日本電腦緊急應變中心(JPCERT/CC)分享了如何利用 Windows 事件檢視器中的記錄來偵測不同勒索軟體集團的攻擊,這種方法可以及時發現正在進行的攻擊,避免它們在網路中大規模擴散。
JPCERT/CC指出,這種技術能在眾多潛在攻擊途徑中準確識別實際入侵方式,對及時採取緩解措施至關重要。
在事件記錄檔中尋找勒索軟體痕跡
JPCERT/CC 提出的調查策略涵蓋四種 Windows 事件記錄檔:
應用程式、
安全性、
系統,和
設定記錄檔。這些記錄檔通常包含勒索軟體攻擊留下的痕跡,可能揭示攻擊者的入侵點和「數位身份」。
以下是該機構報告中強調的一些勒索軟體痕跡範例:
- Conti:通過 Windows 重新啟動管理器相關的多個記錄檔識別(事件 ID:10000、10001)。Akira、Lockbit3.0、HelloKitty、Abysslocker、Avaddon、Bablock 等其他從 Lockbit 和 Conti 洩露的加密程式也會產生類似事件。
- Phobos:刪除系統備份時留下痕跡(事件 ID:612、524、753)。8base 和 Elbie 也產生類似記錄。
- Midas:更改網路設定以擴散感染,在記錄檔中留下事件 ID 7040。
- BadRabbit:安裝加密元件時記錄事件 ID 7045。
- Bisamware:記錄 Windows 安裝程式交易的開始(1040)和結束(1042)。
JPCERT/CC 進一步指出,多種看似無關的勒索軟體變種,包括 Shade、GandCrab、AKO、AvosLocker、BLACKBASTA 和 Vice Society,都留下了相似的痕跡(事件 ID:13、10016)。這些錯誤源於嘗試刪除「陰影複製」(Shadow Copy)時,因訪問 COM 應用程式的權限不足而產生。勒索軟體通常會刪除陰影複製,以防止受害者輕易恢復被加密的文件。
雖然沒有任何偵測方法能完全防護勒索軟體,但監控特定記錄檔並結合其他措施,可在攻擊大規模擴散前及時發現它們,從而成為關鍵的防禦策略。
舊型勒索軟體如 WannaCry 和 Petya 在 Windows 記錄檔中未留下痕跡。然而,現代惡意軟體已改變這一情況,使得這種偵測技術如今被視為有效手段。
本文轉載自 BleepingComputer。