Acronis CyberProtect Backup

[kamzzzzz]

Имеется Acronis CyberProtect, при открытии консоли я вижу задачу Бэкап в определенное время, так же я вижу бэкапы на НАСе соозданнеы в это же время +5-15 мин. Но меня смущает то что при нажатии на бэкап в консоли Акрониса, он кидает меня на вебклауд свой с авторизацией
Вот и не пойму, то ли он еще бэкапит в облако, то ли это просто личный кабинет с настройками софта, потому что в консоли нет никаких настроек.
Как и где глянуть конфиг куда бэкапит Акронис внутри системы

 

[Premium]

нужна авторизация.
вероятность около 100%, что в облако все заливается.

 

[kamzzzzz]

Специально для облачных хранилищ мы разработали функцию тихого шифрования, при шифровании файлов не добавляется расширение, не меняется дата изменения, не дропается записки о выкупе, таким образом ты можешь шифровать данные компании несколько недель и быть не обнаруженым, облачное хранилище будет продолжать делать бекапы уже шифрованных файлов, но не будет понимать что файлы зашифрованы, тебе остаётся только узнать какой максимальный срок отката бекапа есть у облачного хранилища, выждать это время, и совершить громкую атаку с твоим обнаружением.

Судя по описанию он у тебя частенько сам в тихом режиме работает, не меняет ни дату, ни иконку, ни расширение...))))))))
А если серьезно, каким образом происходит изменение файла, без изменения даты мне честно не понятно?
1. Эта функция возможно бесполезна для бэкап систем которые сверяют измененные данные необходимые для бэкапа, потому что я не знаю по каким характеристикам какой либо софт определяет нужный файл, очевидно первое что в голову приходит это модиф дат.
2. Эта функция бесполезна для БД, а бд ты сам знаешь отложены в первую очередь
3. Эта функция бесползена в моем случае, так как Acronis одновременно подрузамевает EDR+Backup, кроме него там есть и другой EDR, я не смогу без доступа к ЛК EDR что-то сделать, а я не смогу достать ЛК, потому что делаю конторы, которые на полном DLP "под ключ" у одной компании, доступа к которой у меня нет. Алерт на одной = алерт на всех

По теме, может кому-то полезно будет
Изучив техничку, тарифыные планы и прочее, я пришел к выводу, сам софт делает ежедневые\еженедельные\ежемесячные\ежегодичные бэкапы снапшотом всего диска (в моем случае это важно, так как таргетов 10+, и необходимо понять бэкает в одну корзину или нет), далее он просто ежедневные обновления делает, нашел я файлы которые висят в его процессе, пошел изучать
Фалы DB3 накрыты паролем (удивительно, правда)))), поэтому потыкав известными мне, плюнул и пошел дальше:
Файлы которые отвечают за обновление снапшота, висят в процессе:
C:\ProgramData\Acronis\BackupAndRecovery\MMSData\DML
Там присутствует некий файл mms_data_path_maker с содержимым maker, возможно он и мейкер, в таком случае по дате его создания можно определить дату первого бэкапа, но возможно это маяк для отсановки бэкапов, не проверишь - не узнаешь))) Я позже напишу, если напомните
Агент установщик exe но без конфиг файла, скорее сего там токен config при установке или серт, в целом никак не поможет
Таски бэкапов тут:
C:\ProgramData\Acronis\BackupAndRecovery\MMS\Locations
И в моем случае таска два, один НАС, второй cloud, строки с комментарием удалил данные, они там есть

<?xml version="1.0" encoding="UTF-8" ?>
<Location ID=> Здесь ID снапшота
<Name></Name> #Имя = UserName
<Description />
<StorageUri>avfs:/online?account%3d-----%26provider%3dAcronis</StorageUri> #----- = Name or Username
<DatabaseUri />
<CompressionLevel>3</CompressionLevel>
<EnableDeduplication>0</EnableDeduplication>
<Encryption>0</Encryption>
<IsCentralized>0</IsCentralized>
<IndexDatabaseUri />
<UserName></UserName> Админ от вебморды, так как в таске наса тут стоит админ от наса, вебморда линкует конкретного клиента при переходе там может быть юзернейм вплоть до root admin, ниже линк разберем
<Kind>10</Kind> Что это может значить есть идеи?
<StorageKind>10</StorageKind> Что это может значить есть идеи?
<SupportsDeduplication>0</SupportsDeduplication>
<SupportsEncryption>0</SupportsEncryption>
<OwnerName /> Тут empty в локальном бэкапе на нас, тут указан домен юзер, который делал снапшот (думаю чаще всего ДА, либо с приподнятыми правами)
<OwnerUID /> Тут empty В локальном UID этого юзера
<Uri>arl:/ID2/Location ID</Uri> Тут новый ID2 (возможно ID Общей папки с бэками) и Location ID (ID конкретного снапшота)
</Location>

По линку такая ситуация
us-cloud.acronis.com/login?return_url=%2Fapi%2F2%2Fidp%2Fauthorize%3Fclient_id%3D<clientID>%26response_type%3Dcode%26redirect_uri%3D%2Fbc%2Fapi%2Fgateway%2Fcb%26scope%3Doffline_access%2Bopenid%2Bprofile%2Bemail%26state%3D%2Fui%2F#redirect_hash=m%3DResources%26s%3D1%26key%3Dall%26id%3Dphm.<ID3>%40<ID2>.disks%26dw%3Dactivities

<Client ID> 888ac8b8-c888-88d8-ac8f-f8e8c888eca8 (8 - рандомные цифры) Тут я думаю многие, как и я подумали что это ID Acronis билда, но проверив регистр я понял что там он другой
<ID3> Не встерчался нигде

В общем-то для дальнейших экспериментов, надо найти человека, который даст часть линка успешной ПОСТ авторизации, там должно быть что-то вроде authkey= tkn= authtoken=, потому что раз есть юзернейм в конфиге, значит где-то есть и токен/хеш/пароль авторизации. Есть такие?
И подскажите брутилку для DB3

 

[int3]

А если серьезно, каким образом происходит изменение файла, без изменения даты мне честно не понятно?

Если без руткита, тогда команда touch на линуксе/маке, либо для винды powershell команда вида:

$(Get-Item $FileName).LastWriteTime = $OldWriteTime

Софт для бэкапов не сильно заморачивается над тем, что бы получать 100% точную дату модификации файла.