Συμβουλές του JPCERT για την ανίχνευση ransomware μέσω του αρχείου καταγραφής συμβάντων Windows

Το Computer Emergency Response Center (JPCERT/CC) της Ιαπωνίας μοιράστηκε συμβουλές για τον εντοπισμό επιθέσεων διαφορετικών συμμοριών ransomware με βάση τις καταχωρίσεις στα αρχεία καταγραφής συμβάντων των Windows, παρέχοντας έγκαιρη ανίχνευση συνεχιζόμενων επιθέσεων προτού εξαπλωθούν υπερβολικά σε ένα δίκτυο.

Το JPCERT/CC λέει ότι η τεχνική μπορεί να είναι πολύτιμη όταν ανταποκρίνεται σε επιθέσεις ransomware και ο εντοπισμός του φορέα επίθεσης μεταξύ των διαφόρων πιθανοτήτων είναι ζωτικής σημασίας για τον έγκαιρο μετριασμό.

Εύρεση ιχνών ransomware στα αρχεία καταγραφής συμβάντων

Η στρατηγική έρευνας προτείνεται από το JPCERT/CC καλύπτει τέσσερις τύπους αρχείων καταγραφής συμβάντων των Windows: αρχεία καταγραφής εφαρμογών, ασφάλειας, συστήματος και εγκατάστασης.

Αυτά τα αρχεία καταγραφής συχνά περιέχουν ίχνη που αφήνονται πίσω από επιθέσεις ransomware που θα μπορούσαν να αποκαλύψουν τα σημεία εισόδου που χρησιμοποιούν οι εισβολείς και την «ψηφιακή τους ταυτότητα».

Ακολουθούν ορισμένα παραδείγματα ιχνών ransomware που επισημαίνονται στην αναφορά του οργανισμού:

• Conti: Αναγνωρίζεται από πολλά αρχεία καταγραφής που σχετίζονται με το Windows Restart Manager (αναγνωριστικά συμβάντων: 10000, 10001).

  

  Παρόμοια συμβάντα δημιουργούνται από τα Akira, Lockbit3.0, HelloKitty, Abysslocker, Avaddon, Bablock και άλλα κακόβουλα προγράμματα που έχουν δημιουργηθεί από τον κρυπτογραφητή Lockbit και Conti που διέρρευσε.

• Φόβος: Αφήνει ίχνη κατά τη διαγραφή αντιγράφων ασφαλείας συστήματος (αναγνωριστικά συμβάντων: 612, 524, 753). Παρόμοια αρχεία καταγραφής δημιουργούνται από το 8base και το Elbie.
• Μίδας: Αλλάζει τις ρυθμίσεις δικτύου για εξάπλωση μόλυνσης, αφήνοντας το αναγνωριστικό συμβάντος 7040 στα αρχεία καταγραφής.
• BadRabbit: Καταγράφει το αναγνωριστικό συμβάντος 7045 κατά την εγκατάσταση ενός στοιχείου κρυπτογράφησης.
• Bisamware: Καταγράφει την έναρξη (1040) και το τέλος (1042) μιας συναλλαγής του Windows Installer.

Το JPCERT/CC σημειώνει επίσης ότι οι φαινομενικά άσχετες παραλλαγές ransomware όπως Shade, GandCrab, AKO, AvosLocker, BLACKBASTA και Vice Society, αφήνουν πίσω τους πολύ παρόμοια ίχνη (αναγνωριστικά συμβάντων: 13, 10016).

Και τα δύο σφάλματα προκαλούνται από έλλειψη αδειών κατά την πρόσβαση σε εφαρμογές COM για τη διαγραφή Volume Shadow Copies, τα οποία το ransomware συνήθως διαγράφει για να αποτρέψει την εύκολη επαναφορά κρυπτογραφημένων αρχείων.

Είναι σημαντικό να σημειωθεί ότι καμία μέθοδος ανίχνευσης δεν θα πρέπει να λαμβάνεται ως εγγύηση για επαρκή προστασία από ransomware, αλλά η παρακολούθηση για συγκεκριμένα αρχεία καταγραφής μπορεί να αλλάξει το παιχνίδι όταν συνδυαστεί με άλλα μέτρα για τον εντοπισμό επιθέσεων πριν εξαπλωθούν πολύ μακριά σε ένα δίκτυο.

Το JPCERT/CC σημειώνει ότι παλαιότερα στελέχη ransomware όπως το WannaCry και το Petya δεν άφησαν ίχνη στα αρχεία καταγραφής των Windows, αλλά η κατάσταση έχει αλλάξει στο σύγχρονο κακόβουλο λογισμικό, επομένως η τεχνική θεωρείται πλέον αποτελεσματική.

Το 2022, η SANS επίσης μοιράστηκε έναν οδηγό σχετικά με τον εντοπισμό διαφορετικών οικογενειών ransomware χρησιμοποιώντας αρχεία καταγραφής συμβάντων των Windows.