哈克k1
发布于 IP属地北京

通过 Windows 事件日志识别人为操作的勒索软件

本文转载自:https://blogs.jpcert.or.jp/en/2024/09/windows.html

针对人为勒索软件攻击的初始响应的难点在于识别攻击媒介。您可能已经从最近的安全事件趋势中知道 VPN 设备的漏洞很可能被利用,但调查通常需要花费大量时间,因为事件发生时通常会考虑多种渗透途径。因此,为了确保顺利的初始响应,重要的是先根据受影响设备上留下的加密文件扩展名和勒索信估计攻击组,然后调查渗透途径,然后确定攻击组过去使用的入口点。然而,根据经验,有多个案例无法仅根据加密文件扩展名或勒索信识别攻击组。在本文中,我们将分享使用 Windows 事件日志信息来支持识别此类攻击组的可能性的调查结果。一些勒索软件会在 Windows 事件日志中留下痕迹,有时可以根据这些特征识别勒索软件。本次调查使用了以下四个 Windows 事件日志。

  1. 应用程序日志
  2. 安全日志
  3. 系统日志
  4. 设置日志

以下介绍勒索病毒执行时Windows事件日志中记录的日志。

Conti

Conti 是 2020 年首次发现的勒索软件。2022 年,与 Conti 相关的源代码被泄露,之后出现了许多变种。Conti 在加密文件时会利用 Windows 重启管理器。该功能会在 Windows 操作系统重新启动或关闭时自动关闭正在运行的应用程序。虽然在正常运行期间也可能会在事件日志中记录日志,但当 Conti 执行时,会在短时间内记录大量相关日志(事件 ID:10000、10001)。

图 1:Conti 执行期间确认的事件日志

我们还确认,下列勒索病毒也记录了类似的事件日志,其中一些疑似与Conti有关。

  • Akira(根据加密货币交易状况等,怀疑与Conti有关)
  • Lockbit3.0(使用基于Conti的加密系统)
  • HelloKitty
  • Abysslocker
  • avaddon
  • bablock

Phobos 是 2019 年发现的勒索病毒。据说它是在源代码被发现与 Dharma 勒索病毒相似之后出现的,在 Dharma 的解密工具出现后,发现了许多变种。Phobos 可以删除受感染设备的卷影副本和系统备份目录,并且在执行时会留下痕迹。请注意,在系统管理员管理磁盘空间或组织不必要的数据时,上述内容也可能出现在正常运行中。

图 2:Phobos 执行期间确认的事件日志

事件 ID 612:计划自动执行的备份以某种方式被取消
事件 ID 524:系统目录已被删除
事件 ID 753:备份系统已成功启动并准备运行
此外,下列勒索软件也记录到了具有类似特征的痕迹,怀疑与Phobos组织有关。

  • 8base
  • Elbie

Midas

Midas 是 2021 年首次发现的勒索软件。Midas 的特点是,它会在事件日志中留下有关执行时网络设置更改的痕迹,这些更改被认为旨在传播感染。


图3:执行Midas时确认的事件日志

当服务设置发生变化时,会记录事件ID 7040,变化的服务设置记录为EventData,执行Midas时,会记录服务的变化情况如表1所示。

表 1:待变更的服务列表

Axxes 勒索病毒中也记录了类似的特征,该病毒被怀疑是 Midas 的变种。

BadRabbit

BadRabbit 是 2017 年首次确认的勒索软件,其特点是在执行时会记录用于加密的组件 cscc.dat 的安装痕迹(事件 ID:7045)。


图4:BadRabbit执行时确认的事件日志

Bisamware

Bisamware 是 2022 年首次发现的勒索软件。它是一种针对 Windows 用户的勒索软件,已知它是通过利用 Microsoft 提供的工具中的漏洞进行传播的。执行 Bisamware 时,会记录 Windows Installer 事务的开始(事件 ID:1040)和结束(事件 ID:1042)的痕迹。


图 5:Bisamware 执行期间确认的事件日志

勒索软件记录的其他常见事件日志
虽然从公开的信息看不出明显的联系,但有些类型的勒索软件在事件日志的痕迹中表现出共同的特征。

  • shade
  • GandCrab
  • AKO
  • avoslocker
  • BLACKBASTA
  • VICE SOCIETY
    该类勒索软件的痕迹(事件 ID:13、10016)显示,它们无法正常运行,因为它们在执行时缺乏访问与卷影复制服务相关的 COM 服务器应用程序的权限。


图6:执行过程中确认的事件日志

结束语

虽然我们无法找到任何可以识别 WannaCry、Petya、Ryuk 和其他较旧类型的勒索软件的事件日志,但我们识别出多个可以识别本文介绍的相对较新的勒索软件类型的事件日志。事件日志只能支持损害调查和归因,但在大量信息被删除或加密的情况下,调查所有可能有用的信息可能会提供一些很好的见解。在调查人为勒索软件攻击造成的损害时,请考虑调查事件日志。

技术分享
浏览 (131)
点赞 (1)
收藏
打赏
评论