Veeam Backup & Replication 12.1 mit neuer Malwareerkennung

Mit der neuesten Version von Veeam Backup & Replication 12.1 wurden neue Malware-Erkennungsfunktionen eingeführt, die einen zusätzlichen Schutz für Ihre Produktiv-Umgebung bieten. In diesem Beitrag erläutern wir die vier Methoden der Malware-Erkennung und gehen näher auf die beiden neuen Funktionen ein, die direkt in den Backup-Prozess integriert sind.

Malware-Erkennungsmethoden in Veeam Backup & Replication 12.1:

1. Analyse der Dateisystemaktivität (neu in 12.1)
2. Inline-Scan (neu in 12.1)
3. Regelbasierter Erkennungsscan (YARA)
4. Antivirus-Scan

Die Methoden 1 und 2 werden während der Backup-Jobs eingesetzt, während die Methoden 3 und 4 zur Überprüfung von Backup-Daten dienen. Es ist wichtig zu beachten, dass diese Funktionen keine klassische Virenschutzlösung ersetzen.

Die Analyse der File-System-Aktivität erfordert die Aktivierung der Gastindexdatenprüfung und des Application Aware Processing im Backup-Job. Der Vorgang läuft wie folgt ab:

1. Nach Abschluss des Sicherungsvorgangs benachrichtigt der Veeam Guest Catalog Service den Veeam Data Analyzer Service über neue zu prüfende Daten.
2. Der Veeam Data Analyzer Service initiiert eine Prüfung der Gastindexdaten:
   • Verdächtige Dateien und Erweiterungen werden durch Vergleich mit der Datei SuspiciousFiles.xml erkannt.
   • Mehrere von Malware umbenannte oder gelöschte Dateien werden durch Vergleich des neuen Wiederherstellungspunkts mit dem frühesten Wiederherstellungspunkt erkannt.
3. Die Ergebnisse des Guest-Indexing-Scans werden unter C:\ProgramData\Veeam\Backup\Malware_Detection_Logs protokolliert und ab Version 12.1.1 im Fenster „Ereignisdetails“ angezeigt.

Bei der Aktualisierung auf Version 12.1 kann es zu Fehlalarmen kommen, wenn branchenspezifische Softwaredaten in Formaten abgelegt sind, die auch von Malware verwendet werden (z. B. .rip oder .ezz.). In solchen Fällen sollten die betroffenen Systeme anhand der Malware-Erkennungsprotokolle (SuspiciousFiles.xml) überprüft und ein Antivirus-Scan des Live-Systems oder des Wiederherstellungspunkts mithilfe eines YARA oder AV Sans mit Veeam durchgeführt werden.

Die SuspiciousFiles.xml wird von einem Veeam Service aktualisiert, sofern der Backup-Server Zugriff auf die öffentlichen Veeam Dienste hat. Alternativ kann diese manuell bei Veeam heruntergeladen und auf dem Server aktualisiert werden.

Der Inline-Scan erfolgt während des Backup-Jobs und prüft virtuelle Maschinen auf verschlüsselte Dateien. Veeam geht derzeit von einer erhöhten CPU-Last des Proxys von 30 % bei aktivierter Funktion aus. Unterstützt werden VMware- und Hyper-V-VMs sowie Maschinen mit dem Agent for Windows im verwalteten Modus.

Anforderungen und Einschränkungen für Inline-Scans:

• Nur für einfache Volumes und bestimmte Dateisysteme (NTFS, ext4, ext3, ext2)
• Kein Scannen von dynamischen Datenträgern oder BitLocker-verschlüsselten Datenträgern
• Erkennung von Textartefakten unter bestimmten Bedingungen (4 KB Blockgröße, UTF-8-Codierung, Nichtspeicherung in MFT)
• Keine Erkennung von „schlafender“ Malware
• Mögliche fälschliche Markierung einiger Dateitypen als verdächtig während des Scans

Funktionsweise des Inline-Scans:

1. Während des Sicherungsvorgangs analysiert Veeam Backup & Replication Metadaten von Datenblöcken und speichert Ransomware-Daten in einem temporären Ordner auf dem Sicherungsproxy.
   • Es wird eine RIDX-Datei für jede Festplatte erstellt, die Disk-Metadaten und Ransomware-Daten für jeden Datenblock enthält.
2. Nach Abschluss des Jobs speichert das Backup die Daten des Scans im VBRCatalog-Ordner auf dem Backup-Server. Der Veeam Guest Catalog Service informiert den Veeam Data Analyzer Service über neue Daten und initiiert einen neuen Inline-Scan.
3. Während des Scans wird der neueste Wiederherstellungspunkt mit dem letzten verfügbaren verglichen.
4. Der Veeam Data Analyzer Service vergleicht die RIDX-Dateien und aktualisiert die RansomwareIndexAnalyzeState.xml-Datei. Bei Feststellung schädlicher Aktivitäten wird ein Ereignis zur Malware-Erkennung erstellt und Objekte als verdächtig markiert.

Die neuen Malware-Erkennungsfunktionen in Veeam Backup & Replication 12.1 bieten einen erweiterten Schutz für Ihre Umgebung, ohne zusätzliche Kosten zu verursachen. Obwohl sie keine vollwertige XDR/EDR-Software ersetzen, sind sie eine attraktive Ergänzung zu bestehenden Sicherheitsmaßnahmen und lassen sich einfach in die Infrastruktur integrieren.