Japonya'nın Bilgisayar Acil Müdahale Merkezi (JPCERT/CC), Windows olay günlüklerindeki girişlere dayalı farklı fidye yazılımı çetesinin saldırılarını tespit etmek için ipuçlarını paylaştı ve devam eden saldırıların bir ağa yayılmadan önce zamanında tespit edildi.
JPCERT/CC, fidye yazılımı saldırılarına yanıt verirken tekniğin değerli olabileceğini ve çeşitli olasılıklar arasında saldırı vektörünün tanımlanmasının zamanında hafifletme için çok önemli olduğunu söylüyor.
JPCERT/CC tarafından önerilen araştırma stratejisi, dört tür Windows olay günlüklerini kapsar: uygulama, güvenlik, sistem ve kurulum günlükleri.
Bu günlükler genellikle saldırganlar tarafından kullanılan giriş noktalarını ve "dijital kimliklerini" ortaya çıkarabilecek fidye yazılımı saldırılarının geride bıraktığı izler içerir.
Ajansın raporunda vurgulanan fidye yazılımı izlerinin bazı örnekleri:
JPCERT/CC ayrıca, gölge, Gandcrab, Ako, Avoslocker, Blackbasta ve Vice Society gibi görünüşte ilgisiz fidye yazılımı varyantlarının çok benzer izleri geride bıraktığını not ediyor (Olay Kimlikleri: 13, 10016).
Her iki hataya da, fidye yazılımının şifreli dosyaların kolay restorasyonunu önlemek için genellikle sildiği Volume Shadow kopyalarını silmek için COM uygulamalarına erişirken izin eksikliğinden kaynaklanır.
Hiçbir algılama yönteminin fidye yazılımlarına karşı yeterli koruma için bir garanti olarak alınmaması gerektiğine dikkat etmek önemlidir, ancak belirli günlüklerin izlenmesi, bir ağa yayılmadan önce saldırıları tespit etmek için diğer önlemlerle birleştirildiğinde oyun değiştirmeyi kanıtlayabilir.
JPCERT/CC, WannaCry ve Petya gibi eski fidye yazılımı suşlarının Windows günlüklerinde iz bırakmadığını, ancak modern kötü amaçlı yazılımlarda durum değiştiğini belirtiyor, bu nedenle teknik artık etkili kabul ediliyor.
2022'de SANS, Windows olay günlüklerini kullanarak farklı fidye yazılımı ailelerini algılama konusunda bir rehber paylaştı.
Fidye yazılımı saldırısı UMC sağlık sistemini bazı hastaları yönlendirmeye zorlar
Polis Lockbit Fidye Yazılımı Çetesi ile bağlantılı dört şüpheliyi tutukladı
Evil Corp yeni yaptırımlarla hit, Bitpaymer Fidye Yazılımı Ücretleri
ABD, Joker'in zulası ve kurtarıcı para aklayanları suçladı
Embargo fidye yazılımı, bulut ortamlarına yönelik saldırıları artırır
Kaynak: Bleeping Computer