概要:
Windows事件日志在揭示和应对人工操作勒索软件威胁中发挥了关键作用。日本计算机应急响应小组协调中心(JPCERT/CC)的最新报告强调,通过分析事件日志,可以识别和追踪此类复杂的网络攻击,从而提高响应和遏制的及时性,减少损害。主要内容:
人工操作勒索软件结合了高度复杂的技术和手工执行,能够绕过传统的安全措施。JPCERT/CC的报告指出,Windows事件日志为安全专家提供了宝贵的法证证据。通过检查日志模式,专业人士可以识别和归因此类勒索软件,从而迅速采取行动遏制和减轻影响。以Conti勒索软件为例,该软件自2020年首次被发现以来,就恶名昭著。Conti在执行时会利用Windows重启管理器(Restart Manager)来促进文件加密,并生成大量事件日志(事件ID:10000, 10001),这一特点让它在被感染的设备上很容易被识别。类似的勒索软件变种如Akira和Lockbit 3.0也会生成相似的事件日志。
Phobos勒索软件则通过删除系统备份目录和卷影复制的方式造成破坏。在执行时,它会生成事件ID 612和524,可以用来追踪其活动。另一种被称为8base和Elbie的勒索软件表现出类似行为,可能与Phobos勒索软件小组相关联。
此外,Midas勒索软件在执行期间会记录与网络设置更改相关的事件日志,例如事件ID 7040记录网络服务配置的修改。BadRabbit和Bisamware等其他勒索软件会生成特定的事件ID,这些日志为安全专家提供了有力线索。
报告还强调,即便在一些勒索软件运行不正常的情况下,事件日志仍能揭示重要信息。因此,在勒索软件调查中不应忽视Windows事件日志,它们可以提供传统识别方法无法获得的价值线索,帮助安全团队尽早发现勒索软件痕迹,减轻财务影响并缩短停机时间。
来源:教育网络安全服务平台