Siber güvenlik uzmanları tarafından yapılan son araştırmalar, Windows Olay Günlükleri aracılığıyla insanlar tarafından gerçekleştirilen fidye yazılımı saldırılarının tespit edilmesine yönelik değerli bilgileri ortaya çıkardı.
Bu atılım, kuruluşların giderek daha karmaşık hale gelen bu tehditleri belirleme ve bunlara yanıt verme yeteneğini önemli ölçüde geliştirebilir.
Önde gelen bir siber güvenlik koordinasyon merkezi olan JPCERT/CC, belirli fidye yazılımı türlerinin Windows Olay Günlüklerinde farklı izler bıraktığını ve potansiyel olarak bunların tanımlanmasına olanak sağladığını doğruladı.
Şifrelenmiş dosya uzantılarına veya fidye notlarına dayalı saldırı gruplarını belirlemeye yönelik geleneksel yöntemler daha az güvenilir hale geldiğinden bu keşif çok önemlidir.
JPCERT/CC, fidye yazılımını bu özelliklere göre tanımlamak için Uygulama Günlüğünü, Güvenlik Günlüğünü, Sistem Günlüğünü ve Kurulum Günlüğünü kullandı.
Gelişmiş güvenlik için yapay zekadan faydalanma => Ücretsiz Web Semineri
Belirli Fidye Yazılımı İmzaları
Araştırma, benzersiz olay günlüğü imzalarına sahip birkaç fidye yazılımı ailesi tespit etti:
Conti ve İlgili Varyantlar
İlk olarak 2020’de tanımlanan Conti fidye yazılımı, dosya şifreleme sırasında Windows Yeniden Başlatma Yöneticisi’nden yararlanıyor. Bu etkinlik, kısa sürede 10000 ve 10001 kimliklerine sahip yüksek miktarda olay günlüğü oluşturur. Akira, Lockbit3.0 ve HelloKitty gibi varyantlarda da benzer modeller gözlemlendi.
Phobos
2019’dan beri aktif olan Phobos, birim gölge kopyalarını ve sistem yedekleme kataloglarını silerken iz bırakıyor. Anahtar olay kimlikleri 612, 524 ve 753’ü içerir.
Midas
2021’de keşfedilen bu fidye yazılımı, Olay Kimliği 7040’ta kaydedilen ağ ayarlarında yapılan değişikliklerle karakterize edilir. Bu değişiklikler, Function Discovery Resource Publication ve SSDP Discovery gibi hizmetleri etkiler.
KötüTavşan
İlk kez 2017’de görülen BadRabbit, Olay Kimliği 7045’e kaydedilen cscc.dat adlı bir bileşeni yüklüyor.
Günaydın
2022’de tanımlanan Bisamware’in yürütülmesi, Windows Installer işlem günlükleriyle (Olay Kimlikleri 1040 ve 1042) işaretlenir.
Olay günlükleri tek başına saldırıları önleyemese de hasar araştırmalarını ve ilişkilendirmeyi destekler.
Kapsamlı verilerin silindiği veya şifrelendiği senaryolarda bu günlükler, saldırı vektörüne ve metodolojisine ilişkin değerli bilgiler sunabilir.
Güvenlik uzmanı Kyosuke Nakamura şunu vurguluyor: “İnsanlar tarafından gerçekleştirilen fidye yazılımı saldırılarıyla uğraşırken olay günlüklerini araştırmak, özellikle birçok bilginin silindiği veya şifrelendiği durumlarda iyi bilgiler sağlayabilir.”
Kuruluşlara, Olay Kimliği 7045 günlüklerini merkezileştirmeleri ve kötü amaçlı hizmet kurulumlarına yönelik otomatik algılamalar oluşturmaları önerilir. Microsoft’un Windows Olay İletme özelliği bu günlüklerin merkezileştirilmesi için uygun maliyetli bir çözüm sunar.
X-Force IR, sistem günlüklerini izlemek ve şüpheli hizmet kurulumları tespit edildiğinde uyarı oluşturmak için PowerShell komut dosyalarının uygulanmasını önerir. Bu komut dosyaları, bilinen fidye yazılımı operasyonlarında gözlemlenen özelliklere uyacak şekilde özelleştirilebilir.
Fidye yazılımı tespit yeteneklerini geliştirmek için kuruluşların şunları yapması gerekir:
- Kapsamlı günlük toplama ve analiz sistemlerini uygulayın
- Yaygın fidye yazılımı saldırı yöntemleri için gelişmiş arama sorguları kataloğu geliştirin
- Bilinen fidye yazılımı davranışlarına göre özel algılama kuralları oluşturun
- Yeni tehditler ortaya çıktıkça tespit stratejilerini düzenli olarak güncelleyin ve iyileştirin
İnsanlar tarafından çalıştırılan fidye yazılımları gelişmeye devam ettikçe, tespit için Windows Olay Günlüklerinden yararlanmak, sağlam bir siber güvenlik stratejisinin önemli bir bileşeni haline geliyor.
Kuruluşlar bu teknikleri uygulayarak, fidye yazılımı tehditlerini geniş çapta hasara yol açmadan önce tespit etme ve bunlara yanıt verme becerilerini önemli ölçüde geliştirebilirler.
Küçük İşletmelerin Gelişmiş Siber Tehditlere Karşı Nasıl Korunacağı Konusunda Ücretsiz Web Semineri -> Ücretsiz Web Semineri