Japonya’da kurulan ilk Bilgisayar Güvenliği Olaylarına Müdahale Ekibi olan JPCERT Koordinasyon Merkezi, kurumsal savunucuların insan tarafından gerçekleştirilen fidye yazılımı saldırılarına yanıt vermesine ve kötü amaçlı yazılımın zararını potansiyel olarak sınırlamasına yardımcı olabilecek Windows olay günlüklerindeki girişlerin bir listesini derledi.
Kuruluş, “İnsan tarafından çalıştırılan bir fidye yazılımı saldırısına ilk müdahalenin zor kısmı, saldırı vektörünü tanımlamaktır” dedi.
Windows olay günlüklerindeki belirli girişlerin (Uygulama, Güvenlik, Sistem, Kurulum) tespit edilmesi, saldırganların ve kullanılan fidye yazılımının kimliğini ortaya çıkarabilir (açık olmadığında).
Olay müdahale ekipleri, aynı grup tarafından veya aynı kötü amaçlı yazılımla gerçekleştirilen önceki saldırılardan elde edilen belgelenmiş ve paylaşılan bilgilere dayanarak, saldırganların kuruluşun ağına ve sistemlerine nasıl girmeyi başardıklarını daha kolay ve hızlı bir şekilde belirleyebilir.
Windows olay günlükleri aracılığıyla fidye yazılımı tanıma
Bir fidye yazılımı saldırısıyla uğraşırken, kullanılan fidye yazılımını mümkün olan en kısa sürede belirlemek kritik öneme sahiptir; çünkü saldırganlar tarafından kullanılan taktikler, teknikler ve davranış kalıpları bilgisi, izinsiz girişin araştırılmasına ve müdahale edilmesine ve muhtemelen müdahale edenlere yardımcı olabilir. fidye yazılımının daha fazla sayıda sisteme dağıtılmasını önlemek (örneğin, fidye yazılımı yürütülmemiş olabilir veya saldırganlar tarafından tetiklenene kadar etkin olmayabilir).
Kötü amaçlı yazılım analisti Kyosuke Nakamura, “JPCERT/CC’nin araştırması, bazı fidye yazılımlarının Windows olay günlüğünde izler bıraktığını ve bazen bu özelliklere dayanarak fidye yazılımını tanımlamanın mümkün olduğunu doğruladı” dedi.
Örneğin Conti fidye yazılımı ve Akira veya Lockbit3.0 gibi ilgili fidye yazılımları, Windows işletim sistemi çalıştırıldığında çalışan uygulamaların otomatik olarak kapandığını gösterdikleri için genellikle kısa bir süre içinde çok sayıda günlüğü (olay kimlikleri: 10000, 10001) tetikler. yeniden başlatılır veya kapatılır.
Conti yürütmesi sırasındaki olay günlükleri (Kaynak: JPCERT/CC)/p>
Öte yandan Phobos fidye yazılımı ve 8base gibi ilgili fidye yazılımları, planlanmış yedeklemelerin iptal edilmesi, sistem kataloğunun silinmesi ve yedekleme sisteminin başlatılmasıyla ilgili 612, 524 ve 753 numaralı olay kimliklerini tetikler.
Derlenen belge ayrıca Midas, BadRabbit, Bisamware, shade, GandCrab, AKO, avoslocker, BlackBasta ve Vice Society fidye yazılımıyla ilişkili günlükleri de ayrıntılarıyla anlatıyor.
Nakamura, “Olay kayıtları yalnızca hasar araştırmalarını ve ilişkilendirmeyi destekleyebilir, ancak birçok bilginin silindiği veya şifrelendiği durumlarda, yararlı olabilecek her şeyin araştırılması bazı iyi bilgiler sağlayabilir” dedi.