements and Limitations

Malware detection has the following requirements and limitations:

  • Full malware detection support is included only in the Veeam Data Platform Advanced or Premium License. Managing the malware status of specific restore points is available for all licenses. For more details about licensing all malware detection features, see Veeam Data Platform Feature Comparison.
  • Only users with the Veeam Backup Administrator role have full access to the functionality. Users with other roles can view malware detection events and machines marked as Suspicious or Infected.”

Guten Morgen @hufnagst,

 

eine Ransomware Note wurde als Quelle angegeben. Während des Veeam Inline Scans können verschiedene Text-Artefakte erkannt werden:

  • Ransomware Notes von Medusa und Clop
  • V3 Onion Adressen

Es ist nicht möglich, den Pfad der Quelle anzugeben (Veeam scannt Blöcke und nicht die Dateien). Ein Thread im Veeam Forum diskutiert dieses Thema.

Ich gehe davon aus, dass Du einen Antivirus Scan ausgeführt hast. Als weiterer Schritt kann ein YARA Scan gezielt nach Onion Links und auch nach den Medusa und Clop Notes scannen. Rick stellt dazu einige der YARA Regeln zur Verfügung.


Der YARA Scan aus der Management Console steht den Kunden mit einer Veeam Data Platform Advanced Lizenz zur Verfügung. Alternativ gibt es in der Community Scripts oder YARA wird, sofern möglich, in der betroffenen Maschine installiert und der Scan direkt im Filesystem ausgeführt.

Happy Scanning,

Steve


Comment