Skilline 16 ноя 2021 в 10:41

Защита резервных копий от шифровальщиков с помощью WORM

4 мин

5.7K

Блог компании SkillineIT-инфраструктура*Виртуализация*SAN*Хранение данных*

Туториал

Комментарии 13

alexs963 16 ноя 2021 в 11:05

Любая ФС которая умеет CoW (btrfs, zfs) легко решает туже задачу.

qw1 17 ноя 2021 в 13:10

Так в статье это и написано:

В системах QSAN XCubeNAS функционал WORM обеспечивается за счет использования внутренней файловой системы ZFS

Тут просто интеграция с виндой, простое администрирование мышкой в формочках. За это и берут деньги.

Sergey-S-Kovalev 16 ноя 2021 в 15:15

в Dell EMC DataDomain достаточно откорректировать дату создания файла на где то в будущем и система не даст его удалить пока этот день не настанет

RStarun 16 ноя 2021 в 20:06

Защита средствами файловой системы это конечно хорошо, но разве нельзя просто форматнуть диски (раздел, lun, ну вы поняли)

Skilline 17 ноя 2021 в 09:57

Если на разделе есть папки/файлы с активным WORM, то ОС не даст выполнить форматирование даже если у вас права superuser

VXP 17 ноя 2021 в 11:22

Вопрос от неэксперта: а может ли шифровальщик изменить время шифрования WORM уже зашифрованного файла/папки в бОльшую сторону?

Skilline 17 ноя 2021 в 12:57

Метка со сроком действия ставится однократно и не может быть изменена, пока установленный срок не истечет.

Daniilchen 17 ноя 2021 в 12:56

Будет здорово, если криптомайнер так зальют и защитят флагом locked. Пока машина не отработает срок (набирая аптайм до удаления) будет стоять и в идеале майнить. Неплохой вариант.

Skilline 17 ноя 2021 в 12:58

Ваш криптомайнер не статический файл. Как только вы его "зальете", любые изменения в нем будут невозможны. Так что фокус не пройдет.

qw1 17 ноя 2021 в 13:08

Динамические там только логи, а скрытому майнеру они не нужны. Майнер получает из сети новый хеш раз в 5 минут (* в зависимости от протокола валюты) и начинает его брутфорсить. Как только нашёл матч — отправляет результат в пул, не нашёл — получает следующий хеш. Локальное хранение не требуется вообще.

Skilline 17 ноя 2021 в 13:37

Тогда нужно либо проникнуть во внутреннюю ОС NAS и по сути майнить на процессоре этого NAS (ну, так себе результат будет), либо запускать процесс с некоего компьютера, имеющего доступ к шаре с WORM (но тут такая папка как раз не имеет общего доступа).

Daniilchen 17 ноя 2021 в 21:11

Chia для NAS, наверное, в самый раз :)

Майнер был как пример, может быть что-то для ботнета, например. В любом случае дополнительные сложности для удаления это интересно, хоть и узкоспециализированно

Skilline 18 ноя 2021 в 09:52

Для Chia как раз нужно пространство хранения, чему WORM будет только преградой

Зарегистрируйтесь на Хабре, чтобы оставить комментарий