SOLUTIONS DE SAUVEGARDE D'ENTREPRISE – TEST D'AUTOPROTECTION – MARS 2018

© 2018 NIOGUARD SECURITY LAB WWW.NIOGUARD.COM 1

Test d'auto-protection

Solutions de sauvegarde d'entreprise

MARS 2018

© 2018 NIOGUARD SECURITY LAB WWW.NIOGUARD.COM

© 2018 NIOGUARD SECURITY LAB WWW.NIOGUARD.COM 1

SOLUTIONS DE SAUVEGARDE D'ENTREPRISE – TEST D'AUTOPROTECTION – MARS 2018

On a vu se multiplier dernièrement les attaques où des ransomwares dans la lignée de CryptoLocker arrêtent des processus pour déverrouiller les fichiers de base de données dans le but de les chiffrer (Cerber, GlobeImposter, Rapid ou Serpent) et qui sont capables de chiffrer les sauvegardes locales et réseau (Rapid, Spora). Voilà pourquoi nous avons décidé de tester les capacités d'autoprotection des principales solutions de sauvegarde utilisées dans les environnements d'entreprise et pour lesquelles une version d'évaluation est disponible.

Ce test vise à évaluer la résistance des processus et services des logiciels de sécurité face aux attaques qui les ciblent (décrites ci-dessous), ainsi que les capacités d'autoprotection des fichiers de ces logiciels et des sauvegardes locales. Certains ransomwares peuvent chiffrer les fichiers de sauvegarde enregistrés en local ainsi que les fichiers de configuration appartenant à un programme de sauvegarde, empêchant ainsi la restauration des fichiers. Par ailleurs, lorsqu'un cyberpirate a accès aux processus de l'agent ou du serveur, il peut supprimer les copies de sauvegarde des fichiers non seulement en local, mais également dans le Cloud en se faisant passer pour une solution de sauvegarde.

Ce document est un rapport synthétique sur les tests que nous avons appliqués à différentes solutions de sauvegarde d'entreprise. Il comporte une description de l'environnement de test, la liste des solutions testées et leur version, une présentation des scénarios de simulation, ainsi que les résultats de test et les conclusions tirées de ces résultats. Nous n'établissons pas de classement des solutions testées, pas plus que nous ne décernons des prix ; nous proposons ici des résultats bruts dans un but purement informatif.

Nom du produit Composants Version

Acronis BackupManagement Server 12.5 9010

Agent 12.5 9010

ArcserveUnified Data Protection Server 6.5.4175 Update 2 Build 667

Unified Data Protection Client 6.5.4175.791 version r6.5

VeeamBackup & Replication 9.5 Update 3

Agent for Microsoft Windows 2.1.0.423

Veritas Backup ExecServer 16.0 Rev. 1142

Agent Utility pour Windows 16.0 version 1142.1632

Les tests ont été menés sur des machines virtuelles exécutant les systèmes d'exploitation suivants :• Windows 8.1 SP1 32 bits build 9600• Windows 10 Enterprise 64 bits build 16299• Windows Server 2012 R2 Standard 64 bits

version 6.3.9600 build 9600

Nous avons mis à l'épreuve les solutions de sauvegarde sur des plates-formes 32 et 64 bits car les techniques d'injection de processus utilisées dans les scénarios de test diffèrent selon la plate-forme. De plus, les builds des versions 32 et 64 bits peuvent offrir des fonctionnalités différentes, notamment en matière d'autoprotection, et leur implémentation peut dépendre de l'architecture du système d'exploitation.

Nous avons évalué les dernières versions des produits suivants, telles que disponibles au moment de l'exécution des tests :

Chaque produit a été installé avec les paramètres par défaut et mis à jour avant le test.

01

02

03

Introduction

Produits testés

Environnement de test

SOLUTIONS DE SAUVEGARDE D'ENTREPRISE – TEST D'AUTOPROTECTION – MARS 2018

© 2018 NIOGUARD SECURITY LAB WWW.NIOGUARD.COM 2

Nous avons exécuté une série de 31 tests qui simulaient des attaques visant les fichiers de sauvegarde locaux, les fichiers, processus et services du produit de sauvegarde, ainsi que le stockage dans le Cloud, dans le but de perturber le service de sauvegarde et de restauration. La catégorie de test « Protection des fichiers du produit » comporte des tests simples visant à détruire les fichiers de sauvegarde et les fichiers d'application afin de rendre impossible la restauration des données chiffrées par le ransomware.

La deuxième catégorie, « Protection des processus et services du produit », est cruciale pour l'autoprotection puisque les malwares peuvent injecter leur code malveillant dans un agent de sauvegarde et agir au nom d'une solution de sauvegarde en obtenant tous les privilèges nécessaires pour contrôler les fichiers de sauvegarde. Un cyberpirate peut commander à un processus malveillant d'arrêter des processus et services afin de provoquer une défaillance de l'application de sauvegarde et restauration, ou la suppression des fichiers de sauvegarde, comme s'il s'agissait d'une opération effectuée par la solution de sauvegarde. La dernière catégorie de tests, « Protection de la sauvegarde et restauration dans le Cloud », cible les interfaces de communication avec le stockage dans le Cloud. Une attaque par empoisonnement du cache DNS ou l'utilisation incorrecte de l'interface de ligne de commande peut entraîner une interruption du service de sauvegarde dans le Cloud.

N° Catégorie de test Scénario de test

Protection des fichiers du produit

1Protection des fichiers de sauvegarde locaux

Modification du nom, suppression ou chiffrement des fichiers de sauvegarde locaux

2Protection des propres fichiers du produit de sauvegarde

Suppression des fichiers du programme

3Modification du secteur de démarrage principal et chiffrement de la table de fichiers maîtres (ransomwares NotPetya et Petya)

Protection des processus et services du produit

4

Arrêt des processus et services

Arrêt d'une tâche dans le Gestionnaire des tâches

5 Arrêt des services et des processus à l'aide de PowerShell

6 Utilisation de TerminateProcess()

7 Utilisation de TerminateThread()

8 Utilisation de TerminateJobObject()

9 Utilisation de DebugActiveProcess()

10 Utilisation de WinStationTerminateProcess()

11 Envoi de l'événement WM_CLOSE

12 Envoi de l'événement WM_QUIT

13 Envoi de l'événement WM_SYSCOMMAND (SC_CLOSE)

14 Envoi de tous les événements Windows possibles

15

Injection de code

Utilisation de CreateRemoteThread()

16 Utilisation de NtCreateThreadEx()

17 Utilisation de QueueUserAPC()

04 Scénarios de test

© 2018 NIOGUARD SECURITY LAB WWW.NIOGUARD.COM

SOLUTIONS DE SAUVEGARDE D'ENTREPRISE – TEST D'AUTOPROTECTION – MARS 2018

© 2018 NIOGUARD SECURITY LAB WWW.NIOGUARD.COM 3

N° Catégorie de test Scénario de test

Protection des processus et services du produit

18

Injection de code

Utilisation de SetWindowsHookEx()

19 Utilisation de RtlCreateUserThread()

20 Utilisation de SetThreadContext()

21 Injection réflective de DLL

22

Modification de la mémoire de processus

Blocage de l'accès aux pages de mémoire de processus en définissant l'attribut PAGE_NOACCESS

23Tentative de libération de mémoire de processus à l'aide de NtFreeVirtualMemory()

24Démappage de tous les objets mappés à l'aide de NtUnmapViewOfSection()

25Allocation de toute la mémoire disponible à l'aide de NtAllocateVirtualMemory()

26Allocation de toute la mémoire disponible à l'aide de NtMapViewOfSection()

27Écriture dans la mémoire de processus à l'aide de NtWriteVirtualMemory()

28

Modification des objets de processus

Duplication des objets de processus pour consommer toutes les ressources disponibles

29Duplication des objets de processus avec fermeture des objets sources

Protection de la sauvegarde et restauration dans le Cloud

30Modification des données de sauvegarde dans le Cloud

Utilisation de l'interface de ligne de commande du produit pour supprimer, modifier ou chiffrer les données dans le Cloud

31 Empoisonnement du cache DNS Modification du fichier hosts

© 2018 NIOGUARD SECURITY LAB WWW.NIOGUARD.COM

Nom du produitPlate-forme 32 bits/64 bits

Nombre de tests réussis

Nombre de tests en échec

Non applicable (N/A)

Taux de réussite

Acronis Backup32 26 4 1 87 %

64 25 6 0 81 %

Arcserve32 5 24 2 17 %

64 4 26 1 13 %

Veeam32 4 26 1 13 %

64 4 27 0 13 %

Veritas Backup Exec32 5 22 4 19 %

64 4 27 0 13 %

05 Résultats

© 2018 NIOGUARD SECURITY LAB WWW.NIOGUARD.COM 4

SOLUTIONS DE SAUVEGARDE D'ENTREPRISE – TEST D'AUTOPROTECTION – MARS 2018

Nombre de tests réussis — Le produit a résisté à l'attaque en préservant la fonctionnalité du service de restauration.

Nombre de tests en échec — Le produit a connu une panne après l'attaque, et le service de restauration a perdu sa fonctionnalité.

Non applicable — Le test utilise une fonction de l'API Windows qui n'est pas prise en charge par la version actuelle de Windows, ou la fonctionnalité testée n'est pas disponible dans le produit. Par exemple, une solution ne propose pas d'interface de ligne

de commande pour gérer les sauvegardes, ou le stockage dans le Cloud n'est pas disponible en tant qu'emplacement de stockage des sauvegardes.

Taux de réussite — Le taux de réussite est calculé comme suit : nombre de tests réussis / (nombre total de tests - N/A).

Remarque : les résultats indiquent uniquement le nombre total de tests en échec sans préciser quels tests particuliers ont échoué. Il s'agit d'une décision délibérée visant à empêcher les cybercriminels d'obtenir des informations sur les faiblesses des produits testés.

Ce test visait à vérifier la capacité des logiciels de sauvegarde à protéger leurs fichiers, processus et services, ainsi que le stockage dans le Cloud, dans le cadre de scénarios pouvant potentiellement être exécutés par un ransomware.

Les résultats ont montré que la majorité des produits testés ne sont pas prêts, dans la plupart des cas envisagés, à contrer les attaques de type ransomware permettant à un pirate potentiel de verrouiller les sauvegardes de l'utilisateur et de désactiver les services de sauvegarde et de restauration. Seul Acronis Backup a obtenu de bons résultats avec des taux de réussite de 87 % et 81 % pour les produits 32 bits et 64 bits respectivement, offrant ainsi des fonctionnalités d'autoprotection complètes et des services continus.

06

30

20

10

0

Conclusion

Réussite

Acronis Backup 32 bits

Acronis Backup 64 bits

Arcserve 32 bits

Arcserve 64 bits

Veeam 32 bits

Veeam 64 bits

Veritas Backup Exec 32 bits

Veritas Backup Exec 64 bits

Échec Non applicable (N/A)

© 2018 NIOGUARD SECURITY LAB WWW.NIOGUARD.COM 5

SOLUTIONS DE SAUVEGARDE D'ENTREPRISE – TEST D'AUTOPROTECTION – MARS 2018

Toute utilisation des résultats fournis dans ce rapport n'est autorisée que sur accord écrit explicite de NioGuard Security Lab préalablement à toute publication.

Nous ne sommes pas responsables des dommages ou pertes découlant de l'utilisation des informations fournies dans ce document, y compris le script de test. Nous ne garantissons pas l'exactitude ni l'exhaustivité du contenu de ce rapport.

Pour plus d'informations sur NioGuard Security Lab et la méthodologie de test, consultez notre site Web à l'adresse www.nioguard.com ou contactez-nous par e-mail à l'adresse : ada@nioguard.com.

07 Copyright et exclusion de responsabilité