Ransomware

日本のコンピュータ緊急対応センター(JPCERT/CC)は、Windowsのイベントログのエントリに基づいて、さまざまなランサムウェアギャングの攻撃を検出するためのヒントを共有しました。

JPCERT/CCは、この技術はランサムウェア攻撃に対応する際に有用であり、さまざまな可能性の中から攻撃ベクトルを特定することは、タイムリーな被害軽減のために極めて重要であるとしている。

イベントログからランサムウェアの痕跡を見つける

JPCERT/CCが提案する調査戦略は、4種類のWindowsイベントログを対象としている:アプリケーション・ログ、セキュリティ・ログ、システム・ログ、セットアップ・ログです。

これらのログには、ランサムウェア攻撃によって残された痕跡が含まれていることが多く、攻撃者が使用したエントリーポイントや “デジタルID “を明らかにすることができます。

以下は、同機関の報告書で強調されたランサムウェアの痕跡の例です:

  • ContiWindowsのRestart Manager(イベントID:10000、10001)に関連する多くのログから特定。
    RestartManage notifications from Conti-based encryptors
    Conti ベースの暗号化者からの RestartManage 通知
    ソースはこちら:JPCERT/CC

    同様のイベントは、Akira、Lockbit3.0、HelloKitty、Abysslocker、Avaddon、Bablock、およびLockbitConti の流出した暗号化装置から作成されたその他のマルウェアによって生成される。

  • Phobos:システムのバックアップを削除する際に痕跡を残す(イベントID:612、524、753)。同様のログは8baseとElbieによって生成される。
  • Midas:感染を広げるためにネットワーク設定を変更し、ログにイベントID 7040を残す。
  • BadRabbit:暗号化コンポーネントをインストールする際にイベントID 7045を記録。
  • Bisamware:Windows Installerトランザクションの開始(1040)と終了(1042)をログに記録します。
Bisamware ransomware logs
特徴 Bisamware ランサムウェアのログ
ソースはこちら:JPCERT/CC

JPCERT/CCはまた、Shade、GandCrab、AKO、AvosLocker、BLACKBASTA、Vice Societyなどの一見無関係なランサムウェアの亜種が、非常に類似した痕跡(イベントID:13、10016)を残していることにも注目しています。

どちらのエラーも、ランサムウェアが暗号化されたファイルの容易な復元を防ぐために通常削除するボリュームシャドウコピーを削除するためにCOMアプリケーションにアクセスする際の権限不足が原因です。

COM and VSCS access problem logs
COM および VSCS アクセス問題のログ
ソースはこちら:JPCERT/CC

どのような検知方法も、ランサムウェアに対する十分な防御を保証するものではないと考えるべきですが、特定のログを監視することで、攻撃がネットワークに広がりすぎる前に検知するための他の対策と組み合わせることで、状況を一変させることができることに注意することが重要です。

JPCERT/CCは、WannaCryやPetyaのような古いランサムウェアの系統はWindowsのログに痕跡を残さなかったが、最新のマルウェアでは状況が変わったため、現在ではこの手法が有効であると考えられていると指摘している。

2022年、SANSはWindowsイベントログを使用したさまざまなランサムウェアファミリーの検出に関するガイドも共有している