Pusat Tanggap Darurat Komputer Jepang (JPCERT/CC) telah berbagi tips untuk mendeteksi berbagai serangan geng ransomware berdasarkan entri di Windows Event Logs, sehingga memberikan deteksi tepat waktu terhadap serangan yang sedang berlangsung sebelum menyebar terlalu jauh ke dalam jaringan.
JPCERT/CC mengatakan teknik ini dapat bermanfaat ketika merespons serangan ransomware, dan mengidentifikasi vektor serangan di antara berbagai kemungkinan sangat penting untuk mitigasi yang tepat waktu.
Menemukan jejak ransomware di Log Peristiwa
Strategi investigasi diusulkan oleh JPCERT/CC mencakup empat jenis Log Peristiwa Windows: Log Aplikasi, Keamanan, Sistem, dan Pengaturan.
Log ini sering kali berisi jejak yang ditinggalkan oleh serangan ransomware yang dapat mengungkap titik masuk yang digunakan oleh penyerang dan “identitas digital” mereka.
Berikut adalah beberapa contoh jejak ransomware yang disorot dalam laporan lembaga tersebut:
- Lanjutan: Diidentifikasi oleh banyak log yang terkait dengan Manajer Mulai Ulang Windows (ID acara: 10000, 10001).
Mulai ulangKelola notifikasi dari enkripsi berbasis Conti
Sumber: JPCERT/CCPeristiwa serupa dihasilkan oleh Akira, Lockbit3.0, HelloKitty, Abysslocker, Avaddon, Bablock, dan malware lain yang dibuat dari Lockbit Dan Enkripsi Conti yang bocor.
- Fobo: Meninggalkan jejak saat menghapus cadangan sistem (ID peristiwa: 612, 524, 753). Log serupa dihasilkan oleh 8basis dan Elbie.
- Midas: Mengubah pengaturan jaringan untuk menyebarkan infeksi, meninggalkan ID peristiwa 7040 di log.
- Kelinci Buruk: Merekam ID peristiwa 7045 saat memasang komponen enkripsi.
- Selamat pagi: Mencatat awal transaksi Penginstal Windows (1040) dan akhir (1042).
Sumber: JPCERT/CC
JPCERT/CC juga mencatat bahwa varian ransomware yang tampaknya tidak terkait seperti Shade, GandCrab, AKO, AvosLocker, BLACKBASTA, dan Vice Society, meninggalkan jejak yang sangat mirip (ID peristiwa: 13, 10016).
Kedua kesalahan tersebut disebabkan oleh kurangnya izin saat mengakses aplikasi COM untuk menghapus Volume Shadow Copies, yang biasanya dihapus oleh ransomware untuk mencegah pemulihan file terenkripsi dengan mudah.
Sumber: JPCERT/CC
Penting untuk dicatat bahwa tidak ada metode deteksi yang dapat dijadikan jaminan atas perlindungan yang memadai terhadap ransomware, namun pemantauan terhadap log tertentu dapat membawa perubahan jika dikombinasikan dengan langkah-langkah lain untuk mendeteksi serangan sebelum menyebar terlalu jauh ke dalam jaringan.
JPCERT/CC mencatat bahwa jenis ransomware lama seperti WannaCry dan Petya tidak meninggalkan jejak di log Windows, namun situasinya telah berubah pada malware modern, sehingga teknik ini sekarang dianggap efektif.
Pada tahun 2022, SANS juga berbagi panduan dalam mendeteksi keluarga ransomware yang berbeda menggunakan Windows Event Logs.
