Kötü Amaçlı Yazılım Tespiti (Malware Detection) Özelliğinin Tanımı
Veeam Backup & Replication 12.1 sürümüyle gelen "Şifreleme Tespiti" adlı bir güvenlik özelliği sunmaktadır. Bu özellik, yapay zeka ve makine öğrenmesi (AI/ML) kullanarak çevrimiçi entropi analizi gerçekleştirir. Bu analiz sayesinde daha önce şifrelenmemiş verilerin şifrelenmeye başlaması tespit edilebilir. Bu durum, olası bir fidye yazılımı saldırısının erken tespiti açısından kritiktir. "Inline Entropi" özelliği, yedekleme işlemi sırasında verileri anlık olarak analiz eder.
Veeam, üretim ortamlarında yapılandırılması gereken antivirüs veya EDR/XDR gibi güvenlik araçlarının yerini almayı değil, bu araçları tamamlayarak adli analiz sürecine destek olmayı ve sağlam yedekleme noktalarını belirlemeyi hedefler. Veri şifrelemesinin mümkün olan en kısa sürede tespit edilmesi, fidye yazılımı saldırılarına karşı korunmanın önemli bir unsurudur. Çevrimiçi entropi analizi ve şüpheli etkinlik tespiti gibi özellikler, sisteminizin zarar görmüş kopyalarını yedeklemenizi önlemeye yardımcı olur.
Kötü Amaçlı Yazılım Tespit Olayları
Fidye yazılımı tarafından şifrelenmiş dosyalar: Şifrelenmiş veri, önceden tanımlanmış analiz hassasiyet sınırlarını aşarsa, çevrimiçi analiz kötü amaçlı yazılım tespit olayı oluşturur.
Fidye yazılımı tarafından oluşturulan metin izleri: V3 onion adreslerinin (56 karakterlik [a-z2-7]{56}.onion formatında) ve fidye notlarının tespit edilmesi, potansiyel tehditlere karşı proaktif savunma amacıyla kötü amaçlı yazılım tespiti olayı oluşturur. Clop ve Medusa gibi fidye yazılımlarına ait en az bir fidye notunun bulunması, tespit olayı oluşturur.
Destek Uyumluluğu ve Sınırlamalar
Bu özellik şu sistemlerin yedeklerini analiz etmek için kullanılabilir:
- VMware sanal makineleri (VMware Cloud Director makineleri dahil)
- Hyper-V sanal makineleri
- Yalnızca hacim düzeyinde yedekleme yapılan yönetilen moddaki Veeam Agent for Microsoft Windows makineleri
Desteklenen dosya sistemleri: NTFS, ext4, ext3 ve ext2.
Metin izlerinin tespiti için şu şartlar sağlanmalıdır:
- Dosya sistemi blok boyutu 4 KB olmalıdır.
- Metin dosyası boyutu en az 4 KB olmalıdır.
- Dosya UTF-8 formatında kodlanmış olmalıdır.
- Dosya Master File Table (MFT) içinde yer almamalıdır.
Malware Detection Çalışma Adımları
1- Yedekleme Sırasında Veri Analizi: Veeam Backup & Replication, yedekleme işlemi sırasında veri bloklarının meta verilerini analiz eder ve fidye yazılımıyla ilgili verileri yedekleme proxy’si üzerinde geçici bir klasöre kaydeder.
2- Veri Depolama: Her disk için bir RIDX dosyası oluşturulur ve bu dosya diskle ilgili çeşitli bilgileri içerir. Bu bilgiler arasında disk adı, oluşturulma zamanı, disk boyutu, kullanılan alan, sektör boyutu ve bölüm tablosu gibi meta veriler yer alır. Ayrıca her veri bloğu için fidye yazılımıyla ilişkili veriler de kaydedilir. Bu veriler, şifrelenmiş veri miktarı, anormal dosya türü tanımlayıcıları (magic numbers), onion adresleri ve fidye notlarını kapsar.
3- Yedeklemenin Tamamlanması: Yedekleme işlemi tamamlandıktan sonra, fidye yazılımı verileri yedek sunucusundaki VBRCatalog klasörüne taşınır. Veeam Guest Catalog Service, analiz gerektiren yeni veriler olduğunu Veeam Data Analyzer servisine bildirir.
4- Analizin Başlatılması: Veeam Data Analyzer servisi, VBRCatalog klasöründe yer alan RansomwareIndexAnalyzeState.xml dosyasındaki önceki analiz sonuçlarını kontrol eder ve yeni bir analiz oturumu başlatır. Servis, son RIDX dosyası ile önceki dosyayı karşılaştırır ve RansomwareIndexAnalyzeState.xml dosyasını günceller. Kötü amaçlı yazılım etkinliği tespit edilirse, sistem bir kötü amaçlı yazılım tespit olayı oluşturur ve ilgili nesneleri şüpheli olarak işaretler.
Malware Detection Yapılandırması
Ana menüden Malware Detection > Encryption Detection seçeneğine gidin.
Aşağıdaki görseldeki gibi Encryption detection (Şifreleme tespiti) alanında “Enable inline entropy analysis” (Anlık entropi analizini etkinleştir) kutusunu işaretleyin. Yedekleme verilerinize ve altyapınızın kapasitesine göre analiz hassasiyetini belirleyin. Toplamda 5 seviye mevcuttur.
Doğrulama tamamlandıktan sonra, açılan bir uyarı penceresi, özelliğin etkinleştirilmesi için disklerin tamamen okunması gerektiğini belirtir. Bu işlem, referans verilerin oluşturulabilmesi içindir ve bu nedenle yedekleme süresi normalden daha uzun olacaktır. Ancak bu işlem yalnızca ilk etkinleştirme sırasında ya da bir makineye yeni bir disk eklendiğinde yapılır.
Bu özelliğin etkinleştirilmesi, tüm yedekleme görevleri için geçerli olur. Özellikle büyük ve yoğun bir üretim ortamında, disklerin tamamen okunmasından kaynaklanabilecek aşırı yüklenmeyi önlemek adına bazı makineleri tarama dışında bırakmak mümkündür. Bunun için istemediğimiz makineleri kötü amaçlı yazılım taramasından hariç tutma listesine ekleyin. Bunun için sol üstteki menüden "Global Exclusions > Malware Exclusions" gidin ve açılan ekranda aşağıdaki görseldeki gibi ekleyin.
Bütün adımları yaptıktan sonra Malware Detection yapılandırması tamamlanmış oluyor. Malware Detection yapılandırmasının testi için backup job başlatılır ve job tamamlandıktan sonra aşağıdaki görseldeki gibi loglarda yeni bir satır görülür.
Kötü Amaçlı Yazılım Alarmlarının Durumunu Yönetme
Kötü amaçlı yazılım tespiti tarafından şüpheli veya enfekte olarak işaretlenen tüm makineler, Inventory bölümündeki Malware Detection sekmesinde görüntülenebilir. Eğer makine zararlı yazılımdan temizlendiyse ya da yanlış tespit edilen olay bir pozitifse, aşağıdaki görseldeki gibi makineyi temiz olarak işaretleyebilirsiniz.
Eğer bir makinenin enfekte olduğunu biliyor ancak Malware Detection herhangi bir şüpheli etkinlik belirlememişse, yukarıdaki görseldeki gibi kötü amaçlı yazılım durumunu manuel olarak “Mark as infected” olarak da değiştirebilirsiniz.
