Netbackup Malware Scanner

Introducción

Veritas Malware Scanner es una funcionalidad de seguridad que forma parte de Netbackup. Esta funcionalidad se integra en los entornos de almacenamiento y gestión de datos para detectar, identificar y mitigar posibles amenazas de malware en los archivos y datos administrados.

Principales características de Veritas Malware Scanning

Análisis Proactivo: Escanea archivos almacenados o en tránsito para detectar posibles amenazas antes de que puedan causar daño.

Integración con Plataformas de Almacenamiento: Se implementa en soluciones como Veritas NetBackup asegurando la protección de datos.

Detección basada en Firmas y Comportamiento: Utiliza algoritmos avanzados que combinan detección basada en firmas de malware conocidas y análisis de comportamiento para identificar amenazas emergentes.

Compatibilidad con herramientas antivirus: Puede integrarse con soluciones de terceros para maximizar la eficacia del escaneo.

Alertas y Reportes: Genera notificaciones y reportes detallados cuando detecta archivos comprometidos, ayudando en el análisis forense y en la toma de decisiones.

Automatización y Remediación: Permite la configuración de respuestas automáticas, como el aislamiento de archivos infectados o su eliminación segura.

Beneficios:

• Protección contra ransomware y otras amenazas avanzadas.
• Reducción del riesgo de corrupción de datos críticos.
• Mayor cumplimiento normativo al garantizar la seguridad de los datos almacenados.
• Simplificación de la gestión de seguridad en grandes volúmenes de información.

 

Integración con la Infraestructura de Veritas

• NetBackup: Veritas Malware Scanning puede integrarse con NetBackup para inspeccionar los datos almacenados en copias de seguridad. Esto asegura que las restauraciones no reintroduzcan malware en el entorno productivo.
  • Proceso:
    1. Los datos son escaneados durante la creación de las copias de seguridad o al realizar restauraciones.
    2. Los archivos comprometidos se aíslan o se bloquea su restauración.

 

Arquitectura

• Agentes y Servidores de Escaneo: Se utilizan agentes instalados en servidores relevantes, que trabajan en conjunto con un motor de escaneo centralizado. Soporta tanto una plataforma Windows como Linux.
• Actualizaciones de Firmas: El motor de escaneo descarga actualizaciones regulares para reconocer nuevas variantes de malware.
• API Abiertas: Veritas permite la integración con herramientas de seguridad existentes (como Symantec Endpoint Protection, McAfee o Kaspersky), aprovechando sus bases de datos de amenazas.

 

Automatización de Escaneo

• Escaneos Programados: Los administradores pueden configurar análisis regulares en los repositorios de datos.
• Eventos Basados en Triggers: Los escaneos también pueden ejecutarse en respuesta a ciertos eventos, como la detección de un archivo sospechoso o la solicitud de restauración de datos.
• Acciones Automáticas: Cuando se detecta malware, las acciones preconfiguradas incluyen:
  • Notificar al equipo de TI.
  • Poner en cuarentena el archivo afectado.
  • Bloquear la restauración de datos contaminados.

 

Reportes y Análisis

• Dashboard Centralizado: Veritas proporciona una interfaz gráfica que muestra el estado del escaneo, incluyendo:
  • Cantidad de archivos analizados.
  • Amenazas detectadas y su gravedad.
  • Acciones realizadas.

 

Cumplimiento Normativo y Seguridad Avanzada

• Regulaciones Soportadas: La herramienta ayuda a cumplir normativas como GDPR, HIPAA o ISO 27001, proporcionando documentación y acciones verificables relacionadas con la gestión de datos seguros.
• Prevención de Ransomware: Detecta indicadores de compromiso (IoC) en tiempo real, reduciendo la probabilidad de ataques exitosos.

 

Configuración

 

Requerimientos para la instalacion de scan host en Windows

• Configuración mínima 8CPU y 32GB RAM
• Instalacion del servicio NFS
• Instalacion del Openssh. Install OpenSSH for Windows Server
• Habilitar “multibyte characters Support” Retrieve Data in UTF-8 on Windows.
• Instalar el ultimo Microsoft Visual C/C++ Redistributable.

 

Instalación Malware Scanner en host Windows

Lo primero que tenemos que hacer es instalar Malware Scanner para Windows.
Tenemos que descargar “Netbackup Malware Scanner” desde “Veritas Download center”
Extraemos el fichero Zip y dentro de la carpeta “NBAntiMalwareClient_version number_AMD64” debemos ejecutar “setup.bat”
Seguimos el Wizard de instalación, simplemente debemos indicar la unidad y directorio donde instalar NetBackup Malware scanner.

Tras la instalación debemos ejecutar la actualización de Netbackup Malware Scanner y verificar su correcto funcionamiento. Para ello ejecutar en el directorio de la instalación “update.bat”

En caso de tener un firewall de acceso a Internet, para poder actualizar las firmas es necesario permitir acceso TCP y UDP a las urls:

• *.avira-update.com
• *.avira.com

Tras La actualizacion debemos verificar que el motor de escaneo funciona correctamente, para ello elegimos un directorio para escanear ejecutando el siguiente comando:

avira_lib_dir_scan.exe "C:\Program Files\VMware\VMware Tools" -log_path "C:\NBMalwareScanner.log" -conf_path "E:\NBAntiMalware\savapi-sdk-win64\bin\aviraconf.txt

Configuración Malware Scanner en el Primary Server

• Configurar un nuevo Scan Host Pool.
  • Añadimos uno nuevo.
    

Le damos un nombre y seleccionamos “Netbackup Malware Scannner” y NFS como share.

o   A continuación, seleccionamos “Manage host” y a continuación “Add new”

o   Añadimos el nombre del host scan, asociamos y creamos unas credenciales de conexión y finalmente especificamos el media server que vamos a usar para escanear las imágenes.

o   Ingresamos un nombre de usuario, especificamos las credenciales el puerto ssh y el RSA key de conexión al Malware Host Scan.

Para averiguar la RSA Key de conexión al Host Scan, debemos conectar por ssh a nuestro Media Server y ejecutar el siguiente comando indicando el nombre del host scan:

ssh-keyscan hostscan 2>/dev/null | grep ssh-rsa | awk ‘{print $3}’ | base64 -d | sha256sum

RSA KEY hostscan:

334569bdace751fb4d5efb123456fg77d6f94404d0b870eb0aba348922ee5d4

Una vez introducidos los datos grabamos la configuracion y son correctos los datos de conexión el sistema lo validará, sino devolverá un error.

Procedimiento de escaneo de imágenes.

Podemos realizar escaneos manuales y/o automáticos si se dispara alguna anomalia.

·         Escaneo manual. Vamos a “Malware detection” y seleccionamos “Scan for Malware”

·         Podemos elegir la opciones de escaneo que queramos, por ejemplo por imágenes de Backup.

·         En la lista seleccionamos la imagen de Backup que queremos escanear y el Host Pool que lo hará.

·         Tras finalizar el proceso en  “Malware detection” podemos ver el resultado y en caso de detectar infección, se nos indicara la lista de los fichero infectado y podremos exportar la lista.

Habilitar el escaneo de imágenes de forma automática

·         Podemos desencadenar automáticamente el proceso de escaneo de una imagen cuando se detecta una anomalía en los backups. La detección de anomalías se puede ver en la vista “Anomaly detection”.

·         Se habilita esta funcionalidad en el fichero de configuración anomaly_config.conf en el primary server. En unix la ruta del archivo es la siguiente: /usr/openv/var/global/anomaly_detection

·         Primero habilitamos el escaneo automático: ENABLE_AUTOMATED_SCAN=1

·         A continuación, habilitamos el escaneo de todos los clientes e indicamos el Host Pool:

ENABLE_ALL_CLIENTS=1

SCAN_HOST_POOL_NAME=<scan_host_pool_name> 

·         Finalmente Podemos habilitar que nivel de severidad de las anomalías queremos revisar (por defecto siempre se revisara los “Critical”). Tambien podremos habilitar la revisión de las extensiones de ransomware detectadas. De esta forma al finalizar un Backup, si el sistema detecta una anomalia podremos automáticamente escanear la imagen según el nivel de severidad:

TRIGGER_SCAN_FOR_LOW_SEVERITY=1

TRIGGER_SCAN_FOR_MEDIUM_SEVERITY=1

TRIGGER_SCAN_FOR_SCORE_GREATER_THAN=2.5

TRIGGER_SCAN_FOR_RANSOMWARE_EXT_IMAGES = 1

Dashboard

·         En la consola WEBUI podremos ver el estado de las detecciones de Malware scanner.

Referencias

NetBackup™ Web UI Administrator’s Guide

Agradecimientos

Gracias a Victor Garbin Gil por su ayuda en la preparación de este artículo.